我们需要在我们的Windows服务器(一个networking服务器和一个数据库服务器)上进行文件完整性监控,在我们将钱存入Tripwire之前,我正在检查OSSEC。 我安装了一个本地安装来testing我的Ubuntu笔记本电脑,它似乎工作。 我收到了一些关于这是我第一次使用该帐户login的电子邮件警报,使用sudo等。
我现在的问题是:接下来我应该尝试哪些常见的任务? 我想进入并更改OSSEC正在监视的某个文件,以查看是否发出警报,但是我不知道默认规则正在监视的是什么。
我现在的问题是:接下来我应该尝试哪些常见的任务?
OSSEC有默认的规则来执行日志分析,文件完整性检查,rootkit检测,…
你可以尝试一些常见的任务,如:
ossec.conf来监视内核日志: <localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile>
/var/ossec/rules/local_rules.xml进行警报的/var/ossec/rules/local_rules.xml : RRD_update | getaddrinfo |不代表行数| error.class.php |绑定到端口| errorsign.jpg | error.gif |错误检索有关用户的信息
并覆盖一些规则:
<rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes"> <if_matched_sid>5702</if_matched_sid> <options>no_email_alert</options> <description>Possible breakin attempt </description> <description>(high number of reverse lookup errors).</description> </rule>
我想进入并更改OSSEC正在监视的某个文件,看是否警报,但我不知道默认规则正在监视什么。
您可以在rules文件夹中search关键字integrity :
# grep -lir "integrity" /var/ossec/rules/ /var/ossec/rules/msauth_rules.xml /var/ossec/rules/syslog_rules.xml /var/ossec/rules/ossec_rules.xml
这是规则ID 550:
<rule id="550" level="7"> <category>ossec</category> <decoded_as>syscheck_integrity_changed</decoded_as> <description>Integrity checksum changed.</description> <group>syscheck,</group> </rule>