Aller au contenu principal

Mise en route

Faites fonctionner Clear NDR en quelques minutes avec les paramètres par défaut.

Prérequis

Le système doit disposer de Docker installé et l'utilisateur exécutant les commandes stamusctl doit pouvoir exécuter des commandes Docker (sinon, utiliser sudo stamusctl).

attention

Configuration minimale : 2 cœurs et 9 Go de mémoire. Seule l'architecture amd64 est prise en charge.

Comme Suricata et OpenSearch sont multithreads, plus de cœurs améliorent les performances. Plus de mémoire est bénéfique pour gérer un trafic important.

Installer la dernière version de stamusctl

stamusctl est un binaire Go pour démarrer et contrôler vos instances Clear NDR.

Installation rapide

Choisissez une des méthodes suivantes :

Option 1 : Depuis GitHub Releases (recommandée)

wget https://github.com/StamusNetworks/stamusctl/releases/latest/download/stamusctl-linux-amd64
chmod +x stamusctl-linux-amd64
sudo mv stamusctl-linux-amd64 /usr/local/bin/stamusctl

Option 2 : Depuis Stamus Networks

wget https://dl.clearndr.io/stamusctl-linux-amd64
chmod +x stamusctl-linux-amd64
sudo mv stamusctl-linux-amd64 /usr/local/bin/stamusctl
remarque

Installer dans /usr/local/bin/ permet d’exécuter stamusctl de n’importe où. Pour une installation locale, gardez le binaire et préfixez les commandes par ./stamusctl.

Configurer et démarrer Clear NDR

L’installation par défaut analyse le trafic d’une interface en direct et enregistre tous les événements.

Initialiser la configuration

stamusctl compose init

La commande init vous demandera de choisir l’interface de capture si plusieurs sont disponibles.

info

Paramétrer la variable HOME_NET utlisée pour la détection est chaudement recommandée si le réseau monitoré utilise IPv6. Voir Paramétrer le HOME_NET pour plus d'informations.

Démarrer la stack

stamusctl compose up -d
remarque

Plus d’options sont disponibles en mode expert (-E). La configuration peut être modifiée ultérieurement.

info

La commande crée un répertoire config avec la configuration et les données. Pour interagir avec l’instance, exécutez les commandes depuis le dossier parent de config.

Connexion à l’interface Web

Accédez à https://localhost/ avec l’utilisateur clearndr et le mot de passe clearndr.

Page de connexion

La page d’accueil affiche les événements IDS générés par Suricata. Si le dispositif de capture est connecté à Internet, les alertes apparaîtront rapidement. Sinon, vous pouvez rejouer des fichiers PCAP.

Clear NDR propose également la surveillance du trafic applicatif : les événements de couche application sont accessibles via le lien OpenSearch Dashboards dans le menu de gauche, même en l’absence d’alertes.

Relecture de certains fichiers PCAP

Optionnel : pour peupler le système avec des analyses de fichiers PCAP, utilisez :

stamusctl compose readpcap /chemin/absolu/vers/fichier.pcap
remarque

Le chemin du fichier PCAP doit être absolu.

Par exemple, si un fichier PCAP mta-2022.pcap est disponible dans votre répertoire Downloads, vous pouvez exécuter :

stamusctl compose readpcap ~/Downloads/mta-2022.pcap

Ensuite, sélectionnez la plage temporelle All et choisissez la sonde correspondant au fichier pour n’afficher uniquement les événements associés à ce PCAP.

Résultat analyse PCAP

Arrêter l’instance Clear NDR

stamusctl compose down

Pour supprimer également les volumes :

stamusctl compose down -v
rm -rf config/

Lister toutes les instances Clear NDR

stamusctl config list

Configuration avancée

Mode expert

stamusctl compose init -E

Paramètres personnalisés

stamusctl compose init suricata.interfaces=eth0

Paramétrer la variable HOME_NET

Vous pouvez paramétrer la variable HOME_NET, utilisée pour la détection, lors de l'initialisation :

stamusctl compose init suricata.homenet=192.168.0.0/16,10.0.0.0/8,172.16.0.0/12,2aa1:af0a:0b2e:fa60:0000:0000:0000:0000/64

ou vous pouvez le faire plus tard en utilisant la commande config :

stamusctl config set --apply suricata.homenet=192.168.0.0/16,10.0.0.0/8,172.16.0.0/12,2a01:0e0a:0b2e:ca60:0000:0000:0000:0000/64

Répertoire de configuration

stamusctl compose init --config /chemin/config-perso

Version de modèle

stamusctl compose init --version 3.2.1

Architecture des modèles

Clear NDR utilise une architecture par modèles séparés :

  • Modèles stockés dans le dépôt stamusctl-templates
  • Modèle par défaut « clearndr » (branche main/data/clearndr)
  • Versionnement des modèles pour reproductibilité
  • Intégration de registres de modèles via --registry

Mode démon (stamusd)

Pour automatisation et accès à distance, un démon stamusd expose une API REST similaire :

stamusd run

Ce mode démon offre :

  • Gestion à distance et automatisation
  • Gestion de la configuration via API REST
  • Contrôle programmatique des instances Clear NDR
  • API documentée avec Swagger

Documentation Swagger : http://localhost:8080/swagger/index.html

remarque

Le mode démon s’adresse aux scénarios avancés ; l’interface CLI suffit généralement.