Wazuh Erkennen unauthorizierter Prozesse
Konfiguration
Ubuntu-Endpunkt
Führen Sie die folgenden Schritte aus, um die Befehlsüberwachung zu konfigurieren und eine Liste aller laufenden Prozesse auf dem Ubuntu-Endpunkt abzufragen.
1. Fügen Sie den folgenden Konfigurationsblock zur Wazuh-Agent-Konfigurationsdatei `/var/ossec/etc/ossec.conf` hinzu. Dies ermöglicht es, regelmäßig eine Liste der laufenden Prozesse zu erhalten:
```xml
<ossec_config>
<localfile>
<log_format>full_command</log_format>
<alias>process list</alias>
<command>ps -e -o pid,uname,command</command>
<frequency>30</frequency>
</localfile>
</ossec_config>
```
2. Starten Sie den Wazuh-Agent neu, um die Änderungen zu übernehmen:
```bash sudo systemctl restart wazuh-agent ```
3. Installieren Sie Netcat und die erforderlichen Abhängigkeiten:
```bash sudo apt install ncat nmap -y ```
Wazuh-Server
Führen Sie die folgenden Schritte auf dem Wazuh-Server aus, um eine Regel zu erstellen, die jedes Mal ausgelöst wird, wenn das Netcat-Programm gestartet wird.
1. Fügen Sie die folgenden Regeln zur Datei `/var/ossec/etc/rules/local_rules.xml` auf dem Wazuh-Server hinzu:
```xml
<group name="ossec,">
<rule id="100050" level="0">
<if_sid>530</if_sid>
<match>^ossec: output: 'process list'</match>
<description>Liste der laufenden Prozesse.</description>
<group>process_monitor,</group>
</rule>
<rule id="100051" level="7" ignore="900">
<if_sid>100050</if_sid>
<match>nc -l</match>
<description>Netcat lauscht auf eingehende Verbindungen.</description>
<group>process_monitor,</group>
</rule>
</group>
```
2. Starten Sie den Wazuh-Manager neu, um die Änderungen zu übernehmen:
```bash sudo systemctl restart wazuh-manager ```
Angriffsemulation
Führen Sie auf dem überwachten Ubuntu-Endpunkt den Befehl `nc -l 8000` für 30 Sekunden aus.
Visualisierung der Alarme
Sie können die Alarmdaten im Wazuh-Dashboard visualisieren. Gehen Sie dazu zum Threat-Hunting-Modul und fügen Sie die Filter in die Suchleiste ein, um die Alarme abzufragen:
```plaintext rule.id:(100051)