Wazuh Erkennen unauthorizierter Prozesse: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „== Konfiguration == === Ubuntu-Endpunkt === Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden…“) |
|||
| Zeile 3: | Zeile 3: | ||
Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden Prozesse auf dem Ubuntu-Endpunkt abzufragen. | Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden Prozesse auf dem Ubuntu-Endpunkt abzufragen. | ||
| − | 1. Fügen Sie den folgenden Konfigurationsblock zur Wazuh-Agent-Konfigurationsdatei | + | 1. Fügen Sie den folgenden Konfigurationsblock zur Wazuh-Agent-Konfigurationsdatei <code>/var/ossec/etc/ossec.conf</code> hinzu. Dies ermöglicht es, regelmäßig eine Liste der laufenden Prozesse zu erhalten: |
| − | + | <syntaxhighlight lang="xml"> | |
<ossec_config> | <ossec_config> | ||
<localfile> | <localfile> | ||
| Zeile 14: | Zeile 14: | ||
</localfile> | </localfile> | ||
</ossec_config> | </ossec_config> | ||
| − | + | </syntaxhighlight> | |
2. Starten Sie den Wazuh-Agent neu, um die Änderungen zu übernehmen: | 2. Starten Sie den Wazuh-Agent neu, um die Änderungen zu übernehmen: | ||
| − | + | <syntaxhighlight lang="bash"> | |
sudo systemctl restart wazuh-agent | sudo systemctl restart wazuh-agent | ||
| − | + | </syntaxhighlight> | |
3. Installieren Sie Netcat und die erforderlichen Abhängigkeiten: | 3. Installieren Sie Netcat und die erforderlichen Abhängigkeiten: | ||
| − | + | <syntaxhighlight lang="bash"> | |
sudo apt install ncat nmap -y | sudo apt install ncat nmap -y | ||
| − | + | </syntaxhighlight> | |
=== Wazuh-Server === | === Wazuh-Server === | ||
Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um eine Regel zu erstellen, die jedes Mal ausgelöst wird, wenn das Netcat-Programm gestartet wird. | Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um eine Regel zu erstellen, die jedes Mal ausgelöst wird, wenn das Netcat-Programm gestartet wird. | ||
| − | 1. Fügen Sie die folgenden Regeln zur Datei | + | 1. Fügen Sie die folgenden Regeln zur Datei <code>/var/ossec/etc/rules/local_rules.xml</code> auf dem Wazuh-Server hinzu: |
| − | + | <syntaxhighlight lang="xml"> | |
<group name="ossec,"> | <group name="ossec,"> | ||
<rule id="100050" level="0"> | <rule id="100050" level="0"> | ||
| Zeile 49: | Zeile 49: | ||
</rule> | </rule> | ||
</group> | </group> | ||
| − | + | </syntaxhighlight> | |
2. Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen: | 2. Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen: | ||
| − | + | <syntaxhighlight lang="bash"> | |
sudo systemctl restart wazuh-manager | sudo systemctl restart wazuh-manager | ||
| − | + | </syntaxhighlight> | |
== Angriffsemulation == | == Angriffsemulation == | ||
| − | Führen Sie auf dem überwachten Ubuntu-Endpunkt den Befehl | + | Führen Sie auf dem überwachten Ubuntu-Endpunkt den Befehl <code>nc -l 8000</code> für 30 Sekunden aus. |
== Visualisierung der Alarme == | == Visualisierung der Alarme == | ||
Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Threat-Hunting-Modul und fügen Sie die Filter in die Suchleiste ein, um die Alarme abzufragen: | Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Threat-Hunting-Modul und fügen Sie die Filter in die Suchleiste ein, um die Alarme abzufragen: | ||
| − | + | <syntaxhighlight lang="plaintext"> | |
rule.id:(100051) | rule.id:(100051) | ||
| + | </syntaxhighlight> | ||
Aktuelle Version vom 30. Januar 2025, 10:28 Uhr
Konfiguration
Ubuntu-Endpunkt
Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden Prozesse auf dem Ubuntu-Endpunkt abzufragen.
1. Fügen Sie den folgenden Konfigurationsblock zur Wazuh-Agent-Konfigurationsdatei /var/ossec/etc/ossec.conf hinzu. Dies ermöglicht es, regelmäßig eine Liste der laufenden Prozesse zu erhalten:
<ossec_config>
<localfile>
<log_format>full_command</log_format>
<alias>process list</alias>
<command>ps -e -o pid,uname,command</command>
<frequency>30</frequency>
</localfile>
</ossec_config>
2. Starten Sie den Wazuh-Agent neu, um die Änderungen zu übernehmen:
sudo systemctl restart wazuh-agent
3. Installieren Sie Netcat und die erforderlichen Abhängigkeiten:
sudo apt install ncat nmap -y
Wazuh-Server
Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um eine Regel zu erstellen, die jedes Mal ausgelöst wird, wenn das Netcat-Programm gestartet wird.
1. Fügen Sie die folgenden Regeln zur Datei /var/ossec/etc/rules/local_rules.xml auf dem Wazuh-Server hinzu:
<group name="ossec,">
<rule id="100050" level="0">
<if_sid>530</if_sid>
<match>^ossec: output: 'process list'</match>
<description>Liste der laufenden Prozesse.</description>
<group>process_monitor,</group>
</rule>
<rule id="100051" level="7" ignore="900">
<if_sid>100050</if_sid>
<match>nc -l</match>
<description>Netcat lauscht auf eingehende Verbindungen.</description>
<group>process_monitor,</group>
</rule>
</group>
2. Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen:
sudo systemctl restart wazuh-manager
Angriffsemulation
Führen Sie auf dem überwachten Ubuntu-Endpunkt den Befehl nc -l 8000 für 30 Sekunden aus.
Visualisierung der Alarme
Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Threat-Hunting-Modul und fügen Sie die Filter in die Suchleiste ein, um die Alarme abzufragen:
rule.id:(100051)