« LINUX:Wazuh-Actions préventives » : différence entre les versions

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
 
(26 versions intermédiaires par le même utilisateur non affichées)
Ligne 4 : Ligne 4 :
----
----
=But=
=But=
Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventives. Ils tentent à repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.  
Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventive. Ils tentent de repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.  




=SCA=
=[[LINUX:Wazuh-ROOTCHECK|ROOTCHECK]]=
Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de tests. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. Il joue un rôle semblable au logiciel "[[LINUX:Lynis|Lynis]]" vu dans un autre article.
Le module a pour tâche de repérer divers malwares. Il joue un rôle semblable au logiciel "[[LINUX:Rkhunter|Rkhunter]]" vu dans un autre article.




==Configuration==
=[[LINUX:Wazuh-SYSCHECK|SYSCHECK]]=
Cette configuration est incluse dans le fichier "/var/ossec/etc/ossec.conf".  
Ce module repère tout changement de taille et de contenu d'une vaste sélection de fichiers du système. Il joue un rôle semblable au logiciel "[[LINUX:Rkhunter|Rkhunter]]" vu dans un autre article.


Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans ce fichier.


Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme '''"/var/ossec/etc/shared/default/agent.conf"''' et sur l'agent distant, il se trouve sous le nom '''"/var/ossec/etc/default/agent.conf"'''.
=[[LINUX:Wazuh-SCA|SCA]]=
Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de contrôles en se basant sur diverses règles. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. Il joue un rôle semblable au logiciel "[[LINUX:Lynis|Lynis]]" vu dans un autre article.


De plus dans le cas de partage de configuration "SCA", il est requit d'ajouter sur l'agent distant une option qui permet d'activer ce module. Celle-ci est à mettre dans le fichier ''''"/var/ossec/etc/local_internal_options.conf"''' comme conseillé précédemment.
 
----
=[[LINUX:Wazuh-SYSCOLLECTOR|SYSCOLLECTOR]]=
sca.remote_commands=1
Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR.
----
 
 
=[[LINUX:Wazuh-VULNERABILITY-DETECTEUR|VULNERABILITY-DETECTEUR]]=
Sur la machine manager, les informations récoltées récoltées et reçues par le module SYSCOLLECTOR, sont analysées afin d'y repérer des risques d'attaques.
 
 
=[[LINUX:Wazuh-VULNERABILITY-DETECTOR|VULNERABILITY-DETECTOR]]=
Dans la nouvelle version, cette option a été revue et renommée [[LINUX:Wazuh-VULNERABILITY-DETECTEUR|VULNERABILITY-DETECTEUR]] et n'est donc plus disponible sous ce nom.




La configuration est comprise entre les balises '''<nowiki><sca></nowiki>''' et '''<nowiki></sca></nowiki>'''.  
=OSQUERY=
Ce module est désactivé par défaut sur le manager et sur les agents distants. Il fait appel à un logiciel tiers.


Voici une configuration de base:
Voici la configuration du manager dans le fichier "/var/ossec/etc/ossec.conf" et du fichier "/var/ossec/etc/shared/default/agent.conf" transmis aux agents distants:
----
----
   <sca>
   <wodle name="osquery">
     <enabled>yes</enabled>
     <disabled>yes</disabled>
    <scan_on_start>no</scan_on_start>
   </wodle>
    <interval>12h</interval>
    <skip_nfs>yes</skip_nfs>
   </sca>
----
----
Explication des options:
* enabled: active le module
* scan_on_start: lance le traitement dès le lancement du service
* interval: définit l'intervalle entre le lancement de deux traitements; ici 12h
* skip_nfs: le traitement évite les partitions NFS




=CIS-CAT=
Ce module est désactivé par défaut sur le manager et sur les agents distants. Il fait appel à un logiciel propriétaire tiers.


Voici la configuration du manager dans le fichier "/var/ossec/etc/ossec.conf" et du fichier "/var/ossec/etc/shared/default/agent.conf" transmis aux agents distants:
----
  <wodle name="cis-cat">
    <disabled>yes</disabled>
  </wodle>
----




Dernière version du 14 juillet 2024 à 11:51

retour à Wazuh: HIDS

But

Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventive. Ils tentent de repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.


ROOTCHECK

Le module a pour tâche de repérer divers malwares. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article.


SYSCHECK

Ce module repère tout changement de taille et de contenu d'une vaste sélection de fichiers du système. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article.


SCA

Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de contrôles en se basant sur diverses règles. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. Il joue un rôle semblable au logiciel "Lynis" vu dans un autre article.


SYSCOLLECTOR

Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR.


VULNERABILITY-DETECTEUR

Sur la machine manager, les informations récoltées récoltées et reçues par le module SYSCOLLECTOR, sont analysées afin d'y repérer des risques d'attaques.


VULNERABILITY-DETECTOR

Dans la nouvelle version, cette option a été revue et renommée VULNERABILITY-DETECTEUR et n'est donc plus disponible sous ce nom.


OSQUERY

Ce module est désactivé par défaut sur le manager et sur les agents distants. Il fait appel à un logiciel tiers.

Voici la configuration du manager dans le fichier "/var/ossec/etc/ossec.conf" et du fichier "/var/ossec/etc/shared/default/agent.conf" transmis aux agents distants: 

 <wodle name="osquery">
   <disabled>yes</disabled>
 </wodle>


CIS-CAT

Ce module est désactivé par défaut sur le manager et sur les agents distants. Il fait appel à un logiciel propriétaire tiers.

Voici la configuration du manager dans le fichier "/var/ossec/etc/ossec.conf" et du fichier "/var/ossec/etc/shared/default/agent.conf" transmis aux agents distants: 

 <wodle name="cis-cat">
   <disabled>yes</disabled>
 </wodle>



retour à Wazuh: HIDS

Récupérée de « https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh-Actions_préventives&oldid=8429 »