Wazuh Erkennen unauthorizierter Prozesse
Konfiguration
Ubuntu-Endpunkt
Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden Prozesse auf dem Ubuntu-Endpunkt abzufragen.
1. Fügen Sie den folgenden Konfigurationsblock zur Wazuh-Agent-Konfigurationsdatei /var/ossec/etc/ossec.conf hinzu. Dies ermöglicht es, regelmäßig eine Liste der laufenden Prozesse zu erhalten:
<ossec_config>
<localfile>
<log_format>full_command</log_format>
<alias>process list</alias>
<command>ps -e -o pid,uname,command</command>
<frequency>30</frequency>
</localfile>
</ossec_config>
2. Starten Sie den Wazuh-Agent neu, um die Änderungen zu übernehmen:
sudo systemctl restart wazuh-agent
3. Installieren Sie Netcat und die erforderlichen Abhängigkeiten:
sudo apt install ncat nmap -y
Wazuh-Server
Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um eine Regel zu erstellen, die jedes Mal ausgelöst wird, wenn das Netcat-Programm gestartet wird.
1. Fügen Sie die folgenden Regeln zur Datei /var/ossec/etc/rules/local_rules.xml auf dem Wazuh-Server hinzu:
<group name="ossec,">
<rule id="100050" level="0">
<if_sid>530</if_sid>
<match>^ossec: output: 'process list'</match>
<description>Liste der laufenden Prozesse.</description>
<group>process_monitor,</group>
</rule>
<rule id="100051" level="7" ignore="900">
<if_sid>100050</if_sid>
<match>nc -l</match>
<description>Netcat lauscht auf eingehende Verbindungen.</description>
<group>process_monitor,</group>
</rule>
</group>
2. Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen:
sudo systemctl restart wazuh-manager
Angriffsemulation
Führen Sie auf dem überwachten Ubuntu-Endpunkt den Befehl nc -l 8000 für 30 Sekunden aus.
Visualisierung der Alarme
Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Threat-Hunting-Modul und fügen Sie die Filter in die Suchleiste ein, um die Alarme abzufragen:
rule.id:(100051)