@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

implementar-soc-instalacion-patrowl-1

Implementar SOC: Instalación Patrowl

Implementar SOC: Instalación Patrowl

Patrowl, como ya hablamos en la entrada inicial para montar un SOC Opensource, es una plataforma de automatización para revisar la seguridad de nuestra infraestructura.

Nos permite hacer pruebas de penetración, evaluación de vulnerabilidades, revisión de códigos, verificaciones de cumplimiento.

En mi caso, lo voy a implementar bajo Debian y lo voy a integrar con TheHive que ya lo tenemos montado en otra entrada.

Os voy a enseñar como se hace con Docker, ya que puede ser una buena opción para gestionar de forma eficiente las evaluaciones de seguridad en tus infraestructuras de IT.

ENLACE DOCUMENTACION: https://github.com/Patrowl/PatrowlDocs/blob/master/installation/installation-guide.md

Requisitos de Hardware Patrowl

Los requisitos de hardware para Patrowl dependerán del tamaño de tu implementación y la carga de trabajo prevista. Sin embargo, aquí os dejo una configuración recomendada para un entorno pequeño o medio:

  • CPU: 2 cores o más.
  • Memoria RAM: Mínimo de 4 GB; recomendado 8 GB o más para un mejor rendimiento.
  • Almacenamiento: Mínimo de 20 GB de espacio libre en disco. Se recomienda SSD para mejorar el rendimiento de la base de datos y de la aplicación.

Requisitos de Software Patrowl

Patrowl es una aplicación basada en Python y Django, y utiliza MongoDB como su base de datos. Aquí están los requisitos de software principales:

  • Sistema Operativo: Compatible con cualquier sistema operativo basado en Linux, como Ubuntu, Debian, CentOS, etc.
  • Python: Python 3.6 o superior.
  • MongoDB: MongoDB 3.2 o superior.
  • Otras Dependencias de Python:
    • Django
    • Django REST framework
    • Celery
    • Otros paquetes listados en el archivo requirements.txt del proyecto Patrowl en GitHub:

Requisitos Patrowl para Docker

Si optas por la instalación mediante Docker, necesitaremos:

  • Docker: Versión 19.03 o superior.
  • Docker Compose: Versión 1.25.0 o superior.

Componentes Patrowl

Patrowl es una solución para la gestión de vulnerabilidades que se estructura en dos componentes principales:

  • Patrowl Manager y Patrowl Engines. Cada uno tiene un rol específico dentro del ecosistema de Patrowl, trabajando conjuntamente para ofrecer una plataforma integral para el descubrimiento, la gestión y el remedio de vulnerabilidades en diversos ambientes IT.

Patrowl Manager

Patrowl Manager es el corazón del sistema Patrowl. Es la interfaz de usuario web y el servidor backend que proporciona la funcionalidad central de gestión de vulnerabilidades. Aquí están algunos de sus roles y características clave:

  • Interfaz Centralizada: Patrowl Manager ofrece una interfaz gráfica de usuario (GUI) a través de la cual los usuarios pueden gestionar configuraciones, visualizar informes y manejar alertas.
  • Gestión de Activos: Permite a los usuarios registrar y categorizar activos digitales, como dominios, direcciones IP y aplicaciones web, que serán el objetivo de las pruebas de vulnerabilidad.
  • Orquestación de Escaneos: Coordina y maneja los escaneos de vulnerabilidad ejecutados por los Patrowl Engines.
  • Análisis y Reportes: Analiza los datos recolectados por los motores de escaneo, genera reportes detallados sobre vulnerabilidades y ofrece dashboards para una visión general del estado de seguridad.
  • Notificaciones y Alertas: Configura y gestiona alertas basadas en ciertos criterios de vulnerabilidad y severidad para informar a los administradores sobre problemas críticos.

PatrowlEngines

Patrowl Engines son los componentes encargados de realizar el trabajo “sucio” de identificar vulnerabilidades. Son básicamente escáneres y otras herramientas de seguridad integradas que se comunican con el Patrowl Manager. Estos son algunos aspectos destacados:

  • Modularidad y Escalabilidad: Cada engine puede funcionar de manera independiente, permitiendo una arquitectura distribuida y escalable que puede expandirse fácilmente añadiendo más engines.
  • Diversidad de Herramientas: Patrowl Engines pueden integrar diversas herramientas y servicios de escaneo de vulnerabilidades, tanto de código abierto como comerciales. Esto incluye escáneres de red, aplicaciones web, APIs y sistemas en la nube.
  • Automatización de Tareas: Realizan escaneos programados o disparados por eventos específicos, enviando los resultados de vuelta al Patrowl Manager para su análisis y reporte.

Diferencias Clave Patrowl Manager vs Patrowl Engines

  • Funcionalidad: Patrowl Manager actúa como la interfaz y cerebro operativo para la administración y visualización, mientras que Patrowl Engines son los agentes de ejecución que llevan a cabo los escaneos y recopilan datos.
  • Arquitectura: Mientras que Patrowl Manager necesita una única instancia para gestionar la plataforma, Patrowl Engines puede desplegarse en múltiples instancias y ubicaciones, dependiendo del alcance y la escala de los objetivos de escaneo.
  • Interacción: Patrowl Manager es donde los usuarios interactúan con el sistema, configurando escaneos y revisando resultados. Los Patrowl Engines, en cambio, operan más en el backend, ejecutando las tareas de escaneo configuradas a través del Manager.

La combinación de Patrowl Manager y Patrowl Engines permite a las organizaciones construir un sistema de gestión de vulnerabilidades altamente eficiente y adaptable, adecuado tanto para pequeñas empresas como para grandes corporaciones con múltiples activos digitales.

Vamos al lío, os explico cómo puedes hacerlo en ambos entornos. Como el resto del laboratorio usaré Debian 12 en contenedor LXC:

Instalación Patrowl Manager bajo Docker

Os dejo el proceso de instalación de Patrowl Manager bajo Docker.

Partimos de tener instalado docker en el sistema, sino os dejo los pasos:

Creamos un almacenamiento persistente para el docker de Patrowl Manager:

Editamos el fichero:

Agregamos la línea para el almacenamiento persistente que hemos generado anteriormente:

Generamos la imagen a través del fichero:

Una vez completado el proceso, arrancamos el container:

Validamos la creación:

Y comprobamos el acceso, vía puerto web 8083:

implementar-soc-instalacion-patrowl-4

El usuario por defecto de Patrowl Manager es: admin/Bonjour1!

implementar-soc-instalacion-patrowl-5

Instalación Patrowl Engines bajo Docker

Para instalar Patrowl Engines usaremos la siguiente guía:

Generamos la imagen y lanzamos los contenedores (tarda bastante):
Lanzamos los contenedores:

Integrar Patrowl con TheHive

Ahora que tenemos los dos componentes de Patrowl instalados, vamos a integrarlo con TheHive. Necesitamos generar un API KEY desde TheHive para un usuario que conecte el servicio. Esto es un lab, así que lo hago con “admin”, pero podría llamarse “apipatrowl” o algo más identificativo:

implementar-soc-instalacion-patrowl-7

Así que vamos al usuario (si cambiáis el usuario “admin” por otro mejor), arriba a la derecha, y pulsamos Settings:

implementar-soc-instalacion-patrowl-6

Pulsamos “Add new settings” y rellenamos los dos valores:

  • Key: alerts.endpoint.thehive.apikey
  • Value: KEY-THEHIVE-USER

implementar-soc-instalacion-patrowl-8

Repetimos la operación generando un setting para la URL y para el USER:

  • KEY: alerts.endpoint.thehive.url
  • VALUE: http://10.0.0.12:9000 (la IP de mi TheHive)

Y el segundo valor:

  • KEY: alerts.endpoint.thehive.user
  • VALUE: admin (en mi caso particular)

implementar-soc-instalacion-patrowl-9

Ahora vamos al menú Rules -> List rules y generamos una regla. Pulsamos ADD:

implementar-soc-instalacion-patrowl-10

Con esto tenemos todo preparado.

ENTRADAS RELACIONADAS CREACION SOC OPENSOURCE

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

mikrotik-alertas-y-monitorizacion-estado-del-router-4

Mikrotik: Hardening configuraciones Router

Mikrotik: Hardening configuraciones Router El “hardening” de un router se refiere al proceso de fortalecer …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

17 − tres =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu