Wazuh功能——审计 who-data

审核who-data

新版本340。

从340版本开始，Wazuh集成了一项新功能，可以从监控文件中获取who-data。

此信息包含对监控文件进行更改的用户，以及用于执行这些更改的程序名或进程。

一、在Linux中审计who-data

who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给经理。

1、配置

首先，我们需要检查审计守护进程是否安装在我们的系统中。

在基于RedHat的系统中，Auditd通常是默认安装的。如果没有安装，我们需要使用以下命令进行安装:

# yum install audit

对于基于Debian的系统，请使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我们的ossecconf文件的所选文件夹中启用whodata监视:
添加此配置后，我们需要重新启动Wazuh来应用更改。

我们可以检查是否应用了用于监视所选文件夹的审计规则。要检查这一点，我们需要执行以下命令

# auditctl -l | grep wazuh_fim

并检查是否添加了规则

当代理停止时，我们可以使用相同的命令检查添加的规则是否已成功删除。

2、警报字段

当启用whodata时，在FIM警报中接收到以下字段:
3、警报的例子

在下面的示例中，我们可以看到用户Smith是如何向文件/etc/hosts添加新IP的允许使用具有sudo权限的nano编辑器:

日志格式警告:
JSON格式的警告:
二、在Windows中审计who-data

1、它是如何工作的

who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给管理者。兼容大于Windows Vista的系统。

2、配置

要在whodata模式下启动监视，必须正确配置要监视的目录的SACL。Wazuh在启动ossecconf文件中标记whodata="yes"的目录时自动执行此任务:

系统审计策略也需要正确配置。对于大多数受支持的Windows系统，这部分也是自动完成的。如果您的系统优于Windows Vista，但审计策略无法自配置，请参阅配置本地审计策略指南。

三、警报字段

启用whodata时，将收到以下字段:
四、警报的例子

日志格式警告:
JSON格式的警告:

查看aud$表(或者dba_audit_trial视图)中是否有数据，如果有数据说明审计功能开启的
select from aud$;
select from dba_audit_trial;
查看系统开启了那些审计功能
select from dba_priv_audit_opts;系统权限审计
select from dba_obj_audit_opts; 对象权限审计

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。为便于实验，下面以一台运行Windows Server 2003的独立服务器为例进行介绍，该计算机的IP地址为172162254。
方法/步骤
1
在"控制面板"中双击"添加或删除程序"，在d出的对话框中选择"添加/删除Windows组件"
2
在d出的"Windows组件向导"中选择"网络服务"组件，单击"详细信息"
3
勾选"Internet验证服务"子组件，确定，然后单击"下一步"进行安装
4
在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口
步骤阅读
5
创建用户账户在"控制面板"下的"管理工具"中打开"计算机管理"，选择"本地用户和组"
6
为了方便管理，我们创建一个用户组"8021x"专门用于管理需要经过IEEE 8021x认证的用户账户。鼠标右键单击"组"，选择"新建组"，输入组名后创建组。
7
在添加用户之前，必须要提前做的是，打开"控制面板"-"管理工具"下的"本地安全策略"，依次选择"账户策略"-"密码策略"，启用"用可还原的加密来储存密码"策略项。
否则以后认证的时候将会出现以下错误提示。
接下来我们添加用户账户"0801010047"，设置密码"123"。鼠标右键单击"用户"，选择"新用户"，输入用户名和密码，创建用户
将用户"0801010047"加入到"8021x"用户组中。鼠标右键单击用户"0801010047"，选择"属性"。在d出的对话框中选择"隶属于"，然后将其加入"8021x"用户组中。
设置远程访问策略,新建远程访问策略，鼠标右键单击"远程访问策略"，选择"新建远程访问策略"
选择配置方式，这里我们使用向导模式
选择访问方法，以太网
选择授权方式，将之前添加的"8021x"用户组加入许可列表
选择身份验证方法，"MD5-质询"
确认设置信息
步骤阅读
只保留新建的访问策略，删掉其他的

查看服务信息、查看驱动信息、查看注册表键值和查看系统日志。windows系统是美国微软公司研发的一套 *** 作系统，采用了图形用户界面（GUI），应从查看服务信息、查看驱动信息、查看注册表键值和查看系统日志方面审计是否存在后门。

---