Пользовательские правила Wazuh для мониторинга команд

Question

Пользовательские правила Wazuh для мониторинга команд

Я изо всех сил пытаюсь написать собственное правило wazuh, чтобы отправлять оповещения при написании определенных команд (powershell и bash).

Может кто-нибудь помочь мне?

Заранее спасибо!

0

security customization script intrusion-detection wazuh

Источник

27 июл '21 в 23:20

1 ответ

Другие вопросы по тегам security customization script intrusion-detection wazuh

20 авг '21 в 10:56 2021-08-20 10:56 · Answer 1 · 2021-08-20 10:56

В системах Linux есть мощное средство аудита, называемое auditd, которое может дать очень подробный отчет о действиях и изменениях в системе, но по умолчанию правила auditd не активны, поэтому мы, как правило, упускаем эту подробную историю.

Выполним следующие шаги, чтобы создать настраиваемое правило:

Имея уже sudo-ed для получения root-прав на нашей машине с Linux-агентом, добавьте следующие правила аудита в /etc/audit/rules.d/audit.rules

      echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/rules.d/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/rules.d/audit.rules

Где auid=1000представляет идентификатор пользователя. Если вы не уверены, вы можете проверить это значение, запустив: grep centos /etc/passwd (замена centos, если у вас другое имя пользователя).

Перезагрузите правила и убедитесь, что они на месте:

      auditctl -R /etc/audit/rules.d/audit.rules
auditctl -l

Теперь мы собираемся создать список команд, за которыми будет следить Wazuh:

В wazuh-manager создайте /var/ossec/etc/lists/suspicious-programs с этим содержанием:

      ncat:
nc:
tcpdump:
ping:

В wazuh-manager добавьте это в <ruleset> раздел конфигурации ossec в /var/ossec/etc/ossec.conf:

      <ruleset>
 <list>etc/lists/suspicious-programs</list>

Теперь давайте добавим новое правило, которое использует этот список как часть своих критериев, для этого добавим следующее в /var/ossec/etc/rules/local_rules.xml на Wazuh Manager.

      <group name="audit">
  <rule id="100200" level="8">
      <if_sid>80792</if_sid>
      <list field="audit.command" lookup="match_key">etc/lists/suspicious-programs</list>
      <description>Audit: Suspicious Command: $(audit.exe)</description>
      <group>audit_command,</group>
  </rule>
</group>

Скомпилируйте список CDB (если ваша версия ниже v3.11.0):

      /var/ossec/bin/ossec-makelists

Перезапустите диспетчер Wazuh

Теперь, если вы запустите, например, tcpdump –-version правило 100200 будет совпадать, и будет запущено предупреждение.

Вы можете увидеть больше информации здесь.