WIKI sur Linux (ADB)

LINUX:Wazuh-Décodeurs et Règles

Révision datée du 2 mars 2022 à 14:00 par Adebast (discussion | contributions)

retour à Wazuh: HIDS

But

Le serveur manager de Wazuh récolte les journaux auprès des agents. Ces journaux sont ensuite analysés. Une première phase consiste à décoder le journal pour y repérer des informations utiles. Sur cette base, un ensemble de règles analysent cette information prédigérée pour au final émettre un alarme graduée de 0 à 16, le niveau 0 étant l’absence d'alarme.


Le logiciel vient avec un grand ensemble de décodeurs et de règles. Mais il se peut que vous soyez confronté à un problème ou que vous souhaitiez refouler des attaques intempestives malgré qu'elles ne soient pas problématiques. Nous allons donner quelques exemples pratiques qui permettent de mieux comprendre le fonctionnement de cet écosystème.


Emplacement

Les décodeurs et les règles sont réparties en deux ensembles, celles qui viennent avec le logiciel et celles que vous créez.

Voici les répertoires où elles se situent:

  • "/var/ossec/ruleset/decoders" : les décodeurs du logiciel
  • "/var/ossec/ruleset/rules"  : les règles du logiciel
  • "/var/ossec/etc/decoders"  : les décodeurs personnels
  • "/var/ossec/etc/rules"  : les règles personnelles

Il est important de ne jamais modifier les fichiers venant avec le logiciel car vous risquez de perdre vos modifications lors d'une mise à jour. On utilise l'espace personnel.


Utilitaires

Il existe un utilitaire qui permet de tester interactivement les réactions des décodeurs et des règles. Normalement toute modification de décodeur ou de règle ne nécessite pas de redémarrage du service "wazuh-manager.service" mais j'ai remarqué que tout suppression ou renommage d'un de ces fichiers mettait en erreur cet utilitaire. Par contre, les modifications ne le perturbent pas, pour autant qu'il soit relancé.

Cet utilitaire est: 

/var/ossec/bin/wazuh-logtest

L'option "-h" présente l'aide. Le lancement sans option suffit.

L'ancien utilitaire obsolète était plus utile car il donnait le cheminement des règles successives utilisées, ce qui aide grandement l'élaboration d'une règle. Il est encore disponible sous le nom: 

/var/ossec/bin/wazuh-logtest-legacy -v

L'option "-v" apporte ce cheminement. Il faudrait cette même approche pour les décodeurs.







retour à Wazuh: HIDS

Récupérée de « https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh-Décodeurs_et_Règles&oldid=2209 »