OSSEC เป็น HIDS (Host Based Intrusion Detection System) เอาไว้คอยดูเหตุการณ์ต่างๆ ในเครื่องเซิร์ฟเวอร์, ตรวจสอบการเปลี่ยนแปลงไฟล์, ตรวจสอบ rootkit, แจ้งเตือน และทำ active response กับเหตุการณ์ต่างๆ ที่เกิดขึ้น

มาลองเล่นกัน OSSEC จะประกอบด้วย 2 ส่วนคือ OSSEC server และ OSSEC agent ตัว server จะทำหน้าที่ประมวลผลและทำ corelation, alert ฯลฯ ส่วน agent จะทำหน้าที่ส่งข้อมูลมาให้ server หากต้องการ monitor เครื่องใดๆ ก็เอา agent ไปติดตั้งไว้ครับ ง่ายๆ แค่นี้ มาลงมือกัน

ที่เครื่อง server ติดตั้ง OSSEC server ดังนี้ ปล. ใช้ Debian 8 ครับ

apt install build-essential

git clone -b stable https://github.com/wazuh/wazuh.git ossec-wazuh

cd ossec-wazuh

sudo ./install.sh

เลือกติดตั้งเป็น server และตอบคำถามตัว installer ไปจนครบ จากนั้นก็สั่ง start server ได้เลย

sudo /var/ossec/bin/ossec-control start

ลองไปดูที่ alert log เราจะพบว่ามี log ยิงเข้ามาแล้ว

cat /var/ossec/logs/alerts/alerts.json

{"rule":{"level":3,"comment":"Ossec server started.","sidid":502,"groups":["ossec","pci_dss"],"PCI_DSS":["10.6.1"]},"full_log":"ossec: Ossec started.","hostname":"vpc-agent-debian","timestamp":"2015 Nov 08 23:01:28","location":"ossec-monitord"}

จากนั้นติดตั้ง agent ที่เครื่องที่ต้องการ monitor

apt install build-essential

git clone -b stable https://github.com/wazuh/wazuh.git ossec-wazuh

cd ossec-wazuh

sudo ./install.sh

เลือกติดตั้งเป็น agent และตอบคำถามตัว installer ไปจนครบ จากนั้นกลับมาที่ server สั่ง

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

เลือก A เพื่อเพิ่ม agent กรอกข้อมูลของเครื่อง Agent ไปจนครบ จากนั้นเลือก E เพื่อเอา Key ไปกรอกที่เครื่อง agent

****************************************
* OSSEC HIDS v2.8 Agent manager.       *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:e

Available agents:
ID: 001, Name: agent-name, IP: 10.0.0.1
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAxIFRlc3RBZ2V0biAxMTEuMTExLjExMS4xMTEgY2MxZjA1Y2UxNWQyNzEyNjdlMmE3MTRlODI0MTA1YTgxNTM5ZDliN2U2ZDQ5MWYxYzBkOTU4MjRmNjU3ZmI2Zg==

จากนั้นสั่ง restart agent ได้เลย

/var/ossec/bin/ossec-control restart

เท่านี้ก็เรียบร้อย หากต้องการดูข้อมูลทางสถิติสามารถใช้ OSSEC WUI ในการดูข้อมูลได้ หรือโยน alert log ไปยัง ELK stack หรือ TICK stack เพื่อทำ dashboard ต่อได้

OSSEC WUI

Kibana

Comments are closed.