配置离线端点和气隙环境
Elastic Stack
默认情况下,Elastic Endpoint 会自动从 https://artifacts.security.elastic.co 下载全局工件更新,从而持续防御最新威胁。在受限网络中运行 Elastic Endpoint 时,您可以设置本地镜像服务器,以代理无法直接访问 elastic.co URL 的端点的更新。
- 如果您的端点无法直接访问互联网,请设置本地 HTTP 镜像服务器。请参阅 托管 Elastic Endpoint 工件镜像。
- 如果您的端点在气隙环境中运行,请设置本地 HTTP 服务器并手动复制全局工件更新。请参阅 托管气隙 Elastic Endpoint 工件服务器。
您可以部署自己的 Elastic Endpoint 全局工件镜像,使端点能够通过充当代理的另一台服务器自动更新其全局工件。这样,即使端点无法直接访问互联网,也能获取更新。
完成以下步骤
- 部署 HTTP 反向代理服务器。
- 配置 Elastic Endpoint 以从代理服务器读取。
设置并配置 HTTP 反向代理,以将请求转发到 https://artifacts.security.elastic.co,并在代理时包含来自 elastic.co 服务器的响应标头。
实体标签 (Etag) 标头是强制性 HTTP 响应标头,您必须在服务器配置文件中设置。Elastic Endpoint 使用 Etag 标头来确定您的全局工件自上次下载以来是否已更新。如果您的服务器配置文件不包含 ETag 标头,则 Elastic Endpoint 在新工件可用时不会下载它们。
示例:Nginx
此示例脚本启动一个 Nginx Docker 镜像并将其配置为代理工件
cat > nginx.conf << EOF
server {
location / {
proxy_pass https://artifacts.security.elastic.co;
}
}
EOF
docker run -v "$PWD"/nginx.conf:/etc/nginx/conf.d/default.conf:ro -p 80:80 nginx
示例:Apache HTTPD
此示例脚本启动一个 Apache httpd Docker 镜像并将其配置为代理工件
docker run --rm httpd cat /usr/local/apache2/conf/httpd.conf > httpd.conf
cat >> httpd.conf << EOF
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule ssl_module modules/mod_ssl.so
SSLProxyEngine on
ServerName localhost
ProxyPass / https://artifacts.security.elastic.co/
ProxyPassReverse / https://artifacts.security.elastic.co/
EOF
docker run -p 80:80 -v "$PWD"/httpd.conf:/usr/local/apache2/conf/httpd.conf httpd
为每个需要使用镜像的 Elastic Defend 集成策略 设置 advanced.artifacts.global.base_url 高级设置。请注意,每个操作系统都有单独的设置
linux.advanced.artifacts.global.base_urlmac.advanced.artifacts.global.base_urlwindows.advanced.artifacts.global.base_url
如果 Elastic Endpoint 需要在封闭网络中完全离线运行,您可以设置镜像服务器并定期手动使用新的工件更新对其进行更新。
完成以下步骤
- 部署 HTTP 文件服务器。
- 配置 Elastic Endpoint 以从文件服务器读取。
- 手动将工件更新复制到文件服务器。
部署 HTTP 文件服务器以从本地目录提供文件,该目录将在稍后的步骤中填充工件更新文件。
实体标签 (Etag) 标头是强制性 HTTP 响应标头,您必须在服务器配置文件中设置。Elastic Endpoint 使用 Etag 标头来确定您的全局工件自上次下载以来是否已更新。如果您的服务器配置文件不包含 ETag 标头,则 Elastic Endpoint 在新工件可用时不会下载它们。
示例:Nginx
此示例脚本启动一个 Nginx Docker 镜像并将其配置为文件服务器
cat > nginx.conf << 'EOF'
# set compatible etag format
map $sent_http_etag $elastic_etag {
"~(.*)-(.*)" "$1$2";
}
server {
root /app/static;
location / {
add_header ETag "$elastic_etag";
}
}
EOF
docker run -v "$PWD"/nginx.conf:/etc/nginx/conf.d/default.conf:ro -v "$PWD"/static:/app/static:ro -p 80:80 nginx
示例:Apache HTTPD
此示例脚本启动一个 Apache httpd Docker 镜像并将其配置为文件服务器
docker run --rm httpd cat /usr/local/apache2/conf/httpd.conf > my-httpd.conf
cat >> my-httpd.conf << 'EOF'
# set compatible etag format
FileETag MTime
EOF
docker run -p 80:80 -v "$PWD/static":/usr/local/apache2/htdocs/ -v "$PWD"/my-httpd.conf:/usr/local/apache2/conf/httpd.conf:ro httpd
为每个需要使用镜像的 Elastic Defend 集成策略 设置 advanced.artifacts.global.base_url 高级设置。请注意,每个操作系统都有单独的设置
linux.advanced.artifacts.global.base_urlmac.advanced.artifacts.global.base_urlwindows.advanced.artifacts.global.base_url
从 Elastic 全局工件服务器下载最新的工件文件,然后将这些文件复制到您在步骤 1 中创建的服务器实例。
以下是一个示例脚本,用于下载所有全局工件更新。每个 Elastic Endpoint 版本都有不同的工件文件。更改示例脚本中 ENDPOINT_VERSION 变量的值,以匹配 Elastic Endpoint 的已部署版本。
export ENDPOINT_VERSION=9.0.0 && wget -P downloads/endpoint/manifest https://artifacts.security.elastic.co/downloads/endpoint/manifest/artifacts-$ENDPOINT_VERSION.zip && zcat -q downloads/endpoint/manifest/artifacts-$ENDPOINT_VERSION.zip | jq -r '.artifacts | to_entries[] | .value.relative_url' | xargs -I@ curl "https://artifacts.security.elastic.co@" --create-dirs -o ".@"
此命令将下载应直接复制到文件服务器的文件和目录结构。
Elastic 会随着检测引擎的改进不断发布更新。因此,我们建议至少每月更新一次气隙环境,以保持工件更新的最新状态。
每个新的全局工件更新版本都会递增一个版本标识符,您可以检查该标识符以确保 Elastic Endpoint 已接收并安装了最新版本。
要确认给定 Elastic Endpoint 版本的最新工件版本,请检查已发布的版本。此示例脚本检查版本
curl -s https://artifacts.security.elastic.co/downloads/endpoint/manifest/artifacts-9.0.0.zip | zcat -q | jq -r .manifest_version
将上述命令中的 https://artifacts.security.elastic.co 替换为您的本地镜像服务器,以验证是否正确提供了工件。
在更新 Elastic Endpoint 配置以从镜像服务器读取后,使用 Kibana 的 Discover 视图 在 metrics-* 数据视图中搜索 endpoint.policy 响应文档,然后检查已安装的版本 (Endpoint.policy.applied.artifacts.global.version) 并与上述命令的输出进行比较
