Linux Auditd

Данное руководство описывает процесс отправки событий службы Linux Auditd в R-Vision SIEM.

Настройка Auditd

В настоящем руководстве рассматривается передача событий с помощью службы rsyslog. Предполагается, что rsyslog на станции с ОС Linux уже установлен.

Настройка журналирования Auditd

Журналирование событий службы Auditd (какие события будут регистрироваться в системе) настраивается с помощью правил. Если у вас уже настроена служба Auditd, пропустите этот пункт и перейдите к настройке передачи событий.

Для настройки журналирования Auditd выполните следующие действия:

Проверьте, установлена ли служба Auditd, с помощью команды:
```
auditctl -v
```
Если служба установлена, на экране отобразится версия установленной службы, например, auditctl version 3.0.7.

Если версия установленной службы ниже 2.6, обновите службу согласно рекомендациям производителя ОС.
Если служба не установлена, на экране отобразится сообщение об ошибке. В это случае необходимо установить службу с помощью команды:
- На ОС ALT Linux:
  
  apt-get install -y audit audispd-plugins
- На ОС Astra Linux, Debian или Ubuntu:
  
  apt-get install -y auditd audispd-plugins
- На ОС CentOS, Oracle Linux, Red Hat Enterprise Linux или "РЕД ОС":
  
  yum install -y audit audispd-plugins
- На ОС SUSE Linux Enterprise Server:
  
  zypper install audit audispd-plugins
- На ОС VMware Photon OS:
  
  sudo tdnf install -y yum sudo yum install audit audispd-plugins
- На ОС Platform V SberLinux OS Server:
  
  rpm install <path_to_audit-*.x86_64.rpm>
  
  Здесь <path_to_audit-*.x86_64.rpm> — путь к файлу audit-*.x86_64.rpm.
  
  Файл audit-*.x86_64.rpm нужно скопировать из пакета ./sberlinux-9-for-x86_64-baseos-rpms/Packages/a/audit-*.x86_64.rpm, который находится в архиве с установщиком Platform V SberLinux OS Server.
Запустите и добавьте службу Auditd в автозагрузку с помощью команды:
```
systemctl enable --now auditd.service
```
Настройте службу Auditd, применив рекомендованные компанией R-Vision правила Auditd. Для этого:
1. Скачайте правила по ссылке.
2. Скопируйте файл audit.rules в директорию /etc/audit/rules.d.
3. Перезапустите службу Auditd:
  systemctl restart auditd.service
После перезапуска службы, убедитесь, что служба запустилась корректно:
```
systemctl status auditd.service
```
Убедитесь в наличии событий в /var/log/audit/audit.log:
```
tail -f /var/log/audit/audit.log
```

Отправка событий Auditd

Для пересылки логов Auditd по syslog:

Включите передачу audit по syslog в файле /etc/audit/plugins.d/syslog.conf (для auditd версий 3.0 или выше) или в файле /etc/audisp/plugins.d/syslog.conf (если версия auditd ниже 3.0), установив параметру active значение yes.

Для этого должен быть установлен плагин audispd. Установка плагина осуществляется в пункте Настройка журналирования Auditd. Если установка плагина невозможна или нежелательна, можно использовать модуль imfile rsyslog для чтения событий из файла audit.log, в таком случае нужно вручную указать syslogtag audisp-syslog.

Перезапустите службу Auditd:
```
systemctl restart auditd.service
```
Создайте правило /etc/rsyslog.d/40-auditd.conf со следующим содержимым:
```
 if $programname contains 'audisp' or $syslogtag contains 'audisp' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
 }
```
Здесь:
- <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
- <port> — порт точки входа Syslog в конвейере SIEM.
- <protocol> — сетевой протокол: tcp или udp.
Перезапустите службу Rsyslog:
```
systemctl restart rsyslog.service
```

Настройка интеграции с R-Vision SIEM

Для интеграции источника с R-Vision SIEM выполните следующие действия:

В интерфейсе R-Vision SIEM в коллекторе перейдите во вкладку Обогащение и добавьте таблицу обогащения "AuditEvents_enrichment".
В том же коллекторе создайте новый конвейер.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Тип точки входа: Syslog.
- Название: произвольное, понятное.
- Порт точки входа: в соответствии с настройками на стороне Auditd.
- Протокол: TCP.
Добавьте на конвейер элемент Нормализатор с правилом "Первичная нормализация событий Linux Auditd". Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Агрегатор c правилом "Правило агрегации события Linux Auditd". Соедините агрегатор с нормализатором.
Добавьте на конвейер элемент Нормализатор с правилом "Правило нормализации событий Linux Auditd". Соедините второй нормализатор с агрегатором.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку со вторым нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

auditd siem pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Auditd.

Найти события источника в хранилище можно по следующему фильтру:

dproduct = "Auditd"

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.