badsectorlabs.ludus_elastic_container

Ansible ロール: Elastic Container

Linux システムで Elastic Container を実行する Ansible ロールです。

エージェントポリシーを作成します。
ポリシーに 2 つのインテグレーション（Elastic Defend と Windows）を追加します。
1 台の Fleet サーバーを構成します。
互換性のあるエージェントバージョンをダウンロードし、"オフライン" エージェントインストールのためにホスト (/opt/ludus/resources/elastic) に配置します。
出力の elasticsearch URL を、Elastic サーバーの IPv4 アドレスの配列に再構成します。
認証トークンを {{ ludus_elastic_container_install_path }}/enrollment_token.txt に書き込みます。このトークンと elastic サーバーに割り当てられた IP アドレスがあれば、エージェントをデプロイする準備が整います。

要件

特になし。

ロール変数

使用可能な変数は以下に示されており、デフォルト値も含まれています（defaults/main.yml を参照）:

ludus_elastic_container_install_path: /opt/elastic_container
ludus_elastic_password: "elasticpassword"
ludus_elastic_stack_version: "8.12.2"
ludus_elastic_container_branch: 05c0b91a36a0918d095c28295a9c64a9def275f5 # 確認済みコミット, 2024-07-03

依存関係

geerlingguy.docker

[オプション] ロールをアップロードする前に .env サンプルを確認してください（クローンして追加する場合）。

例: プレイブック

- hosts: elastic-server
  roles:
    - badsectorlabs.ludus_elastic_container

例: Ludus 範囲の設定

ludus:
  - vm_name: "{{ range_id }}-elastic-server"
    hostname: "{{ range_id }}-elastic-server"
    template: debian-12-x64-server-template
    vlan: 20
    ip_last_octet: 2
    ram_gb: 8
    cpus: 4
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - badsectorlabs.ludus_elastic_container
    role_vars:
      ludus_elastic_password: "hellofromtheotherside"

Ludus セットアップ

# ロールをあなたの ludus ホストに追加
ludus ansible roles add badsectorlabs.ludus_elastic_container

# VM に割り当てるために構成をファイルに取得
ludus range config get > config.yml

# 構成を編集して、Elastic サーバーにしたい VMs にロールを追加
ludus range config set -f config.yml

# ユーザー定義のロールのみで範囲をデプロイ :)
ludus range deploy -t user-defined-roles

デプロイが完了したら、https://<IP>:5601 で Kibana UI にアクセスできます。
Kibana UI では、独自の検出ルールを有効にできます（アラートをトリガーするため）。デフォルトではルールは有効になっておらず、ユーザーが "ノイズ" を管理できるようになっています。検出ルールの管理に関する良いリファレンスです。