→ retour au menu pour les actions préventives

But

Le module a pour tâche de repérer divers malwares. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article.

Configuration

Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".

Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".

La configuration est comprise entre les balises <rootcheck> et </rootcheck>. Celle venant en base lors de l’installation est suffisante.

Voici une configuration de base:

 <rootcheck>
   <disabled>no</disabled>
   <check_files>yes</check_files>
   <check_trojans>yes</check_trojans>
   <check_dev>yes</check_dev>
   <check_sys>yes</check_sys>
   <check_pids>yes</check_pids>
   <check_ports>yes</check_ports>
   <check_if>yes</check_if>
   <!-- Frequency that rootcheck is executed - every 12 hours -->
   <frequency>43200</frequency>
   <rootkit_files>etc/rootcheck/rootkit_files.txt</rootkit_files>
   <rootkit_trojans>etc/rootcheck/rootkit_trojans.txt</rootkit_trojans>
   <skip_nfs>yes</skip_nfs>
 </rootcheck>

Les noms des options sont assez explicites.

Remarquons que le chemin de ces fichiers est relatif; en effet le chemin de base pour Wazuh est "/var/ossec".

Les fichiers de règles sont fournis lors de l'installation.

Vérification

En premier lieu, suivez l'exécution du module "ROOTCHECK" dans le fichier journal "/var/ossec/logs/ossec.log" (machine manager et machines des agents distants). Repérez toute erreur et y remédier.

En filtrant ce journal:

grep rootcheck: /var/ossec/logs/ossec.log

on devrait obtenir ce type de messages:

2022/11/23 06:25:05 rootcheck: INFO: Starting rootcheck scan.
2022/11/23 06:28:14 rootcheck: INFO: Ending rootcheck scan.

Résultats

Ensuite si vous avez activé la réception de mails, vous en devrez recevoir en cas d'alerte. Ces rapports sont aussi centralisés sur la machine manager dans les journaux d'alertes. Le fichier courant est "/var/ossec/logs/alerts/alerts.json". Ceci pour autant que les niveaux d'alerte soient supérieurs ou égaux à ceux définis dans le fichier de configuration entre les balises <alerts> et </alerts> comme vu précédemment.

Si vous avez installé le module WUI de Wazuh que nous verrons dans un autre article, vous pouvez y voir le détail. Dans le menu en haut à gauche, on clique sur "WAZUH" et en dessous sur "Modules". Enfin dans l'écran qui s'ouvre, on clique sur "Policy monitoring". On peut au préalable sélectionner un agent comme filtre préliminaire.

Notons qu'il faut regarder ces résultats avec prudence.

Note

Auparavant ce module assurait l'audit des systèmes; cette partie est obsolète au profit du module SCA.

→ retour au menu pour les actions préventives