OSSEC - Posso centralizzare il file da verificare con la configurazione centralizzata degli agenti?

Question

OSSEC - Posso centralizzare il file da verificare con la configurazione centralizzata degli agenti?

#1 da (1 voti)

1

Sto iniziando con OSSEC per il controllo dell'integrità dei file in un gruppo di server Windows e CentOS. E vorrei mantenere una configurazione centralizzata di cosa controllare per tutti i miei agenti, in base al loro sistema operativo.

Rerearching about configuration centralized agent Ho scoperto che posso creare un /var/ossec/etc/shared/agent.conf che diffonde la mia volontà a tutti i miei agenti, ma sto cercando di capire come usarlo.

Sulla base dell'esempio dei documenti OSSEC, voglio fare qualcosa del genere:

<agent_config os="Linux">
    <localfile>
        <location>/var/log/my.log2</location>
        <log_format>syslog</log_format>

        <syscheck>
           <frequency>7200</frequency>
           <auto_ignore>no</auto_ignore>
           <alert_new_files>yes</alert_new_files>
           <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
           <directories check_all="yes">/bin,/sbin</directories>
        </syscheck>

    </localfile>
</agent_config>

<agent_config os="Windows">
    <localfile>
        <location>C:\myapp\my.log</location>
        <log_format>syslog</log_format>

        <syscheck>
           <frequency>7200</frequency>
           <auto_ignore>no</auto_ignore>
           <alert_new_files>yes</alert_new_files>
             <directories check_all="yes">ProgramFiles</directories>
             <directories check_all="yes">ProgramFiles(x86)</directories>
             <directories check_all="yes">System32 </directories>
             <directories check_all="yes">SysWOW64</directories>
        </syscheck>
    </localfile>
</agent_config>

integrity ossec

posta JuliaVI 13.10.2017 - 19:07

fonte

1 risposta

Leggi altre domande sui tag integrity ossec

Crittografia utilizzando le migliori pratiche [duplicato] Inputstick: crittografia AES-128 (modalità CBC) tramite connessione Bluetooth

score 1 · Accepted Answer

Sembra interessante che tu ti sia imbattuto nello stesso caso che ho fatto.

Puoi seguire questi passaggi:

Crea un nuovo file di configurazione sul server / gestore: vim /var/ossec/etc/shared/agent.conf
Posiziona la configurazione in quel file che desideri unire su client / agenti.
Salva (premi : poi wq e inserisci).
Ottieni l'hash corrente della configurazione tramite md5sum /var/ossec/etc/shared/agent.conf
Ispeziona la configurazione dell'agente 001 tramite /var/ossec/bin/agent_control -i 001
Quando l'agente ha ricevuto la configurazione, il campo "Versione client" avrà il md5sum del file agent.conf.

Tuttavia, troverai che non funzionerà con gli agenti di Windows. Gli agenti Linux potrebbero essere una storia diversa. Se sei interessato, puoi vedere il dolore che ho attraversato:

link