Wazuh Erkennen unauthorizierter Prozesse: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Konfiguration == === Ubuntu-Endpunkt === Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden…“)
(kein Unterschied)

Version vom 30. Januar 2025, 10:27 Uhr

Konfiguration

Ubuntu-Endpunkt

Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden Prozesse auf dem Ubuntu-Endpunkt abzufragen.

1. Fügen Sie den folgenden Konfigurationsblock zur Wazuh-Agent-Konfigurationsdatei `/var/ossec/etc/ossec.conf` hinzu. Dies ermöglicht es, regelmäßig eine Liste der laufenden Prozesse zu erhalten: 

   ```xml
   <ossec_config>
     <localfile>
       <log_format>full_command</log_format>
       <alias>process list</alias>
       <command>ps -e -o pid,uname,command</command>
       <frequency>30</frequency>
     </localfile>
   </ossec_config>
   ```

2. Starten Sie den Wazuh-Agent neu, um die Änderungen zu übernehmen: 

   ```bash
   sudo systemctl restart wazuh-agent
   ```

3. Installieren Sie Netcat und die erforderlichen Abhängigkeiten: 

   ```bash
   sudo apt install ncat nmap -y
   ```

Wazuh-Server

Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um eine Regel zu erstellen, die jedes Mal ausgelöst wird, wenn das Netcat-Programm gestartet wird.

1. Fügen Sie die folgenden Regeln zur Datei `/var/ossec/etc/rules/local_rules.xml` auf dem Wazuh-Server hinzu: 

   ```xml
   <group name="ossec,">
     <rule id="100050" level="0">
       <if_sid>530</if_sid>
       <match>^ossec: output: 'process list'</match>
       <description>Liste der laufenden Prozesse.</description>
       <group>process_monitor,</group>
     </rule>

     <rule id="100051" level="7" ignore="900">
       <if_sid>100050</if_sid>
       <match>nc -l</match>
       <description>Netcat lauscht auf eingehende Verbindungen.</description>
       <group>process_monitor,</group>
     </rule>
   </group>
   ```

2. Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen: 

   ```bash
   sudo systemctl restart wazuh-manager
   ```

Angriffsemulation

Führen Sie auf dem überwachten Ubuntu-Endpunkt den Befehl `nc -l 8000` für 30 Sekunden aus.

Visualisierung der Alarme

Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Threat-Hunting-Modul und fügen Sie die Filter in die Suchleiste ein, um die Alarme abzufragen:

```plaintext rule.id:(100051)

Abgerufen von „http://wiki.ixheim.de/index.php?title=Wazuh_Erkennen_unauthorizierter_Prozesse&oldid=58763