OSSEC - ¿Puedo centralizar qué archivo verificar con la configuración centralizada del agente?

1

Estoy comenzando con OSSEC para verificar la integridad de los archivos en un grupo de servidores Windows y CentOS. Y me gustaría mantener una configuración centralizada de lo que se debe comprobar para todos mis agentes, en función de su sistema operativo.

Al investigar sobre la configuración del agente centralizado, descubrí que puedo crear un /var/ossec/etc/shared/agent.conf que difunde mi voluntad a todos mis agentes, pero me cuesta entender cómo usarlo.

Según el ejemplo de la documentación OSSEC, quiero hacer algo como esto:

<agent_config os="Linux">
    <localfile>
        <location>/var/log/my.log2</location>
        <log_format>syslog</log_format>

        <syscheck>
           <frequency>7200</frequency>
           <auto_ignore>no</auto_ignore>
           <alert_new_files>yes</alert_new_files>
           <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
           <directories check_all="yes">/bin,/sbin</directories>
        </syscheck>

    </localfile>
</agent_config>

<agent_config os="Windows">
    <localfile>
        <location>C:\myapp\my.log</location>
        <log_format>syslog</log_format>

        <syscheck>
           <frequency>7200</frequency>
           <auto_ignore>no</auto_ignore>
           <alert_new_files>yes</alert_new_files>
             <directories check_all="yes">ProgramFiles</directories>
             <directories check_all="yes">ProgramFiles(x86)</directories>
             <directories check_all="yes">System32 </directories>
             <directories check_all="yes">SysWOW64</directories>
        </syscheck>
    </localfile>
</agent_config>
    
pregunta JuliaVI 13.10.2017 - 21:07
fuente

1 respuesta

1

Parece interesante que te encontraste con el mismo caso que yo.

Puedes seguir estos pasos:

  1. Cree un nuevo archivo de configuración en el servidor / administrador: vim /var/ossec/etc/shared/agent.conf
  2. Coloque la configuración en ese archivo que desea fusionar en clientes / agentes.
  3. Guárdalo (presiona : luego wq e ingresa).
  4. Obtenga el hash actual de la configuración a través de md5sum /var/ossec/etc/shared/agent.conf
  5. Inspeccione la configuración del agente 001 a través de /var/ossec/bin/agent_control -i 001
  6. Cuando el agente recibió la configuración, el campo "Versión del cliente" tendrá la suma md5 del archivo agent.conf.

Sin embargo, encontrará que no funcionará en los agentes de Windows. Los agentes de Linux podrían ser una historia diferente. Si estás interesado, puedes ver el dolor por el que pasé:

enlace

    
respondido por el dark_st3alth 20.10.2017 - 11:00
fuente

Lea otras preguntas en las etiquetas