指示：HIDS OSSECを紹介します

OSSEC（オープンソースのホストベースの侵入検知システム）は、ホストベースの侵入検知システムです。 サーバー上のファイルの整合性をチェックし、サーバー上のさまざまなアクションをログに記録し、サーバー（およびその他）からセキュリティイベントを受信し、これらのイベントに関する通知、さまざまなレポートなどを表示するタスクがあれば、HIDS OSSECは優れたソリューションですこれらのタスクの下で。 OSSECは、エージェント+サーバースキームに従って、ハイブリッドモード（エージェント->サーバー->サーバー）でローカルに動作できます。 エージェント+サーバースキームを検討し、ハイブリッドモードで作業します。

内容

OSSECをインストールする
OSSEC構成ファイルの構成
エージェントを追加する
エージェントの構成ファイルの構成
メールアラート
エージェントと連携してレポートを受信する
他のシステムへのデータ出力
OSSECハイブリッド操作

OSSECをインストールする

Ubuntu 14.04 OSへのインストールOSSECのインストールに必要なパッケージをインストールします。

apt-get install make gcc libssl-dev 

オフサイトからOSSECをダウンロードします。

 http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz tar -xvf ossec-hids-2.8.2.tar.gz cd ossec-hids-2.8.2 

インストールスクリプト./install.shを実行します。 言語を選択してください（en）。 質問に答えます：

 1) What kind of installation do you want (server, agent, local, hybrid or help)?  server. 2)   . 3) Do you want e-mail notification? (y/n) [y]:   smtp    email . 4) Do you want to run the integrity check daemon? (y/n) [y]:     . 5) Do you want to run the rootkit detection engine? (y/n) [y]:   . 6) Do you want to enable active response? (y/n) [n]:   IPS.         . 7) Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: y 

インストールが完了するのを待っています。

デフォルトでは、OSSECは/ var / ossec /ディレクトリにインストールされます。 バイナリファイルを含むディレクトリ-/ var / ossec / bin /。 構成ファイルを含むディレクトリ-/ var / ossec / etc /。 ログを含むディレクトリ-/ var / ossec / logs /。 エージェントがサーバーと連携するには、ポート1514udpを開く必要があります。

OSSEC構成ファイルの構成

構成ファイルを開きます。
nano /var/ossec/etc/ossec.conf

グローバルセクション。
このセクションでは、電子メールアラートを設定します。

 <ossec_config> <global> <email_notification>yes</email_notification>     <email_to>ivanov@ossec.ru</email_to>    <smtp_server>mail.ossec.ru</smtp_server>  SMTP  <email_from>ossec@ossec.ru</email_from>    <email_maxperhour>100</email_maxperhour>       </global> 

Syscheckセクション。 このセクションには、ファイルの整合性をチェックするためのパラメーターが含まれています。

 <syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>18000</frequency>      <!-- Directories to check (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin,/boot,/opt,/lib,/lib64</directories>    <!-- Files/directories to ignore --> <ignore>/etc/mtab</ignore>      </syscheck> 

ファイルの整合性をチェックするための追加のパラメーターを分析します。 特定の時間にスキャンを実行する必要がある場合は、scan_timeまたはscan_dayパラメーターを使用できます。

  <scan_time>04:00</scan_time> #    4  

ファイルの整合性を常に監視する必要がある場合、この場合、リアルタイムパラメーターがあります。

 <directories realtime="yes">/etc,/usr/bin,/usr/sbin</directories> 

特定のファイルの永続的な監視は有効にできないため、このファイルが置かれているディレクトリを指定する必要があります。 OSの起動時に検証の開始を有効にすることもできます。

 <scan_on_start>yes</scan_on_start> 

新しいファイルがディレクトリに表示されたときに通知を有効にする必要がある場合は、alert_new_filesパラメーターを使用できます。

 <alert_new_files>yes</alert_new_files> 

rootcheckセクションには、ルートキット署名付きのファイルがリストされます。

localfileセクションは、ossecが監視するログファイルを指定します。

/var/ossec/etc/decoders.xmlおよび/ var / ossec / rules /にあるデコーダーとルールに基づいて、OSSECはこれらのログファイルからのイベントを処理します。 デフォルトでは、OSSECにはかなり多数のルールがあり、ルールセクションで有効/無効にすることができます。 これらのルールが十分にない場合、またはそれらのルールの一部が古くなっている場合、誰もそれらを変更したり、独自のルールを記述したりする必要はありません。

コマンドおよびアクティブ応答セクションには、IPSモード構成が含まれています。 イベントへの応答を構成できます。 / var / ossec / active-response / bin /には、イベントが発生したときに適用できるデフォルトのスクリプトがあります。 これらのスクリプトがないため、独自のスクリプトを追加できます。

エージェントを追加する

  apt-get install make gcc libssl-dev 

同じ配布からOSSECエージェントをインストールします。インストール中にのみエージェントモードを選択します。
3.1- OSSEC HIDSサーバーのIPアドレスまたはホスト名は何ですか？ OSSECサーバーのIPアドレスを指定します。 整合性チェックとルートキット検索モジュールを再度オンにします。 インストールが完了するのを待っていますが、今度はossecエージェントをサーバーに接続する必要があります。 これを行うには2つの方法があります。

第一の方法

サーバーに移動して、Agent Managerを開始します。

 /var/ossec/bin/manage_agents 

A（A）ddエージェント（A）を選択します。 次に、エージェントの名前を書きます。 エージェントのIPアドレスを指定します。 エージェントの識別子を選択します。OSSECが提供するIDをそのままにしておくことができます。
追加を確認しますか？（Y / n）：y
エージェントの追加を確認します。 次に、エージェントの（E）xtractキーを選択します。 新しいエージェントのIDを指定します。 base64文字列をコピーして、Enterキーを押します。 Agent ManagerからQ出口を選択します。 サーバーを再起動して、エージェントを正常に追加します。

 /etc/init.d/ossec restart 

次に、エージェントに移動して、エージェントマネージャーに移動します。

 /var/ossec/bin/manage_agents 

サーバーから（I）mportキーを選択して、コピーしたキーを追加します。 キーを挿入し、エージェントを追加して終了します。 次に、エージェントを実行できます。

 /etc/init.d/ossec start 

新しいエージェントが接続されたという通知をメールで受け取る必要があります。 サーバーにアクセスして、エージェントが接続されているかどうかを確認します。

  /var/ossec/bin/agent_control –l 

リストにアクティブ状態のエージェントが表示されます。 また、/ var / ossec / logs / alerts.alerts.logにイベントが表示されます。
新しいossecエージェントが接続されました。
エージェントが正常に追加されました。

第二の方法

サーバーに行きます。 サーバーの証明書を生成します。

 # openssl genrsa -out /var/ossec/etc/sslmanager.key 2048 # openssl req -new -x509 -key /var/ossec/etc/sslmanager.key -out /var/ossec/etc/sslmanager.cert -days 365 

エージェントがポート1515で登録するのを待つデーモンを開始します。

 /var/ossec/bin/ossec-authd -p 1515 >/dev/null 2>&1 & 

私たちはエージェントと一緒に車に行きます：

エージェントを追加

 /var/ossec/bin/agent-auth -m 192.168.1.113(ip  ) -p 1515 

エージェント/etc/init.d/ossec startを開始します。 サーバーに戻り、エージェントが表示されたかどうかを確認します。

 /var/ossec/bin/agent_control –l 

新しいエージェントが表示されるはずです。エージェント名はホスト名と一致します。 エージェントを正常に接続するには、OSSECサーバーを再起動する必要があります。 この追加方法は、OSSECサーバー管理者からのキーを操作するために多くのアクションを必要としないため、非常に便利です。 このモードが機能するには、サーバーとエージェントの両方で、libssl-devパッケージでOSSECをインストールする必要があります。

エージェント構成ファイルの構成

エージェント用の構成ファイルのセットアップは、サーバー用のこのファイルのセットアップと大差ありません。 セクションsyschek、rootkit、localfileなどもあります。 ただし、サーバー上にエージェント用の構成ファイルを1つ保持しておくと、エージェント自体がこの構成ファイルとその変更を取得する方が便利です。

これを行うには、サーバー上の/ var / ossec / etc / shared /にagent.confファイルを作成する必要があります-これは一般的な構成ファイルになります。 このファイルでは、エージェントのさまざまな設定を行うことができます。これはいくつかのタイプに分けることができます。
-エージェントの名前。 複数のエージェントを構成し、それらの名前をリストできます。

 <agent_config name="agentname1|agenname2|agentname3">           </agent_config> 

-サーバープロファイル。 サーバーグループ（Webサーバー、データベースなど）の構成を行うことができます。

 <agent_config profile="web-servers">           </agent_config> 

-OSタイプ。 OSのタイプに応じて構成を行うことができます。

 <agent_config os="Linux,Windows">           </agent_config> 

エージェントの構成ファイルの構文を確認するには、次を使用できます。

 /var/ossec/bin/verify-agent-conf 

その結果、/ var / ossec / etc / ossec.confで、エージェントにいくつかの行を残すことができます。

 <ossec_config> <client> <server-hostname>dns__ </server-hostname> # <server-ip>ip_</server-ip> <config-profile>_, lowmemory</config-profile> </client> </ossec_config> 

エージェントはサーバーから残りの構成を取得します。

メールアラート

OSSECサーバー構成ファイルのグローバルセクションで、電子メールアラートの操作の設定を既に指定しています。 ossecルールの各イベントには重大度レベルがあります。特定のレベル以上の電子メールアラートを受信する場合は、アラートセクションでこれを構成できます。

 <alerts> <log_alert_level>1</log_alert_level> <email_alert_level>7</email_alert_level> </alerts> 

特定のメッセージグループからのイベントの電子メールアラートを設定することもできます（グループはossecルールで指定されます）。

 <email_alerts> <email_to>web_admin@ossec.ru</email_to> <group>apache</group> </email_alerts> 

SMSメッセージを受信したい場合、ossecにはこのための特別な形式があります。

 <email_alerts> <email_to>admin@ossec.ru</email_to> <level>7</level> <format>sms</format> </email_alerts> 

エージェントと連携してレポートを受信する

 /var/ossec/bin/agent_control –l 

すべてのエージェントのリストを取得します。

 /var/ossec/bin/agent_control –i id_ 

ここでは、構成ファイルのチェックサムであるエージェントに関する情報を取得します。 サーバー上の構成と比較できます。

 md5sum /var/ossec/etc/shared/agent.conf 

チェックサムが一致しない場合、エージェントはサーバーから構成を取得しませんでした。

 /var/ossec/bin/agent_control –R id_ 

通常、エージェントの構成に変更を適用するには、エージェントの再起動が必要です。

 /var/ossec/bin/agent_control -r –a 

すべてのエージェントで整合性チェックとルートキット検索を強制的に実行します。

 /var/ossec/bin/agent_control -r –u id_ 

同じことですが、特定のエージェントに対してのみ：

 /var/ossec/bin/syscheck_update -h 

ファイルチェックサムカウンターのリセット：

 /var/ossec/bin/syscheck_update -h -l List available agents. -a Update (clear) syscheck database for all agents. -u <id> Update (clear) syscheck database for a specific agent. -u local Update (clear) syscheck database locally. 

コンソールでレポートを取得するには、次を使用できます。

 /var/ossec/bin/ossec-reportd 

例：

       - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s 

       - zcat /var/ossec/logs/alerts/2014/Dec/ossec-alerts-29.log.gz | /var/ossec/bin/ossec-reportd -s 

          - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s -f group syscheck 

        - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s -f rule 5503 

       ssh   - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s -f rule 5716 

       - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s -f rule 2902 

       - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s -f rule 2903 

    ssh   - cat /var/ossec/logs/alerts/alerts.log | /var/ossec/bin/ossec-reportd -s -f rule 5712 

     - zcat /var/ossec/logs/alerts/2009/Jul/*.gz | /var/ossec/bin/ossec-reportd -s 

特定のエージェントのファイルまたはファイルのチェックサムに関するレポートを受信できます。

 /var/ossec/bin/syscheck_control 

他のシステムへのデータ出力

OSSECでは、アラートファイルにイベントを電子メールアラートの形式で出力することに加えて、他のシステムまたはデータベースへのイベントの出力を構成できます。

SIEM Preludeへの出力

イベントをSIEM Preludeに出力するには、OSSECサーバーをインストールする前にlibprelude-devパッケージをインストールし、preludeサポートを追加する必要があります

 cd ossec-hids-2.8.2/src/ # make setprelude cd .. ./install.sh 

PreludeManagerでossecを終了します。 これを行うには、/ var / ossec / etc / ossec.confを開きます。 グローバルセクションで、行<prelude_output> yes </ prelude_output>を追加します。

次に、OSSECをプレリュードに接続します。 1つのターミナルで実行します。

 prelude-admin registration-server prelude-manager 

「p9dfqy34」パスワードは「prelude-admin register」によって要求されます
接続するために。 引用符を使用する前に削除してください。

匿名認証用の1024ビットDiffie-Hellmanキーの生成...
0.0.0.0 ∗ 553でのピアインストール要求の待機...
::: 5553でピアインストール要求を待機しています...

別の端末で、OSSECコマンドを追加します。

 # prelude-admin register OSSEC "idmef:w" 127.0.0.1 --uid ossec --gid ossec 

2048ビットRSA秘密鍵の生成...これには非常に長い時間がかかる場合があります。
[システムのアクティビティを増やすと、プロセスが高速化されます]。
生成中... X

次に、両方のデーモンを実行します。

 /etc/init.d/prelude-manager start /etc/init.d/ossec restart 

これで、OSSECからPreludeまでのイベントを観察できます。

DBのイベントの結論

データベースのイベントイベントを表示するには、OSSECをインストールする前にデータベースサポートを追加する必要があります。

 cd ossec-hids-2.8.2/src/ # make setdb cd .. ./install.sh 

後で、構成ファイルにデータベースに接続するためのパラメーターを追加します。 例：

 <ossec_config> <database_output> <hostname>192.168.2.32</hostname> <username>db_test</username> <password>db_pass1</password> <database>ossecdb</database> <type>mysql</type> </database_output> </ossec_config> 

サポートされているデータベース：MySQLおよびPostgreSQL。
データベーススキーマは文書化されていません。

次に、データベースに出力を含める必要があります。

 /var/ossec/bin/ossec-control enable database /var/ossec/bin/ossec-control restart 

syslogを介した他のシステムへの出力

次の行を構成ファイルに追加する必要があります。

 <syslog_output> <server>ip_address</server> <port>514</port> <format>default</format> </syslog_output> 

出力を含める：

 /var/ossec/bin/ossec-control enable client-syslog 

多くの場合、OSSECイベントからのsyslogを通じて、SPLUNK、Logstash、さまざまなSIEMに出力されます。

OSSECハイブリッド操作

OSSECのハイブリッドモードは、イベントをホストOSSECサーバーに転送するために、エージェント->サーバー->プライマリサーバースキームを構築します。 このモードでは、OSSECエージェントとOSSECサーバーの両方がサーバー上で実行されています。

OSSECをハイブリッドモードでインストールするには、インストールスクリプトを実行してハイブリッドインストールモードを選択し、すべての質問に答え、インストール中にメインサーバーのIPアドレスを指定する必要があります。

エージェントからのすべてのファイルは、/ var / ossec / ossec-agent /ディレクトリにあります。
以下を使用して、エージェントの開始、停止、再起動が実行されます。

  /var/ossec/ossec-agent/bin/ossec-control start|stop|restart 

このエージェントをプライマリサーバーに追加するには、プライマリサーバーで作成されたキーもインストールする必要があります。

 /var/ossec/ossec-agent/bin/manage_agents 

これで、このエージェントはファイル/var/ossec/logs/alerts/alerts.logを読み取り、これらのイベントをメインサーバーに送信します。

このモードが機能しているとき、エージェントはしばらくしてからこのログの読み取りを停止しました。 このパッチのインストールは問題の解決に役立ちました： github.com/ddpbsd/ossec-hids/tree/ossecalert

現在、135個のエージェントがOSSECサーバーに接続されており、WindowsサーバーとLinuxサーバー（Ubuntu、Debian、CentOS）の両方があります。

参照資料

-www.ossec.net
-OSSEC HIDSホストベースの侵入検知ガイド