My question now: what are some common tasks I should try next?
O OSSEC tem regras padrão para executar análise de log, verificação de integridade de arquivos, detecção de rootkits, ...
Você pode tentar algumas tarefas comuns, como:
- monitorando o log do kernel adicionando a configuração abaixo em
ossec.conf:
<localfile> <log_format>syslog</log_format> <location>/var/log/kern.log</location> </localfile>
- Adicionando algumas palavras de exclusão às quais você não deseja ficar alerta para
/var/ossec/rules/local_rules.xml:
RRD_update|getaddrinfo|does not represent a number in line|error.class.php|Bind to port|errorsign.jpg|error.gif|error retrieving information about user
e sobrescreva algumas regras:
<rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes">
<if_matched_sid>5702</if_matched_sid>
<options>no_email_alert</options>
<description>Possible breakin attempt </description>
<description>(high number of reverse lookup errors).</description>
</rule>
- escreve vários scripts de shell para resposta ativa
- integre OSSEC com o Splunk
I would like to go in and change some file that OSSEC is monitoring to see if it alerts on that, but I don't know what the default rules are monitoring.
Você pode pesquisar a palavra-chave integrity na pasta rules :
# grep -lir "integrity" /var/ossec/rules/
/var/ossec/rules/msauth_rules.xml
/var/ossec/rules/syslog_rules.xml
/var/ossec/rules/ossec_rules.xml
É a regra de identificação 550:
<rule id="550" level="7">
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<description>Integrity checksum changed.</description>
<group>syscheck,</group>
</rule>