Просто установленный OSSEC, что затем?
1 ответ
Мой вопрос теперь: каковы некоторые общие задачи, которые я должен попробовать затем?
OSSEC имеет правила по умолчанию выполнить анализ журнала, проверку целостности файлов, обнаружение руткита...
Можно попробовать некоторые общие задачи, такие как:
- контроль ядра регистрируется путем добавления ниже конфигурации к
ossec.conf:
<localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile>
- Добавление некоторых исключает слова, которых Вы не хотите к получению остерегающегося
/var/ossec/rules/local_rules.xml:
RRD_update|getaddrinfo|does not represent a number in line|error.class.php|Bind to port|errorsign.jpg|error.gif|error retrieving information about user
и перезапись некоторые правила:
<rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes">
<if_matched_sid>5702</if_matched_sid>
<options>no_email_alert</options>
<description>Possible breakin attempt </description>
<description>(high number of reverse lookup errors).</description>
</rule>
- запишите несколько сценариев оболочки для активного ответа
- интегрируйте OSSEC с Splunk
Я хотел бы войти и изменить некоторый файл, который OSSEC контролирует, чтобы видеть, предупреждает ли он на том, что, но я не знаю то, что контролируют правила по умолчанию.
Можно искать ключевое слово integrity в rules папка:
# grep -lir "integrity" /var/ossec/rules/
/var/ossec/rules/msauth_rules.xml
/var/ossec/rules/syslog_rules.xml
/var/ossec/rules/ossec_rules.xml
Это - идентификатор 550 правила:
<rule id="550" level="7">
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<description>Integrity checksum changed.</description>
<group>syscheck,</group>
</rule>
2