OSSEC - Posso centralizzare il file da verificare con la configurazione centralizzata degli agenti?

1

Sto iniziando con OSSEC per il controllo dell'integrità dei file in un gruppo di server Windows e CentOS. E vorrei mantenere una configurazione centralizzata di cosa controllare per tutti i miei agenti, in base al loro sistema operativo.

Rerearching about configuration centralized agent Ho scoperto che posso creare un /var/ossec/etc/shared/agent.conf che diffonde la mia volontà a tutti i miei agenti, ma sto cercando di capire come usarlo.

Sulla base dell'esempio dei documenti OSSEC, voglio fare qualcosa del genere:

<agent_config os="Linux">
    <localfile>
        <location>/var/log/my.log2</location>
        <log_format>syslog</log_format>

        <syscheck>
           <frequency>7200</frequency>
           <auto_ignore>no</auto_ignore>
           <alert_new_files>yes</alert_new_files>
           <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
           <directories check_all="yes">/bin,/sbin</directories>
        </syscheck>

    </localfile>
</agent_config>

<agent_config os="Windows">
    <localfile>
        <location>C:\myapp\my.log</location>
        <log_format>syslog</log_format>

        <syscheck>
           <frequency>7200</frequency>
           <auto_ignore>no</auto_ignore>
           <alert_new_files>yes</alert_new_files>
             <directories check_all="yes">ProgramFiles</directories>
             <directories check_all="yes">ProgramFiles(x86)</directories>
             <directories check_all="yes">System32 </directories>
             <directories check_all="yes">SysWOW64</directories>
        </syscheck>
    </localfile>
</agent_config>
    
posta JuliaVI 13.10.2017 - 21:07
fonte

1 risposta

1

Sembra interessante che tu ti sia imbattuto nello stesso caso che ho fatto.

Puoi seguire questi passaggi:

  1. Crea un nuovo file di configurazione sul server / gestore: vim /var/ossec/etc/shared/agent.conf
  2. Posiziona la configurazione in quel file che desideri unire su client / agenti.
  3. Salva (premi : poi wq e inserisci).
  4. Ottieni l'hash corrente della configurazione tramite md5sum /var/ossec/etc/shared/agent.conf
  5. Ispeziona la configurazione dell'agente 001 tramite /var/ossec/bin/agent_control -i 001
  6. Quando l'agente ha ricevuto la configurazione, il campo "Versione client" avrà il md5sum del file agent.conf.

Tuttavia, troverai che non funzionerà con gli agenti di Windows. Gli agenti Linux potrebbero essere una storia diversa. Se sei interessato, puoi vedere il dolore che ho attraversato:

link

    
risposta data 20.10.2017 - 11:00
fonte

Leggi altre domande sui tag