MEDIA-WIKI, MEDIA-WIKI_T, Bureaucrates, Administrateurs d’interface, Administrateurs (MediaWiki Sémantique), Conservateurs (MediaWiki Sémantique), Modificateurs (MediaWiki Sémantique), Masqueurs de modifications, Administrateurs
9 047
modifications
« LINUX:Wazuh-Décodeurs et Règles » : différence entre les versions
aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 53 : | Ligne 53 : | ||
==Evaluation== | |||
Nous commençons par lancer la commande de test avant tout ajout de règle pour observer la réaction de Wazuh. | Nous commençons par lancer la commande de test avant tout ajout de règle pour observer la réaction de Wazuh. | ||
Quand on a lancé la commande, on colle la ligne du journal que nous voulons tester. | Quand on a lancé la commande, on colle la ligne du journal que nous voulons tester. | ||
| Ligne 58 : | Ligne 59 : | ||
On lance la commande | On lance la commande: | ||
/var/ossec/bin/wazuh-logtest | /var/ossec/bin/wazuh-logtest | ||
Résultat: | Résultat: | ||
| Ligne 88 : | Ligne 89 : | ||
==Règles du logiciel== | |||
Celle règle existante est à chercher dans le répertoire adapté "/var/ossec/ruleset/rules". Une rapide recherche avec une commande "grep", nous informe qu'elle se trouve dans le fichier "0245-web_rules.xml" dont voici un extrait: | Celle règle existante est à chercher dans le répertoire adapté "/var/ossec/ruleset/rules". Une rapide recherche avec une commande "grep", nous informe qu'elle se trouve dans le fichier "0245-web_rules.xml" dont voici un extrait: | ||
---- | ---- | ||
| Ligne 117 : | Ligne 119 : | ||
Pour faire bonne mesure, nous avons ajouté une troisième règle qui dépend de la première et qui concerne tout message d'erreur commençant par "4", ce qui est le cas de notre quatrième entrée du journal. | Pour faire bonne mesure, nous avons ajouté une troisième règle qui dépend de la première et qui concerne tout message d'erreur commençant par "4", ce qui est le cas de notre quatrième entrée du journal. | ||
==règle personnelle== | |||
Nous allons donc concevoir une règle sur base de ces informations. | |||
Dans le répertoire "/var/ossec/etc/rules" reprenant les règles personnelles, nous créons le fichier "perso-web_rules.xml" dans laquelle on ajoute la règle suivante: | Dans le répertoire "/var/ossec/etc/rules" reprenant les règles personnelles, nous créons le fichier "perso-web_rules.xml" dans laquelle on ajoute la règle suivante: | ||
| Ligne 128 : | Ligne 133 : | ||
</group> </nowiki> | </group> </nowiki> | ||
---- | ---- | ||
Toute règle doit avoir un n° unique sinon le service "wzud-manager.service" ne démarre pas. Nous avons | Toute règle doit avoir un n° unique sinon le service "wzud-manager.service" ne démarre pas. Nous avons choisi le n° "100105" de niveau "7". | ||
Cette règle ne sera évaluée que si une des trois règles de base est validée ("<nowiki><if_sid>31100, 31101, 31102</if_sid>< | |||
Cette règle ne sera évaluée que si une des trois règles de base est validée ("<nowiki><if_sid>31100, 31101, 31102</if_sid></nowiki>"). Ensuite le champs "url" doit commencer par "phpmyadmin" ou par "/phpMyAdmin". Nous avons ajouté cette variante également rencontrée. (Unix est sensible à la case au contraire de Windows) | |||
Après l'ajout de la règle, on lance la commande: | ==Validation== | ||
Après l'ajout de la règle, on lance de nouveau la commande pour vérification: | |||
/var/ossec/bin/wazuh-logtest | /var/ossec/bin/wazuh-logtest | ||
Résultat: | Résultat: | ||
| Ligne 158 : | Ligne 165 : | ||
**Alert to be generated. | **Alert to be generated. | ||
---- | ---- | ||
Notre règle a bien été | Notre règle a bien été déclenchée. | ||
| Ligne 205 : | Ligne 212 : | ||
Il nous reste à ajouter ce n° de règle "100195" au fichier de configuration "/var/ossec/etc/ossec.conf" de notre serveur à la section "<active-response>", option "<rules_id>" comme vu précédemment | ==Activation== | ||
Il nous reste à ajouter ce n° de règle "100195" au fichier de configuration "/var/ossec/etc/ossec.conf" de notre serveur à la section "<active-response>", option "<rules_id>" comme vu précédemment. Noublions pas de relancer le service. | |||