« LINUX:Wazuh-Actions préventives » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 41 : | Ligne 41 : | ||
* skip_nfs: le traitement évite les partitions NFS | * skip_nfs: le traitement évite les partitions NFS | ||
==Policies== | |||
L'ensemble des règles de contrôles des configurations sur système globalement sont reprises sous format YAML dans des fichiers ayant l'extension "yml". | |||
Un ensemble de fichiers de ces règles se retrouvent dans le répertoire "/var/ossec/ruleset/sca". Chaque fichier reprend les règles pour un thème donné. Par exemple le fichier "cis_apache_24.yml" est dédié au service WEB Apache de version 2.4 et le fichier "cis_rhel8_linux.yml" est dédié au système Linux de la distribution RedHat Entreprise version 8. Par défaut, tous les fichiers de ce répertoire ayant l'extension "yml" seront traités. Sous Fedora, tous les fichiers sont désactivés car ils portent l'extension "yml.disabled" sauf un, le fichier "cis_rhel8_linux.yml". | |||
Version du 22 novembre 2022 à 18:24
But
Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventives. Ils tentent à repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.
SCA
Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de tests. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. Il joue un rôle semblable au logiciel "Lynis" vu dans un autre article.
Configuration
Cette configuration est incluse dans le fichier "/var/ossec/etc/ossec.conf".
Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans ce fichier.
Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".
De plus dans le cas de partage de configuration "SCA", il est requit d'ajouter sur l'agent distant une option qui permet d'activer ce module. Celle-ci est à mettre dans le fichier '"/var/ossec/etc/local_internal_options.conf" comme conseillé précédemment.
sca.remote_commands=1
La configuration est comprise entre les balises <sca> et </sca>.
Voici une configuration de base:
<sca> <enabled>yes</enabled> <scan_on_start>no</scan_on_start> <interval>12h</interval> <skip_nfs>yes</skip_nfs> </sca>
Explication des options:
- enabled: active le module
- scan_on_start: lance le traitement dès le lancement du service
- interval: définit l'intervalle entre le lancement de deux traitements; ici 12h
- skip_nfs: le traitement évite les partitions NFS
Policies
L'ensemble des règles de contrôles des configurations sur système globalement sont reprises sous format YAML dans des fichiers ayant l'extension "yml".
Un ensemble de fichiers de ces règles se retrouvent dans le répertoire "/var/ossec/ruleset/sca". Chaque fichier reprend les règles pour un thème donné. Par exemple le fichier "cis_apache_24.yml" est dédié au service WEB Apache de version 2.4 et le fichier "cis_rhel8_linux.yml" est dédié au système Linux de la distribution RedHat Entreprise version 8. Par défaut, tous les fichiers de ce répertoire ayant l'extension "yml" seront traités. Sous Fedora, tous les fichiers sont désactivés car ils portent l'extension "yml.disabled" sauf un, le fichier "cis_rhel8_linux.yml".