Agente OSSEC vinculado ao servidor OSSIM

1

Instalei o servidor OSSIM em uma VM e tentei vincular um agente OSSEC a ele. Eu consegui vincular e instalar um HIDS no cliente e fazer com que ele se comunique ok com o servidor OSSIM.

No entanto, no AMBIENTE - > Seção DETECÇÃO, não consigo fazer com que o agente apareça como ativo. Eu tentei com um Ubuntu e um cliente CentOS, mas eu tenho o mesmo problema com ambos.

Qualquer conselho sobre como obter o status do agente como ativo.

Referência: link

    
por user92592 27.03.2016 / 23:26

1 resposta

0

isso é muito menos informação. você tenta obter um agente em execução em uma máquina windows ou linux?

se você instalou o servidor ossim corretamente, deve instalar os ossec hids no agente e configurá-lo para atuar como agente. siga estas etapas se você ainda não fez isso para configurar o agente em um host linux.

sudo ./install.sh

1- Que tipo de instalação você deseja (servidor, agente, local, híbrido ou ajuda)? escreva agente

depois, mais tarde, nesta pergunta: Qual é o endereço IP ou o nome do host do servidor OSSEC HIDS? digite seu ip do servidor ossec

as outras perguntas devem ser boas se você escolher as respostas padrão.

quando terminar a corrida sudo / var / ossec / bin / manage_agents

no servidor ossec / ossim

adicione um agente o menu deve ser algo como isto:

(A) dd um agente (A).

(E) xtract key para um agente (E).

(L) já é adicionado agentes (L).

(R) emove um agente (R).

(Q) uit.

Escolha sua ação: A, E, L, R ou Q: a

adicione um agente e extraia a chave para este agente

mantenha esta chave para uso posterior

finalmente, volte para o agente e execute a mesma ferramenta

sudo / var / ossec / bin / manage_agents

escolha (i) a chave mport do servidor (I).

cole a chave que você obteve do servidor ossim e confirme.

finalmente, reinicie o servidor ossim (eu acho que seu /etc/init.d/ossim-server reinicia) e o agente ossec (eu acho que é /etc/init.d/ossec reiniciar) esse deveria ser o objetivo.

    
por 28.03.2016 / 03:35

Tags