« LINUX:Wazuh-Décodeurs et Règles » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 462 : | Ligne 462 : | ||
=4<sup>ème</sup> cas= | =4<sup>ème</sup> cas= | ||
Sur une machine, j'ai installé le logiciel Nagios, programme de surveillance du matériel et des services à travers le réseau. Sur cette machine existe un serveur de messagerir comprenant les protocoles POP3, POP3S, IMAP et IMPAPS au travers du logiciel DOVECOT. Ces services ont logiquement été mis sous surveillance à intervals réguliers. Dès ce moment, quatre alarmes de niveau 5 intempestives sont apparues et répétées régulièrement. Nous avons voulu remettre ces alarmes à un niveau 0. Deux approches sont présentées. | Sur une machine, j'ai installé le logiciel Nagios, programme de surveillance du matériel et des services à travers le réseau. Sur cette machine existe un serveur de messagerir comprenant les protocoles POP3, POP3S, IMAP et IMPAPS au travers du logiciel DOVECOT. Ces services ont logiquement été mis sous surveillance à intervals réguliers. Dès ce moment, quatre alarmes de niveau 5 intempestives sont apparues et répétées régulièrement. Nous avons voulu remettre ces alarmes à un niveau 0 pour cet émetteur et ce récepteur bien précis, identifiés par leurs adresses IP. Deux approches sont présentées. | ||
| Ligne 514 : | Ligne 514 : | ||
== | ==Règles du logiciel== | ||
Cette règle se retrouve dans le fichier "/var/ossec/ruleset/rules/0155-dovecot_rules.xml". | Cette règle se retrouve dans le fichier "/var/ossec/ruleset/rules/0155-dovecot_rules.xml". | ||
| Ligne 584 : | Ligne 584 : | ||
==2<sup>ème</sup> approche== | |||
Dans cette seconde approche, nous allons agit en amont. Les décodeurs ne nous donnent aucune information sur l'émetteur et le récepteur. | |||
===Décodeurs du logiciel=== | |||
On retrouve les décodeurs utilisés dans le fichier "/var/ossec/ruleset/decoders/0085-dovecot_decoders.xml". | |||
Voici un extrait: | |||
---- | ---- | ||
<decoder name="dovecot"> | <decoder name="dovecot"> | ||
| Ligne 615 : | Ligne 611 : | ||
</decoder> | </decoder> | ||
---- | ---- | ||
La première entrée précise que les messages du journal sont émis par le programme "dovecot". C'est le prédecodage qui lui fourni cette information ("program_name"); deux autres informations sont aussi identifiées ("timestamp" et "hostname"). Ces champs proviennent du début du message du journal ("Mar 1 20:13:14 serverdb dovecot[1034]:"). Cette partie est acquise et mise de côté. Le reste va être décodé par les décodeurs suivants. | |||
Par héritage, les décodeurs suivants analyse cette seconde partie. Elles concernent la déconnexion ("Disconnected") suite à une demande d'authentification ("-login"). La chaîne "^\w\w\w\w" signifie que | |||
qu'en début de message ("^"), on prend quatre caratères alphanumériques de base limités à droite par la chaîne "-login:". Ces quatre caractères collent aux mots POP3 et IMAP. | |||
Sur les trois décodeurs présentés, c'est le second qui s'active. | |||
===Décodeur personnel=== | |||
Comme les résultats du second décodeur ne nous conviennent pas, il faut en insérer une juste avant. | |||
Mais comme il ne faut jamais modifier un décodeur venant avec le logiciel, il faut la mettre dans le répertoire personnel "/var/ossec/etc/decoders". Mais si ce décodeur est mis seul, il sera traité en dernier lieu et ce sera toujours le décodeur du logiciel qui sera activé. Pour contourner ce problème, on va utiliser une astuce. | |||
* En premier lieu, on recopie le fichier "/var/ossec/ruleset/decoders/0085-dovecot_decoders.xml" dans le répertoire "/var/ossec/etc/decoders". Par soucis de visibilité, on garde son nom. ("/var/ossec/etc/decoders/0085-dovecot_decoders.xml") | |||
* En second lieu, on désactive le décodeur d'origine par l'ajout d'une option dans le fichier de configuration de Wazuh. ("/var/ossec/etc/ossec.conf") | |||
* En troisième lieu, on ajoute notre décodeur dans le fichier "/var/ossec/etc/decoders/0085-dovecot_decoders.xml". | |||
* Enfin on redémare le service 'wazuh-manager.service". | |||
L'extrait des décodeurs présenté plus haut devient: | |||
---- | ---- | ||
<decoder name="dovecot"> | <decoder name="dovecot"> | ||
| Ligne 648 : | Ligne 655 : | ||
</decoder> | </decoder> | ||
---- | ---- | ||
L'ajout est mis en gras. | |||