Linux Auditd

Данное руководство описывает процесс отправки событий службы Linux Auditd в R-Vision SIEM.

Настройка Auditd
- Настройка журналирования Auditd
- Отправка событий Auditd
Настройка в R-Vision SIEM
Таблица маппинга

Настройка Auditd

В настоящем руководстве рассматривается передача событий с помощью службы rsyslog. Предполагается, что rsyslog на станции с ОС Linux уже установлен.

Настройка журналирования Auditd

Журналирование событий службы Auditd определяет, какие события будут регистрироваться в системе. Журналирование событий настраивается с помощью правил. Если у вас уже настроена служба Auditd, пропустите этот пункт и перейдите к настройке передачи событий.

Для настройки журналирования Auditd выполните следующие действия:

Проверьте, установлена ли служба Auditd, с помощью команды:
```
auditctl -v
```
- Если служба установлена, на экране отобразится версия установленной службы, например, auditctl version 3.0.7.
  
  Если версия установленной службы ниже 2.6, обновите службу согласно рекомендациям производителя ОС.
- Если служба не установлена, на экране отобразится сообщение об ошибке. В этом случае необходимо установить службу с помощью одной из следующих команд:
  - На ОС ALT Linux:
    
    apt-get install -y audit audispd-plugins
  - На ОС Astra Linux, Debian или Ubuntu:
    
    apt-get install -y auditd audispd-plugins
  - На ОС CentOS, Oracle Linux, Red Hat Enterprise Linux или РЕД ОС:
    
    yum install -y audit audispd-plugins
  - На ОС SUSE Linux Enterprise Server:
    
    zypper install audit audispd-plugins
  - На VMware Photon OS:
    
    sudo dnf install -y yum sudo yum install audit audispd-plugins
  - На ОС Platform V SberLinux OS Server:
    
    rpm install <path_to_audit-*.x86_64.rpm>
    
    Здесь <path_to_audit-*.x86_64.rpm> — путь к файлу audit-*.x86_64.rpm.
    
    Файл audit-*.x86_64.rpm нужно скопировать из пакета ./sberlinux-9-for-x86_64-baseos-rpms/Packages/a/audit-*.x86_64.rpm, который находится в архиве с установщиком Platform V SberLinux OS Server.
Запустите и добавьте службу Auditd в автозагрузку с помощью команды:
```
systemctl enable --now auditd.service
```
Настройте службу Auditd, применив рекомендованные компанией R-Vision правила Auditd. Для этого:
1. Скачайте правила по ссылке.
2. Скопируйте файл audit.rules в директорию /etc/audit/rules.d.
3. Перезапустите службу Auditd с помощью команды:
  systemctl restart auditd.service
После перезапуска убедитесь, что служба запустилась корректно:
```
systemctl status auditd.service
```
Убедитесь в наличии событий в файле /var/log/audit/audit.log:
```
tail -f /var/log/audit/audit.log
```

Отправка событий Auditd

Для пересылки логов Auditd по syslog выполните следующие шаги:

Убедитесь, что установлен плагин audispd. Установка плагина осуществляется в пункте Настройка журналирования Auditd.

Если установка плагина невозможна или нежелательна, можно использовать модуль imfile rsyslog для чтения событий из файла audit.log. В таком случае нужно вручную указать для параметра syslogtag значение audisp-syslog.

Включите передачу audit по syslog, установив в параметре active значение yes:
- для auditd версий 3.0 или выше в файле /etc/audit/plugins.d/syslog.conf;
- для auditd версий ниже 3.0 в файле /etc/audisp/plugins.d/syslog.conf.
Перезапустите службу Auditd с помощью команды:
```
systemctl restart auditd.service
```
Создайте правило /etc/rsyslog.d/40-auditd.conf со следующим содержимым:
```
 if $programname contains 'audisp' or $syslogtag contains 'audisp' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
 }
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
- <port> — порт точки входа Syslog на конвейере SIEM.
- <protocol> — сетевой протокол: tcp или udp.
Перезапустите службу Rsyslog с помощью команды:
```
systemctl restart rsyslog.service
```

Настройка в R-Vision SIEM

В интерфейсе R-Vision SIEM в карточке коллектора перейдите на вкладку Обогащение.
Добавьте таблицу обогащения AuditEvents_enrichment.
Создайте новый конвейер в данном коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Auditd.
- Протокол: выберите вариант TCP.
Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-55).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Агрегатор c правилом Linux Auditd (идентификатор правила: RV-A-1).
Соедините агрегатор с нормализатором.
Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-56).
Соедините второй нормализатор с агрегатором.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку со вторым нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

auditd siem pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Auditd.

Найти события источника в хранилище можно по следующему фильтру:

dproduct = "Auditd"

auditd siem storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.