我们需要在 Windows 服务器(一个 Web 服务器和一个数据库服务器)上监控文件完整性,在投资 Tripwire 之前,我会先了解一下 OSSEC。我在我的 ubuntu 笔记本电脑上安装了一个本地安装进行测试,它似乎可以正常工作。我收到了一些电子邮件提醒,说这是我第一次使用该帐户登录、使用 sudo 等。
我现在的问题是:接下来我应该尝试哪些常见任务?我想进入并更改 OSSEC 正在监控的一些文件,看看它是否会对此发出警报,但我不知道默认规则正在监控什么。
答案1
我现在的问题是:接下来我应该尝试哪些常见任务?
OSSEC 有默认规则来执行日志分析、文件完整性检查、rootkit 检测等……
您可以尝试一些常见的任务,例如:
- 通过添加以下配置来监控内核日志
ossec.conf:
<localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile>
- 添加一些您不想收到警报的排除词
/var/ossec/rules/local_rules.xml:
RRD_update|getaddrinfo|不代表行中的数字|error.class.php|绑定到端口|errorsign.jpg|error.gif|检索有关用户的信息时出错
并覆盖一些规则:
<rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes">
<if_matched_sid>5702</if_matched_sid>
<options>no_email_alert</options>
<description>Possible breakin attempt </description>
<description>(high number of reverse lookup errors).</description>
</rule>
- 编写几个 shell 脚本用于主动响应
- 整合OSSEC 与 Splunk
我想进入并更改 OSSEC 正在监控的一些文件,看看它是否对此发出警报,但我不知道默认规则正在监控什么。
integrity您可以在文件夹中搜索关键字rules:
# grep -lir "integrity" /var/ossec/rules/
/var/ossec/rules/msauth_rules.xml
/var/ossec/rules/syslog_rules.xml
/var/ossec/rules/ossec_rules.xml
它的规则 ID 是 550:
<rule id="550" level="7">
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<description>Integrity checksum changed.</description>
<group>syscheck,</group>
</rule>