策略監(jiān)視是驗(yàn)證所有系統(tǒng)都符合一組關(guān)于配置設(shè)置和批準(zhǔn)的應(yīng)用程序使用的預(yù)定義規(guī)則的過(guò)程泉懦。
Wazuh使用三個(gè)組件來(lái)執(zhí)行此任務(wù):Rootcheck育韩、OpenSCAP和CIS-CAT贱田。
一诀浪、怎樣工作
Rootcheck允許定義策略剖淀,以檢查代理是否滿足指定的需求俺驶。
rootcheck引擎可以執(zhí)行以下檢查:
檢查進(jìn)程是否正在運(yùn)行纲堵;
檢查是否存在文件巡雨;
檢查文件的內(nèi)容是否包含模式,或者Windows注冊(cè)表項(xiàng)是否包含字符串或只是顯示席函。
通過(guò)這些檢查铐望,我們制定了以下策略:
與策略監(jiān)控有關(guān)的警報(bào):
512:Windows審計(jì)
514:Windows應(yīng)用程序
516:Unix審計(jì)
策略和合規(guī)性監(jiān)控?cái)?shù)據(jù)庫(kù)通常在管理器上維護(hù),管理器將它們分發(fā)給所有代理茂附。
二正蛙、配置
1、要配置rootcheck選項(xiàng)营曼,請(qǐng)轉(zhuǎn)到ossec.conf中的rootcheck部分乒验。最常見(jiàn)的配置選項(xiàng)是:frequency和system-audit
配置審計(jì)策略的基本示例:
2、配置定期掃描
這是每10小時(shí)運(yùn)行一次掃描的基本配置蒂阱。
3锻全、SSH的Root訪問(wèn)
1. 首先,您需要?jiǎng)?chuàng)建自定義審計(jì)文件(audit_test.txt):
2. 在rootcheck選項(xiàng)中引用我們的新文件: