→ retour à Wazuh: HIDS

But

Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventives. Ils tentent à repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.

SCA

Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de tests. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. Il joue un rôle semblable au logiciel "Lynis" vu dans un autre article.

Configuration

Cette configuration est incluse dans le fichier "/var/ossec/etc/ossec.conf".

Sur la machine où le service "wazuh-manager" s'exécute, cette configuration est placée dans ce fichier.

Sur les machines hébergeant l'agent distant, la configuration peut être contenue dans le fichier du même nom mais il est plus pratique de transmettre cette configuration via le système de partage vu précédemment. Dans le cas du partage par défaut, sur la machine Manager, ce fichier se nomme "/var/ossec/etc/shared/default/agent.conf" et sur l'agent distant, il se trouve sous le nom "/var/ossec/etc/default/agent.conf".

De plus dans le cas de partage de configuration "SCA", il est requit d'ajouter sur l'agent distant une option qui permet d'activer ce module. Celle-ci est à mettre dans le fichier '"/var/ossec/etc/local_internal_options.conf" comme conseillé précédemment.

sca.remote_commands=1

La configuration est comprise entre les balises <sca> et </sca>.

Voici une configuration de base:

 <sca>
   <enabled>yes</enabled>
   <scan_on_start>no</scan_on_start>
   <interval>12h</interval>
   <skip_nfs>yes</skip_nfs>
 </sca>

Explication des options:

• enabled: active le module
• scan_on_start: lance le traitement dès le lancement du service
• interval: définit l'intervalle entre le lancement de deux traitements; ici 12h
• skip_nfs: le traitement évite les partitions NFS

Policies

L'ensemble des règles de contrôles des configurations sur système globalement sont reprises sous format YAML dans des fichiers ayant l'extension "yml".

Un ensemble de fichiers de ces règles toutes faites se retrouvent dans le répertoire "/var/ossec/ruleset/sca". Chaque fichier reprend les règles pour un thème donné. Par exemple le fichier "cis_apache_24.yml" est dédié au service WEB Apache de version 2.4 et le fichier "cis_rhel8_linux.yml" est dédié au système Linux de la distribution RedHat Entreprise version 8. Par défaut, tous les fichiers de ce répertoire ayant l'extension "yml" seront traités. Sous Fedora, tous les fichiers sont désactivés car ils portent l'extension "yml.disabled" sauf un, le fichier "cis_rhel8_linux.yml".

Malheureusement à chaque mise à jour, le contenu de ce répertoire est réinitialisé. Or il faudra d'une part renommer les fichiers désirés, adapter un peu leur contenu et d'autre part ils devront être transférés vers les agents distants.

Pour pallier à ces limitations, nous avons opté pour l'utilisation du système de partage. Nous allons mettre les fichiers retenus dans le répertoire "/var/ossec/etc/shared/default" sur la machine manager après les avoir renommés avec l'extension "yml". Ces fichiers seront transférés automatiquement dans le répertoire "/var/ossec/etc/default". Mais il faut ensuite signaler au module "SCA" où les trouver.

Nous avons retenu les fichiers:

• cis_apache_24.yml
• cis_mysql5-6_community.yml
• cis_rhel8_linux.yml
• cis_rhel9_linux.yml
• sca_unix_audit.yml
• web_vulnerabilities.yml

Les noms des fichiers sont assez explicites pour devoir les expliquer.

Sur la machine manager, la configuration est amendée comme suit:

 <sca>
   <enabled>yes</enabled>
   <scan_on_start>no</scan_on_start>
   <interval>12h</interval>
   <skip_nfs>yes</skip_nfs>
   <policies>
    <policy>etc/shared/default/cis_apache_24.yml</policy>
    <policy>etc/shared/default/sca_unix_audit.yml</policy>
    <policy>etc/shared/default/cis_rhel8_linux.yml</policy>
    <policy>etc/shared/default/cis_rhel9_linux.yml</policy>
    <policy>etc/shared/default/cis_mysql5-6_community.yml</policy>
    <policy>etc/shared/default/web_vulnerabilities.yml</policy>
    <policy enabled="no">ruleset/sca/cis_rhel8_linux.yml</policy>
   </policies>
 </sca>

On remarque que le fichier "/var/ossec/ruleset/sca/cis_rhel8_linux.yml" est désactivé car son homologue devra être adapté pour être opérationnel et que le n° des règles seront en double et par ce fait, entreront en conflit entre elles. Remarqons que le chemin de ces fichiers est relatif; en effet le chemin de base pour Wazuh est "/var/ossec".

Dans le fichier de partage "/var/ossec/etc/shared/default/agent.conf" sur la machine manager devient:

 <sca>
   <enabled>yes</enabled>
   <scan_on_start>no</scan_on_start>
   <interval>12h</interval>
   <skip_nfs>yes</skip_nfs>
   <policies>
    <policy>etc/shared/cis_apache_24.yml</policy>
    <policy>etc/shared/sca_unix_audit.yml</policy>
    <policy>etc/shared/cis_rhel8_linux.yml</policy>
    <policy>etc/shared/cis_rhel9_linux.yml</policy>
    <policy>etc/shared/cis_mysql5-6_community.yml</policy>
    <policy>etc/shared/web_vulnerabilities.yml</policy>
    <policy enabled="no">ruleset/sca/cis_rhel8_linux.yml</policy>
   </policies>
  </sca>

Dans ce cas le chemin sera celui de la machine agent distant.

Dans notre cas ce sont toutes des machines Linux. Il est évident que si nous sommes en présence de machine Windows, il faut créer un autre profil autre que le défaut adapté à Windows.

→ retour à Wazuh: HIDS