目录导航
Watcher安装方法
先决条件
启动Watcher
- 抓住
docker-compose.yml
,.env
文件和Searx
,Rss-bridge
目录(保持目录结构)。 - 根据您现有的基础结构,您可以使用该文件配置Watcher设置
.env
(静态配置)。 docker-compose up
这应该运行Docker容器。
请等待,直到看到:
watcher | db_watcher is up, starting Watcher. watcher | Performing system checks... watcher | watcher | System check identified no issues (0 silenced). watcher | October 08, 2020 - 10:28:02 watcher | Django version 3.1.1, using settings 'watcher.settings' watcher | Starting development server at http://0.0.0.0:9002/ watcher | Quit the server with CONTROL-C.
- 在http://0.0.0.0:9002或http://你的服务器ip:9002上尝试使用Access Watcher。
CONTROL-C
docker-compose down
停止所有容器。
迁移
根据所有当前模型和迁移更新数据库状态。迁移及其与应用程序的关系…
docker-compose down docker-compose run watcher bash python manage.py migrate
创建管理员用户
您将需要创建第一个访问/admin
页面的超级用户。
docker-compose down docker-compose run watcher bash python manage.py createsuperuser
填充数据库
用数百个与网络安全相关的违禁列表和RSS来源填充您的数据库。
使用populate_db
脚本:
docker-compose down docker-compose run watcher bash python manage.py populate_db
配置文件
用户注册
要创建简单用户,职员用户或管理员用户:
连接到/admin
页面:
- 单击用户。
- 点击添加用户。
- 输入用户名和密码,然后单击保存。
- 选择权限:
- 主动→是默认选项,用户可以访问网站
- 人员状态→指定用户是否可以登录此管理站点。
- 超级用户状态→指定该用户具有所有权限,而无需显式分配它们。
- 您可以输入用于电子邮件通知的电子邮件地址。
- 点击保存。
添加电子邮件通知订阅者
订阅主题时接收电子邮件通知。
连接到/admin
页面:
- 单击订阅服务器。
- 点击添加用户。
- 选择用户,然后单击保存。
将您的RSS源添加到威胁检测
如您所知,此功能允许使用社交网络和其他RSS来源(www.cert.ssi.gouv.fr,www.cert.europa.eu,www.us-cert.gov,www.cyber)检测新兴漏洞,恶意软件。 .gov.au…)。
Watcher当前提供数百个RSS网络安全源(填充默认RSS源)。
但是,您可以将RSS网络安全源添加到Watcher实例:
- 首先,请确保您有一个指向RSS文件的URL(Atom 1.0,Atom 0.3,RSS 2.0,带有命名空间的RSS 2.0,RSS 1.0)。
- 您的RSS文件必须由几篇文章组成。
- 请更喜欢使用https而不是http。
连接到/admin
页面:
- 点击来源的THREATS_WATCHER一部分。
- 单击添加源。
- 填写网址文字输入。
- 点击保存。
静态配置
可以从/admin
页面上修改大多数设置。
.env
您可以配置文件中的其他设置:
生产设置[重要]
在生产中,请在文件中将DJANGO_DEBUG环境变量设置为False.env
:
DJANGO_DEBUG=False
另外,Django秘密密钥必须是一个较大的随机值,并且必须保密。默认情况下有一个,但可以考虑在.env
文件中进行更改:
DJANGO_SECRET_KEY=[large random value]
.env
文件中的时区设置:
# Time Zone TZ=Europe/Paris
如果您修改了其中一些参数,请不要忘记重新启动所有容器:
docker-compose down docker-compose up
在服务器实例中远程访问Watcher
如果访问Watcher Web界面时出现“错误请求”错误,请使用Watcher Server实例IP /或FQDN填充ALLOWED_HOST
变量(在.env
文件中)。
它限于单个IP地址/单个FQDN。
请使用以下语法:
ALLOWED_HOST=X.X.X.X or ALLOWED_HOST=mywebsite.com
现在,您可以重新启动实例,并将考虑参数:
docker-compose down docker-compose up
SMTP服务器设置(电子邮件通知)
在.env
文件中:
[email protected] SMTP_SERVER=smtp.example.com
网站网址,它将是电子邮件通知正文中的链接:
WATCHER_URL=https://example.watcher.local
现在,您可以重新启动实例,并将考虑参数:
docker-compose down docker-compose up
蜂巢设置
如果要使用TheHive导出,请填写TheHive实例的IP和生成的API密钥。
在.env
文件中:
# THE HIVE SETUP THE_HIVE_URL= THE_HIVE_KEY= THE_HIVE_CASE_ASSIGNEE=watcher
现在,您可以重新启动实例,并将考虑参数:
docker-compose down docker-compose up
MISP设定
如果要使用MISP导出,请填写MISP实例的IP和API密钥。
在.env
文件中:
# MISP Setup MISP_URL= MISP_VERIFY_SSL=False MISP_KEY=
现在,您可以重新启动实例,并将考虑参数:
docker-compose down docker-compose up
LDAP设定
您可以在Watcher中配置LDAP身份验证:
在.env
文件中:
# LDAP Setup AUTH_LDAP_SERVER_URI= AUTH_LDAP_BIND_DN= AUTH_LDAP_BIND_PASSWORD= AUTH_LDAP_BASE_DN= AUTH_LDAP_FILTER=(uid=%(user)s)
现在,您可以重新启动实例,并将考虑参数:
docker-compose down docker-compose up
技巧和窍门
蜂巢和MISP导出
- 转到/ website_monitoring页面。
- 将新的DNS添加到受监视。
- 点击蓝色的上传/云按钮。
- 选择您要使用的服务。
故障排除
如果导出未按预期工作,则可能与TheHive或MISP实例的版本有关。
实际上,如果您使用的TheHive / MISP实例已过时,则客户端API版本将与您的TheHive / MISP实例版本不对应:
- 更新Thehive或MISP。
删除并添加到阻止列表
有一个阻止用户访问此列表的列表,以防止错误的流行趋势再次出现。
要添加1个单词:
- 转到登录页面。
- 进行身份验证,然后单击“删除和阻止列表”按钮。
要添加一些话:
- 转到/admin页面。
- 点击时髦的词。
- 选中您要删除的单词并屏蔽列表。
- 单击操作下拉菜单。
- 选择“删除并阻止所选流行词的列表”。
存档的警报
处理警报后,可以对其进行存档。
要归档1个警报:
- 转到要存档的警报。
- 选择“禁用”按钮。
要归档多个警报:
- 转到/ admin页面。
- 单击警报。
- 检查要存档的警报。
- 单击操作下拉菜单。
- 选择“禁用选定的警报”。
更新Watcher
要更新Watcher ,请按照以下说明进行操作:
- 停止所有容器:
docker-compose down
- 删除旧的docker映像:
docker rmi felix83000/watcher:latest searx/searx searx/searx-checker rssbridge/rss-bridge:latest
- 拉出较新的docker映像:
docker-compose up
这将更新Watcher,Rss-bridge和Searx。
删除数据库
在进行故障排除或其他操作时,您可能希望完全重置数据库。为此,您需要删除存储在主机系统中的数据库并重新启动实例:
docker-compose down docker volume rm watcher-project_db_data docker volume rm watcher-project_db_log
现在,您可以重建图像,并且将考虑参数:
docker-compose up
不要忘记迁移。
有用的命令
如果要在后台运行它,请使用。docker-compose up -d
在Watcher容器上运行交互式Shell会话:
docker-compose run watcher bash