#wazuh
Вопрос:
Я изо всех сил пытаюсь написать пользовательское правило wazuh, чтобы отправлять предупреждения при написании определенных команд (powershell и bash).
Кто-нибудь может мне помочь?
Заранее спасибо!
Ответ №1:
В системах Linux есть мощное средство аудита под названием auditd, которое может предоставить очень подробный отчет о действиях и изменениях в системе, но по умолчанию правила auditd не активны, поэтому мы склонны упускать эту подробную историю.
Давайте выполним следующие шаги по созданию пользовательского правила:
- Уже разрешив root на нашем компьютере с linux-агентом, добавьте следующие правила аудита в
/etc/audit/rules.d/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/rules.d/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/rules.d/audit.rules
Где auid=1000
представляет идентификатор пользователя. Если вы не уверены, вы можете проверить это значение, выполнив команду: grep centos /etc/passwd
(замените centos, если у вас другое имя пользователя).
- Обновите правила и подтвердите, что они действуют:
auditctl -R /etc/audit/rules.d/audit.rules
auditctl -l
Теперь мы создадим список команд, за которыми будет следить Вазух:
- На wazuh-менеджере создавайте
/var/ossec/etc/lists/suspicious-programs
с помощью этого контента:
ncat:
nc:
tcpdump:
ping:
- В wazuh-менеджере добавьте это в
<ruleset>
раздел конфигурации ossec в/var/ossec/etc/ossec.conf
:
<ruleset>
<list>etc/lists/suspicious-programs</list>
- Теперь давайте добавим новое правило, которое использует этот список как часть своих критериев, чтобы сделать это, добавьте следующее
/var/ossec/etc/rules/local_rules.xml
в диспетчер Wazuh.
<group name="audit">
<rule id="100200" level="8">
<if_sid>80792</if_sid>
<list field="audit.command" lookup="match_key">etc/lists/suspicious-programs</list>
<description>Audit: Suspicious Command: $(audit.exe)</description>
<group>audit_command,</group>
</rule>
</group>
- Составьте список CDB (если ваша версия ниже версии v3.11.0):
/var/ossec/bin/ossec-makelists
- Перезапустите диспетчер Wazuh
Теперь, например, если вы запустите tcpdump –-version
, правило 100200
будет соответствовать и будет вызвано предупреждение.
Вы можете увидеть более подробную информацию здесь.