« LINUX:Wazuh-Actions préventives » : différence entre les versions
(Page créée avec « __FORCETOC__ ---- ''→ retour à Wazuh: HIDS'' ---- =But= Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventives. Ils tentent à repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité. ---- ''→ retour à Wazuh: HIDS'' ---- __NOEDITSECTION__ Category:LINUX ») |
Aucun résumé des modifications |
||
| Ligne 7 : | Ligne 7 : | ||
=SCA= | |||
Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de tests. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. | |||
==Configuration== | |||
Cette configuration est incluse dans le fichier "/var/ossec/etc/ossec.conf". Elle est comprise entre les balises '''<nowiki><sca></nowiki>''' et '''<nowiki></sca></nowiki>'''. | |||
Voici une configuration de base: | |||
---- | |||
<sca> | |||
<enabled>yes</enabled> | |||
<scan_on_start>no</scan_on_start> | |||
<interval>12h</interval> | |||
<skip_nfs>yes</skip_nfs> | |||
</sca> | |||
---- | |||
Explication des options: | |||
- enabled: active le module | |||
- scan_on_start: lance le traitement dès le lancement du service | |||
- interval: définit l'intervalle entre le lancement de deux traitements | |||
- skip_nfs: le traitement évite les partitions NFS | |||
Version du 22 novembre 2022 à 16:59
But
Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventives. Ils tentent à repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.
SCA
Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de tests. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares.
Configuration
Cette configuration est incluse dans le fichier "/var/ossec/etc/ossec.conf". Elle est comprise entre les balises <sca> et </sca>.
Voici une configuration de base:
<sca> <enabled>yes</enabled> <scan_on_start>no</scan_on_start> <interval>12h</interval> <skip_nfs>yes</skip_nfs> </sca>
Explication des options: - enabled: active le module - scan_on_start: lance le traitement dès le lancement du service - interval: définit l'intervalle entre le lancement de deux traitements - skip_nfs: le traitement évite les partitions NFS