WIKI sur Linux (ADB)

« LINUX:Wazuh-VULNERABILITY-DETECTEUR » : différence entre les versions

← Modification précédente
m Adebast a déplacé la page LINUX:Wazuh-VULNERABILITY-DETECTOR vers LINUX:Wazuh-VULNERABILITY-DETECTEUR sans laisser de redirection
Aucun résumé des modifications
 
(Une version intermédiaire par le même utilisateur non affichée)
Ligne 11 : Ligne 11 :




La configuration est comprise entre les balises '''<vulnerability-detector>''' et '''</vulnerability-detector>'''.  
La configuration est comprise entre les balises '''<vulnerability-detecteur>''' et '''</vulnerability-detecteur>'''.  


Voici une configuration:
Voici une configuration:
----
----
   <vulnerability-detector>
   <vulnerability-detection>
     <enabled>yes</enabled>
     <enabled>yes</enabled>
     <interval>12h</interval>
     <index-status>yes</index-status>
    <run_on_start>no</run_on_start>
     <feed-update-interval>60m</feed-update-interval>
&nbsp;
   </vulnerability-detection>
     <!-- RedHat OS vulnerabilities -->
    <provider name="redhat">
      <enabled>yes</enabled>
      '''<os allow="Fedora Linux-36,Fedora Linux-37">9</os>'''
      <update_interval>6h</update_interval>
    </provider>
&nbsp;
    <provider name="nvd">
      <enabled>yes</enabled>
      <update_from_year>2010</update_from_year>
      <update_interval>6h</update_interval>
    </provider>
   </vulnerability-detector>
----
----
Explication des options:
La troisième ligne ("index-status") pointe vers la configuration qui suit.
* enabled: active le module
Cette section s'ajoute en relation avec Wazuh-Indexer et FileBeat:
* scan_on_start: lance le traitement dès le lancement du service
----
* interval: définit l'intervalle entre le lancement de deux traitements; ici 12h
  <indexer>
 
    <enabled>yes</enabled>
    <hosts>
      <nowiki><host>https://</nowiki>'''127.0.0.1:9200'''<nowiki></host></nowiki>
    </hosts>
    <ssl>
      <certificate_authorities>
        <ca>/etc/filebeat/certs/root-ca.pem</ca>
      </certificate_authorities>
      <certificate>/etc/filebeat/certs/filebeat.pem</certificate>
      <key>/etc/filebeat/certs/filebeat-key.pem</key>
    </ssl>
  </indexer>
----
On y a modifié la référence d'accès au service Wazuh-Indexer vers l'adresse IP "127.0.0.1" comme on le verra dans l'article sur l'[[LINUX:Wazuh-WUI|Interface Utilisateur Web (WUI)]].


L'analyse doit se baser sur un ensemble de règles de contrôle que Wazuh doit récupérer régulièrement. C'est l'utilité des blocs limités par les balises '''"<provider name="XXX">"''' et '''"</provider>"'''.


Dans la configuration fournie en exemple lors de l'installation, on trouve divers cas de figure pour divers systèmes opératoires (OS).  
=OS supportés=
Cette fonctionnalité n'est malheureusement pas supportée pour tout OS. On peut consulter cette liste d'OS supportés à l'URL: https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection/how-it-works.html


Nous utilisons la distribution de Linux Fedora (versions 36 et 37) appartenant à l'ensemble des distributions sous l'égide de RedHat.
Malheureusement pour moi, Fedora n'y est pas repris.
Pour cette raison, nous avons retenu et activé le bloc commençant par '''"<provider name="redhat">"''' via l'option "<enabled>".


Sur base de cette distribution, il faut spécifier une version. Nous choisissons la plus élevée actuellement car la distribution Fedora est toujours en avance. C'est à dire '''"<os>9</os>"'''.
Ces règles ne s'appliqueront qu'à cette distribution Red Hat Entreprise de version 9. Or nous utilisons la distribution Fedora de versions 36 et 37. Il faut donc étendre l'utilisation de ces règles à nos deux OS.
C'est le but de l'option '''"allow"''' dont la valeur doit reprendre l'OS et la version séparé par un tiret. On peut spécifier plusieurs valeurs séparées par une virgule. Cette valeur doit être exactement celle utilisée par Wazuh Manager. Il faut donc interroger sa base de données soit via son API soit directement sa base de données. Cette recherche doit être faite sur la machine manager.


Si vous désirez avoir une liste de OS de vos machines où s'exécute Wazuh, il existe deux moyens à exécuter sur la machine Wazuh-Manager.


Par défaut Wazuh utilise SQLite. Il faut donc l'installer cet outil pour pouvoir interroger cette base de données:
Par défaut Wazuh utilise SQLite. Il faut donc l'installer cet outil pour pouvoir interroger cette base de données:
Ligne 61 : Ligne 56 :
qui donne:
qui donne:
----
----
  0|Fedora Linux|37
  0|Fedora Linux|40
  1|Fedora Linux|36
  1|Fedora Linux|39
----  
----  
En première position, nous trouvons l'id de l'agent; l'id "0" correspond à l'agent local. Ensuite vient la distribution et enfin la version.  
En première position, nous trouvons l'id de l'agent; l'id "0" correspond à l'agent local. Ensuite vient la distribution et enfin la version.  
Nous avons deux versions différentes; il nous faut donc deux valeurs à notre variable "allow". Ce qui donne:
----
<os allow="Fedora Linux-36,Fedora Linux-37">9</os>
----




Ligne 92 : Ligne 83 :
         {
         {
             "os": {
             "os": {
               '''"major": "37",'''
               '''"major": "40",'''
               '''"name": "Fedora Linux"'''
               '''"name": "Fedora Linux"'''
             },
             },
Ligne 111 : Ligne 102 :
         {
         {
             "os": {
             "os": {
               '''"major": "36",'''
               '''"major": "39",'''
               '''"name": "Fedora Linux"'''
               '''"name": "Fedora Linux"'''
             },
             },
Ligne 128 : Ligne 119 :


=Vérification=
=Vérification=
Pour une exécution rapide pour test, modifiez dans le fichier de configuration la ligne "<scan_on_start>yes</scan_on_start>" et redémarrons le service.
Suivez l'exécution du module "VULNERABILITY-DETECTEUR" dans le fichier journal "/var/ossec/logs/ossec.log" (machine manager seule). Repérez toute erreur et y remédier.  
 
Suivez l'exécution du module "VULNERABILITY-DETECTOR" dans le fichier journal "/var/ossec/logs/ossec.log" (machine manager seule). Repérez toute erreur et y remédier.  


En filtrant ce journal:
En filtrant ce journal:
  grep vulnerability-detector: /var/ossec/logs/ossec.log
  grep vulnerability-scanner: /var/ossec/logs/ossec.log
on devrait obtenir ce type de messages.
on devrait obtenir ce type de messages.
----
----
  2022/11/24 12:23:08 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'JSON Red Hat Enterprise Linux' database update.
  2024/06/13 19:31:15 wazuh-modulesd:vulnerability-scanner: INFO: Starting vulnerability_scanner module.
2022/11/24 12:23:21 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'JSON Red Hat Enterprise Linux' feed finished successfully.
  2024/06/13 19:31:16 wazuh-modulesd:vulnerability-scanner: INFO: Vulnerability scanner module started
2022/11/24 12:34:24 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Red Hat Enterprise Linux 9' database update.
  2022/11/24 12:34:25 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Red Hat Enterprise Linux 9' feed finished successfully.
2022/11/24 12:34:25 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'National Vulnerability Database' database update.
2022/11/24 12:34:29 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'National Vulnerability Database' feed finished successfully.
&nbsp;
2022/11/24 12:34:29 wazuh-modulesd:vulnerability-detector: INFO: (5431): Starting vulnerability scan.
2022/11/24 12:34:34 wazuh-modulesd:vulnerability-detector: INFO: (5450): Analyzing agent '000' vulnerabilities.
2022/11/24 12:34:34 wazuh-modulesd:vulnerability-detector: INFO: (5471): Finished vulnerability assessment for agent '000'
2022/11/24 12:34:36 wazuh-modulesd:vulnerability-detector: INFO: (5450): Analyzing agent '001' vulnerabilities.
2022/11/24 12:34:36 wazuh-modulesd:vulnerability-detector: INFO: (5471): Finished vulnerability assessment for agent '001'
2022/11/24 12:34:36 wazuh-modulesd:vulnerability-detector: INFO: (5472): Vulnerability scan finished.
----
----
La première partie correspond à la récupération des bases de données des règles de contrôle. La seconde partie effectue l'analyse de l'agent local ("000") et de l'agent distant ("001").




Ligne 160 : Ligne 137 :
Si vous avez installé le module WUI de Wazuh que nous verrons dans un autre article, vous pouvez y voir le détail. Il faut choisir un agent. Dans le menu en haut à gauche, on clique sur "WAZUH" et en dessous sur "Agents". On clique ensuite sur l'agent désiré dans la liste qui apparaît. Enfin dans l'écran qui s'ouvre, on clique sur "Vulnerabilities" dans le menu du haut pour avoir une vue d'ensemble des résultats.  
Si vous avez installé le module WUI de Wazuh que nous verrons dans un autre article, vous pouvez y voir le détail. Il faut choisir un agent. Dans le menu en haut à gauche, on clique sur "WAZUH" et en dessous sur "Agents". On clique ensuite sur l'agent désiré dans la liste qui apparaît. Enfin dans l'écran qui s'ouvre, on clique sur "Vulnerabilities" dans le menu du haut pour avoir une vue d'ensemble des résultats.  


 
<!--
Malheureusement cet interface WEB ne reprend que les agents distants et non l'agent local de la machine manager.
Malheureusement cet interface WEB ne reprend que les agents distants et non l'agent local de la machine manager.


Ligne 177 : Ligne 154 :
----
----
Le résultat peut être conséquent; on peut le rediriger vers un fichier.
Le résultat peut être conséquent; on peut le rediriger vers un fichier.
 
-->




Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Wazuh-VULNERABILITY-DETECTEUR"