Wazuh功能——审计 who-data

审核who-data

新版本3.4.0。

从3.4.0版本开始，Wazuh集成了一项新功能，可以从监控文件中获取who-data。

此信息包含对监控文件进行更改的用户，以及用于执行这些更改的程序名或进程。

一、在Linux中审计who-data

who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给经理。

1、配置

首先，我们需要检查审计守护进程是否安装在我们的系统中。

在基于RedHat的系统中，Auditd通常是默认安装的。如果没有安装，我们需要使用以下命令进行安装:

# yum install audit

对于基于Debian的系统，请使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:

添加此配置后，我们需要重新启动Wazuh来应用更改。

我们可以检查是否应用了用于监视所选文件夹的审计规则。要检查这一点，我们需要执行以下命令

# auditctl -l | grep wazuh_fim

并检查是否添加了规则

当代理停止时，我们可以使用相同的命令检查添加的规则是否已成功删除。

2、警报字段

当启用whodata时，在FIM警报中接收到以下字段:

3、警报的例子

在下面的示例中，我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:

日志格式警告:

JSON格式的警告:

二、在Windows中审计who-data

1、它是如何工作的

who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给管理者。兼容大于Windows Vista的系统。

2、配置

要在whodata模式下启动监视，必须正确配置要监视的目录的SACL。Wazuh在启动ossec.conf文件中标记whodata="yes"的目录时自动执行此任务:

系统审计策略也需要正确配置。对于大多数受支持的Windows系统，这部分也是自动完成的。如果您的系统优于Windows Vista，但审计策略无法自配置，请参阅配置本地审计策略指南。

三、警报字段

启用whodata时，将收到以下字段:

四、警报的例子

日志格式警告:

JSON格式的警告:

材料：

Linux审计系统auditd 套件

步骤：

安装 auditd

REL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：

sudo apt-get install auditd

它包括以下内容：

auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。

/etc/audit/audit.rules : 记录审计规则的文件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditd.conf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

目录进行审计和文件审计相似，方法如下：

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

3. 查看审计日志

添加规则后，我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4. 查看审计报告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

---