AlienVault OSSIM: агенты HIDS

В состав системы управления, контроля и обеспечения информационной безопасности AlienVault OSSIM входит OSSEC, это хостовая система обнаружения вторжений (HIDS), которая вам сразу обеспечит:

• анализ системных логов;
• проверку целостности файлов;
• проверку целостности реестра (для ОС Windows, естественно);
• обнаружение руткитов в системе;
• отправку оповещений на сервер по расписанию и по событию.

OSSEC позволяет обнаруживать вторжения для множества операционных систем: Windows, Linux, Mac OS X, OpenBSD, FreeBSD, Solaris. OSSEC использует архитектуру сервер/агент с проверкой подлинности, сервер справится с сотнями-тысячами агентов одновременно.

Установка и настройка HIDS

1. Добавить агента в OSSIM
2. Установить агента на целевую систему
3. Настроить агента
4. Проверить работу HIDS

1. Добавление агента в OSSIM

Поскольку при взаимодействии с агентами проводится проверка подлинности, то каждый агент должен быть предварительно зарегистрирован на сервере.
Для регистрации нового агента перейдите в Environment > Detection.
Далее выбираем HIDS > Agents > Agent Control > Add Agent.
Для нового HIDS-агента, выберите узел из дерева найденных при сканировании сети активов.

OSSIM заполнит поля Agent Name с именем хоста и IP/CIDR автоматически. Нажмите кнопку Save и в списке появится новый агент.
Если нужный вам узел/устройство не найдено, то его можно добавить вручную, через Environment > Assets & Groups. Рекомендую потратить немного времени и грамотно распределить все устройства по группам, т.к. система позволяет фильтровать/просматривать события по группам и применять групповые операции, что очень удобно.
Также OSSEC позволяет добавлять новых агентов через скрипт manage_agents:

# /var/ossec/bin/manage_agents

Если вы установили сервер OSSEC отдельно, то этот скрипт и будет правильным/единственным вариантом для добавления нового агента:

****************************************
* OSSEC HIDS v2.8 Agent manager.       *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:

Ну а для тех, у кого серьёзное, крупномасштабное развертывание и руками создавать сотни агентов нет ни возможности, ни желания, на помощь придёт ossec-authd.
ossec-authd – демон, он автоматически добавит агентов к менеджеру OSSEC и выдаст агентский ключ. В качестве клиентского приложения с ossec-authd применяется agent-auth.

2. Установка агента на целевую систему

Для установки агентов на windows-машины достаточно либо скачать и выполнить готовый сконфигурированный инсталлятор (смотрите доступные с агентами действия в правой колонке списка), либо запустить автоматическое развертывание (откроется окно с запросом логина/пароля для доступа к системе и установки агента).
Для остальных систем – ручная установка или сборка, если захотите. Для проверки подлинности агента ему потребуется ключ, поэтому нажмите и сохраните ключ.
Инсталлятор агента лучше качать с официального сайта прокета OSSEC, там же есть инструкции по установке rpm и deb пакетов и множество другой документации.
rpm (Red Hat, CentOS и т.д.):

# wget -q -O – https://www.atomicorp.com/installers/atomic | sh
# yum install ossec-hids-client

deb (Debian):

# apt-key adv --fetch-keys http://ossec.wazuh.com/repos/apt/conf/ossec-key.gpg.key
# echo "deb http://ossec.wazuh.com/repos/apt/debian wheezy main" >> /etc/apt/sources.list
# apt-get update
# apt-get install ossec-hids-agent

deb (Ubuntu), так же, как и для Debian, только репозиторий другой:

"deb http://ossec.wazuh.com/repos/apt/ubuntu precise main"

После установки нужно ввести ключ, сгенерированный сервером. Для этого запустите скрипт для импорта ключа:

# /var/ossec/bin/manage_agents

или

# /var/ossec/bin/manage_client

И выберите пункт “Import key from the server”, введя “i”. После вводите ключ, а он длинный…

****************************************
* OSSEC HIDS v2.8 Agent manager.       *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: i

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): [вот тут вводится ключ агента, который вы получили на сервере]

Agent information:
   ID:3
   Name:mngClient
   IP Address:192.168.x.y

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

Если вам не нравится тест на внимательность при вводе ключа, то можно пойти на хитрость, импортировав ключ вот таким скриптом:

#! /bin/bash
./manage_client -i а_здесь_ваш_ключ

После изменения любых настроек требуется перезапуск службы:

# service ossec restart

или

# /var/ossec/bin/ossec-control restart

3. Конфигурация агента

Для начала работы подойдёт и стандартная конфигурация… Но если вам мало, то настройки агентов хранятся в /var/ossec/etc/ossec.conf. Ничего страшного или непонятного вы там не найдёте: все разбито по секциям. Отдельно подгружаются правила в xml, отдельно проверка системы (добавляем нужное на контроль, исключаем ненужное: отрабатывается в процессе эксплуатации), проверка на руткиты, анализ логов… Вот логи: с них и можно начать. Если у вас имеется служба, логи которой не анализируются, но хочется – её можно добавить к конфигурации:

    <localfile>
        <location>/var/log/my_service.log</location>
        <log_format>syslog</log_format>
    </localfile>

Для корректной работы достаточно указать сам лог-файл и его формат. Т.е. просто изучите список поддерживаемых форматов логов.
Если хотите, настраивать агенты централизованно и удаленно, то и такая возможность есть.
Создайте свою конфигурацию на сервере в /var/ossec/etc/shared/agent.conf и читайте описание настройки агентов. Напоминаю, что после изменения любых настроек требуется перезапуск агента.

4. Проверка работы HIDS

Как только сервер увидит агента, он изменит его статус на “Active”, а в обзоре агентов Environment > Detection > HIDS > Overview в последнем столбце Trend будет отрисовываться количество поступающих событий.
Если какой-либо агент не желает становиться активным в списке (висит как Disconnected), можно попробовать перезагрузить OSSEC, для этого зайдите в Environment > Detection > HIDS > HIDS control и нажмите “restart”. Не помогло? Агент-то работает? Пакеты от агента доходят до сервера? Для проверки можно подключиться к консоли сервера OSSIM под root. Для доступа к командной оболочке выберите в меню пункт 3. Jailbreack System. Далее – tcpdump:

# tcpdump -nv host ip_вашего_агента and port 1514

Если пакеты не доходят – смотрите настройки файервола, ищите пакеты.

На этом с установкой HIDS закончим, внимательно изучите все подпункты меню HIDS. Здесь можно и логи просматривать, и конфиги править, и правила редактировать, и агентов настраивать – есть весь необходимый инструментарий для тех кто не любит работать в консоли.