มาเล่น OSSEC กัน

OSSEC เป็น HIDS (Host Based Intrusion Detection System) เอาไว้คอยดูเหตุการณ์ต่างๆ ในเครื่องเซิร์ฟเวอร์, ตรวจสอบการเปลี่ยนแปลงไฟล์, ตรวจสอบ rootkit, แจ้งเตือน และทำ active response กับเหตุการณ์ต่างๆ ที่เกิดขึ้น

มาลองเล่นกัน OSSEC จะประกอบด้วย 2 ส่วนคือ OSSEC server และ OSSEC agent ตัว server จะทำหน้าที่ประมวลผลและทำ corelation, alert ฯลฯ ส่วน agent จะทำหน้าที่ส่งข้อมูลมาให้ server หากต้องการ monitor เครื่องใดๆ ก็เอา agent ไปติดตั้งไว้ครับ ง่ายๆ แค่นี้ มาลงมือกัน

ที่เครื่อง server ติดตั้ง OSSEC server ดังนี้ ปล. ใช้ Debian 8 ครับ
apt install build-essential
git clone -b stable https://github.com/wazuh/wazuh.git ossec-wazuh
cd ossec-wazuh
sudo ./install.sh
เลือกติดตั้งเป็น server และตอบคำถามตัว installer ไปจนครบ จากนั้นก็สั่ง start server ได้เลย
sudo /var/ossec/bin/ossec-control start
ลองไปดูที่ alert log เราจะพบว่ามี log ยิงเข้ามาแล้ว
cat /var/ossec/logs/alerts/alerts.json

{"rule":{"level":3,"comment":"Ossec server started.","sidid":502,"groups":["ossec","pci_dss"],"PCI_DSS":["10.6.1"]},"full_log":"ossec: Ossec started.","hostname":"vpc-agent-debian","timestamp":"2015 Nov 08 23:01:28","location":"ossec-monitord"}

จากนั้นติดตั้ง agent ที่เครื่องที่ต้องการ monitor
apt install build-essential
git clone -b stable https://github.com/wazuh/wazuh.git ossec-wazuh
cd ossec-wazuh
sudo ./install.sh
เลือกติดตั้งเป็น agent และตอบคำถามตัว installer ไปจนครบ จากนั้นกลับมาที่ server สั่ง
/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

เลือก A เพื่อเพิ่ม agent กรอกข้อมูลของเครื่อง Agent ไปจนครบ จากนั้นเลือก E เพื่อเอา Key ไปกรอกที่เครื่อง agent

****************************************
* OSSEC HIDS v2.8 Agent manager.       *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:e
Available agents:
ID: 001, Name: agent-name, IP: 10.0.0.1
Provide the ID of the agent to extract the key (or '\q' to quit): 001
Agent key information for '001' is:
MDAxIFRlc3RBZ2V0biAxMTEuMTExLjExMS4xMTEgY2MxZjA1Y2UxNWQyNzEyNjdlMmE3MTRlODI0MTA1YTgxNTM5ZDliN2U2ZDQ5MWYxYzBkOTU4MjRmNjU3ZmI2Zg==

จากนั้นสั่ง restart agent ได้เลย
/var/ossec/bin/ossec-control restart
เท่านี้ก็เรียบร้อย หากต้องการดูข้อมูลทางสถิติสามารถใช้ OSSEC WUI ในการดูข้อมูลได้ หรือโยน alert log ไปยัง ELK stack หรือ TICK stack เพื่อทำ dashboard ต่อได้
OSSEC WUI

Kibana