Перейти к основному содержимому
Версия: ITDR 2.1

Установка узла обнаружения

Узел обнаружения обрабатывает перенаправляемый с контроллеров домена сетевой трафик по протоколам аутентификации, применяет политики контроля доступа и противодействия угрозам, а также выполняет активное обнаружение угроз.

Важно

Узел обнаружения может одновременно работать только с одним контроллером домена.

Установка

  1. Скопируйте файл Secrets.tar.gz, полученный после установки узла управления, на сервер, выделенный для узла обнаружения.

  2. Загрузите архив с поставкой продукта на тот же сервер.

  3. Перейдите в директорию с архивом поставки и распакуйте его. Замените <имя архива> на фактическое имя файла.

    tar -xvzf <имя архива>.tar.gz

  4. Перейдите в распакованную директорию:

    cd <имя директории>

  5. Запустите скрипт install.sh от имени привилегированного пользователя:

    sudo bash install.sh --role sensor

  6. Укажите директорию, в которую будет установлен продукт. Рекомендуется устанавливать продукт в директорию /opt/itdr.

  7. Укажите полный путь к файлу Secrets.tar.gz.

  8. Укажите первичный DNS-сервер, который будет использоваться для разрешения обратных зон.

  9. Дождитесь сообщения Installation succeeded.

Внимание

Если в результате выполнения скрипта установки сообщения Installation succeeded не появилось, обратитесь в техническую поддержку.

Регистрация узла обнаружения на узле управления

Для подключения контроллера домена к узлу обнаружения требуется зарегистрировать этот узел на узле управления. Для этого:

  1. На узле управления перейдите в директорию, в которую установлен продукт.

  2. Откройте файл ./management/components/sensor-authorization-channel-pool/application.json для редактирования.

  3. Добавьте запись в секцию Sensors:

"Sensors": [
    {
      "Id": "<понятное название узла>",
      "IP": "<IP-адрес узла>"
    },
    ...
]
Рекомендации по сегментации узлов обнаружения

Сегменты позволяют выделять группы узлов обнаружения, ассоциированные с определенными географическими расположениями или изолированными подсетями. При установлении связи между узлом обнаружения и контроллером домена предпочтение будет отдаваться ситуации, когда узел и контроллер размещаются в одном сегменте.

Скрипт, выполняемый на контроллере домена, в качестве имени сегмента по умолчанию использует имя сайта, в котором находится контроллер домена, из механизма Active Directory Sites. Это поведение может быть изменено: это описано в разделе Установка скрипта сетевого перенаправления.

Чтобы привязать узел обнаружения к конкретному сегменту, укажите в конкретной записи в секции Sensors поле Segment:

"Sensors": [
  {
    "Id": "<понятное название узла>",
    "IP": "<IP-адрес узла>",
    "Segment": "<имя сегмента>"
  },
  ...
]

Узлы обнаружения, для которых не задано поле Segment, рассматриваются как универсальные, способные обслуживать любые контроллеры домена. Используйте это с осторожностью, т.к. возможна связь таких узлов с контроллером, расположенным в другой географической локации, что приведет к паразитному трафику и замедлению отклика контроллера.

Контроллер домена не подключится к узлу обнаружения, принадлежащему другому сегменту. Для обеспечения отказоустойчивости рекомендуется развернуть дополнительный узел обнаружения в каждом из сегментов в инфраструктуре, или опустить поле Segment, чтобы сделать резервные узлы универсальными.

  1. Выполните: sudo docker restart sensor-authorization-channel-pool.