OSSECをインストールしたばかりですが、次は何ですか?
Windowsサーバー(Webサーバーとデータベースサーバー)でファイルの整合性を監視する必要があります。Tripwireにお金を投じる前に、OSSECをチェックしています。 ubuntuラップトップでテストするローカルインストールをインストールしましたが、機能しているようです。そのアカウントで初めてログインしたり、Sudoを使用したりしたことなどについて、いくつかの電子メールアラートを受け取りました。
今の私の質問:次に試すべき一般的なタスクは何ですか? OSSECが監視しているファイルを変更して、アラートが表示されるかどうかを確認したいのですが、デフォルトのルールが何を監視しているのかわかりません。
今の私の質問:次に試すべき一般的なタスクは何ですか?
OSSECには、ログ分析、ファイル整合性チェック、ルートキット検出などを実行するためのデフォルトのルールがあります。
次のような一般的なタスクを試すことができます。
- 以下の設定を
ossec.confに追加して、カーネルログを監視します。
<localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile>
/var/ossec/rules/local_rules.xmlに警告を発したくない除外単語をいくつか追加します。
RRD_update | getaddrinfo |行の番号を表していません| error.class.php |ポートにバインド| errorsign.jpg | error.gif |ユーザーに関する情報の取得エラー
いくつかのルールを上書きします。
<rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes">
<if_matched_sid>5702</if_matched_sid>
<options>no_email_alert</options>
<description>Possible breakin attempt </description>
<description>(high number of reverse lookup errors).</description>
</rule>
- アクティブな応答のためにいくつかのシェルスクリプトを書く
- 統合 OSSECとSplunk
OSSECが監視しているファイルを変更して、アラートが表示されるかどうかを確認したいのですが、デフォルトのルールが何を監視しているのかわかりません。
integrityフォルダでキーワードrulesを検索できます。
# grep -lir "integrity" /var/ossec/rules/
/var/ossec/rules/msauth_rules.xml
/var/ossec/rules/syslog_rules.xml
/var/ossec/rules/ossec_rules.xml
ルールID550です。
<rule id="550" level="7">
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<description>Integrity checksum changed.</description>
<group>syscheck,</group>
</rule>