Ossec 構成例

ファイル/ディレクトリの監視

ossec.conf 構成ファイルを変更し、次の内容を追加します。

ディレクトリ check_all; = "はい" > /opt/web < /directories > /var/web/upload < /ignore > 🎜>

ossec.conf構成ファイルを変更し、次のコンテンツを追加します;location> /var/log/nginx/error .log< /location > #web ログ パス

侵入検知>

侵入検知の目的を達成するために、ossec.conf 設定ファイルの タグで定義されたルール ファイルを変更します。

たとえば、特定のバックドアは /tmp ディレクトリに mcrootkit ファイルを生成します。次の内容を /var/ossec/etc/shared/rootkit_files.txt ファイルに追加します:

tmp /mcrootkit ! Bash ドア ::/rootkits/bashdoor.php

電子メール通知情報

OSSEC HIDS 通知 2015 Jul 07 18:19:14 受信者: (web-10-10-51-51) ) 10.10.51.51 ->rootcheck

ルール: 510 が起動されました (レベル 7) -> 「ホストベースの異常検出イベント (rootcheck)。」

ログの部分:

ルートキット「/tmp/secrootkit」ファイルの存在により「Bash」が検出されました。 >

>

CC 攻撃対策ルールを確立する

# cat /var/ossec/rules/ddos_rules.xml

🎜> 31108< /if_sid > #URL アドレスに含まれる任意の php ファイルと一致

CC 攻撃 URL < /description > #説明

< /rule >

/if_matched_sid >

🎜>注:

60 秒以内に同じ IP アクセスが php ファイルに 10 回を超えた場合、スクリプトをトリガーします

URL ID 31108 に一致するログ内の URL には、任意の php ファイルが含まれています

ルール ID 31108 の詳細な定義については、web_rules.xml ファイルを参照してください。

<ルール ID = "31108" レベル = "0" >

/if_sid >

< |^3< /id >

is_simple_http_request< /compiled_rule >

< /description >

ルール>

説明: ルール ID 31108 は、一致する Web ログ 2x、3x アクセス コードです。 404、403、およびその他のエラー ページを効果的にフィルタリングする

自動応答を構成する

ossec.conf 構成ファイルに、次の内容を追加します:

< ; コマンド

/expect > lt;/command >

command >firewall-drop< > > #スクリプトの実行場所、ローカルを表します

/rules_id < #トリガールールID

タイムアウト >

< ; /active-response >

カスタム ルール

ログに表示される admin_backdoor などのフィルタ文字列

test_rules.xml ファイルを ossec.conf 構成ファイルに追加します。

>

フィルター ルールの作成

#vi /var/ossec/rules/test_rules.xml

<グループ名= "localtest," > ;

admin_backdoor< 🎜> admin_backdoor アクセス< ;

< /rule >

設定デコーダー.xml ファイル

# cat /var/ossec/etc/decoder.xml

[root@ossec-server-10 -10-51-50 /var/ossec]# ./bin/ossec-logtest

2015/07/07 19:48:20 ossec -testrule: 情報: ローカル デコーダー ファイルを読み取り中です

2015/07/07 19:48:20 ossec-testrule: 情報: 開始されました (pid: 16189)。

ossec-testrule: 1 行に 1 つのログを入力します。

admin_backdoor #Input文字列

**フェーズ 1: 事前デコードが完了しました。

完全なイベント: 'admin_backdoor'

ホスト名 : 'ossec-server-10-10-51-50'

プログラム名: '(null)'

ログ: 'admin_backdoor'

** フェーズ 2: デコードが完了しました。

デコーダー: 'admin_backdoor'

**フェーズ 3: フィルタリング (ルール) が完了しました。

ルール ID: '7777' #match ルール ID 8888

レベル: '7'

説明: 'admin_backdoor access' #説明、上記で定義

**生成されるアラート