« LINUX:Wazuh-VULNERABILITY-DETECTEUR » : différence entre les versions

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 8 : Ligne 8 :
=Configuration=
=Configuration=
Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".
Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".
La configuration est comprise entre les balises '''<vulnerability-detector>''' et '''</vulnerability-detector>'''.
Voici une configuration:
----
  <vulnerability-detector>
    <enabled>yes</enabled>
    <interval>12h</interval>
    <run_on_start>no</run_on_start>
&nbsp;
    <!-- RedHat OS vulnerabilities -->
    <provider name="redhat">
      <enabled>yes</enabled>
      '''<os allow="Fedora Linux-37,Fedora Linux-36">9</os>'''
      <update_interval>6h</update_interval>
    </provider>
&nbsp;
    <provider name="nvd">
      <enabled>yes</enabled>
      <update_from_year>2010</update_from_year>
      <update_interval>6h</update_interval>
    </provider>
  </vulnerability-detector>
----
Explication des options:
* enabled: active le module
* scan_on_start: lance le traitement dès le lancement du service
* interval: définit l'intervalle entre le lancement de deux traitements; ici 12h
L'analyse doit se baser sur un ensemble de règles de contrôle que Wazuh doit récupérer régulièrement. C'est l'utilité des blocs limités par les balises '''"<provider name="XXX">"''' et '''"</provider>"'''.
Dans la configuration fournie en exemple lors de l'installation, on trouve divers cas de figure pour divers systèmes opératoires (OS).
Nous utilisons la distribution de Linux Fedora (versions 36 et 37) appartenant à l'ensemble des distributions sous l'égide de RedHat.
Pour cette raison, nous avons retenu et activé le bloc commençant par '''"<provider name="redhat">"''' via l'option "<enabled>".
Sur base de cette distribution, il faut spécifier une version. Nous choisissons la plus élevée actuellement car la distribution Fedora est toujours en avance. C'est à dire '''"<os>9</os>"'''.
Ces règles ne s'appliqueront qu'à cette distribution RedHat Entreprise de version 9 Or nous utilisons la distribution Fedora de versions 36 et 37. Il faut donc étendre l'utilisation de ces règles à nos deux OS.





Version du 24 novembre 2022 à 12:28


retour au menu pour les actions préventives


But

Sur la machine manager, les informations récoltées récoltées et reçues par le module SYSCOLLECTOR, sont analysées afin d'y repérer des risques d'attaques.


Configuration

Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans le fichier "/var/ossec/etc/ossec.conf".


La configuration est comprise entre les balises <vulnerability-detector> et </vulnerability-detector>.

Voici une configuration:


 <vulnerability-detector>
   <enabled>yes</enabled>
   <interval>12h</interval>
   <run_on_start>no</run_on_start>
 
   <provider name="redhat">
     <enabled>yes</enabled>
     <os allow="Fedora Linux-37,Fedora Linux-36">9</os>
     <update_interval>6h</update_interval>
   </provider>
 
   <provider name="nvd">
     <enabled>yes</enabled>
     <update_from_year>2010</update_from_year>
     <update_interval>6h</update_interval>
   </provider>
 </vulnerability-detector>

Explication des options:

  • enabled: active le module
  • scan_on_start: lance le traitement dès le lancement du service
  • interval: définit l'intervalle entre le lancement de deux traitements; ici 12h


L'analyse doit se baser sur un ensemble de règles de contrôle que Wazuh doit récupérer régulièrement. C'est l'utilité des blocs limités par les balises "<provider name="XXX">" et "</provider>".

Dans la configuration fournie en exemple lors de l'installation, on trouve divers cas de figure pour divers systèmes opératoires (OS).

Nous utilisons la distribution de Linux Fedora (versions 36 et 37) appartenant à l'ensemble des distributions sous l'égide de RedHat. Pour cette raison, nous avons retenu et activé le bloc commençant par "<provider name="redhat">" via l'option "<enabled>".

Sur base de cette distribution, il faut spécifier une version. Nous choisissons la plus élevée actuellement car la distribution Fedora est toujours en avance. C'est à dire "<os>9</os>".

Ces règles ne s'appliqueront qu'à cette distribution RedHat Entreprise de version 9 Or nous utilisons la distribution Fedora de versions 36 et 37. Il faut donc étendre l'utilisation de ces règles à nos deux OS.




retour au menu pour les actions préventives