« LINUX:Wazuh: HIDS » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 87 : | Ligne 87 : | ||
=Configuration de base du serveur= | |||
Le logiciel est installé dans le répertoire "/var/ossec". Le fichier de configuration se trouve dans le sous-répertoire "/var/ossec/etc" et se nomme "ossec.conf". | |||
Nous allons modifier quelques sections. | |||
La première étape est d'être averti par mail si une alerte de déclenche. On définit les paramètres de messagerie. On utilise le serveur de messagerie Postfix local ("smtp_server") et on envoie le message à l'utilisateur "root" local ("email_to"). On nomme l'adresse mail de l'émetteur selon les contraintes du serveur de messagerie ("email_from"). | |||
---- | |||
<global> | |||
<email_notification>'''yes'''</email_notification> | |||
<smtp_server>'''localhost'''</smtp_server> | |||
<email_from>''''ossecm@home.dom''''</email_from> | |||
<email_to>''''root@home.dom'''</email_to> | |||
</global> | |||
---- | |||
Ensuite on définit le niveau à partir duquel l'alerte est envoyée dans les journaux ("log_alert_level") et par mail ("email_alert_level"). Chaque alerte possède un niveau qui va de 1 à 16. Ces niveaux sont à adapter progressivement en fonction des besoins. Au début, il faut observer ce qui se passe. On adapte les niveaux en fonction. | |||
---- | |||
<alerts> | |||
<log_alert_level>4</log_alert_level> | |||
<email_alert_level>5</email_alert_level> | |||
</alerts> | |||
---- | |||
Ensuite il faut vérifier les fichiers journaux que vous voulez surveiller. Par exemple, les fichiers journaux liés au serveur WEB Apache sont normalement inclus; il n'y a rien à faire de ce côté sauf si vous avez changé leurs noms. | |||
Dans mon cas, le FireWall a son journal particulier ("/var/log/iptables"); nous l'ajoutons. s'il y en a d'autres, on les ajoute. | |||
---- | |||
<localfile> | |||
<log_format>syslog</log_format> | |||
<location>/var/log/iptables</location> | |||
</localfile> | |||
<localfile> | |||
<log_format>syslog</log_format> | |||
<location>/var/log/dnf.rpm.log</location> | |||
</localfile> | |||
---- | |||
= | Un autre fichier de configuration est central: "/var/ossec/etc/internal_options.conf". Ce fichier comporte des paramètres importants liés aux fonctionnement de Wazuh. Ces options sont à manipuler avec précautions. On ne le change pas. Tout paramètre que l'on veut modifier, est à faire dans le fichier local "/var/ossec/etc/local_internal_options.conf". | ||
Nous avons modifié un de ces paramètres afin que le sujet de l'email soit plus explicite. Ceci me facilite la vie en me permettant de classer automatiquement certains mail d'alerte. | |||
---- | |||
maild.full_subject=1 | |||
---- | |||
Nous avons une bonne base. Sur le site Web de Wazuh, la documentation vous aidera pour aller plus loin. | |||
| Ligne 100 : | Ligne 138 : | ||
=Configuration de base de l'agent= | =Configuration de base de l'agent= | ||
Comme sur le serveur, le logiciel est installé dans le répertoire "/var/ossec". | |||