Linux Auditd
Данное руководство описывает процесс отправки событий службы Linux Auditd в R-Vision SIEM.
Настройка Auditd
В настоящем руководстве рассматривается передача событий с помощью службы rsyslog. Предполагается, что rsyslog на станции с ОС Linux уже установлен. |
Настройка журналирования Auditd
Журналирование событий службы Auditd определяет, какие события будут регистрироваться в системе. Журналирование событий настраивается с помощью правил. Если у вас уже настроена служба Auditd, пропустите этот пункт и перейдите к настройке передачи событий.
Для настройки журналирования Auditd выполните следующие действия:
-
Проверьте, установлена ли служба Auditd, с помощью команды:
auditctl -v
-
Если служба установлена, на экране отобразится версия установленной службы, например,
auditctl version 3.0.7
.Если версия установленной службы ниже 2.6, обновите службу согласно рекомендациям производителя ОС. -
Если служба не установлена, на экране отобразится сообщение об ошибке. В этом случае необходимо установить службу с помощью одной из следующих команд:
-
На ОС ALT Linux:
apt-get install -y audit audispd-plugins
-
На ОС Astra Linux, Debian или Ubuntu:
apt-get install -y auditd audispd-plugins
-
На ОС CentOS, Oracle Linux, Red Hat Enterprise Linux или РЕД ОС:
yum install -y audit audispd-plugins
-
На ОС SUSE Linux Enterprise Server:
zypper install audit audispd-plugins
-
На VMware Photon OS:
sudo dnf install -y yum sudo yum install audit audispd-plugins
-
На ОС Platform V SberLinux OS Server:
rpm install <path_to_audit-*.x86_64.rpm>
Здесь
<path_to_audit-*.x86_64.rpm>
— путь к файлу audit-*.x86_64.rpm.Файл audit-*.x86_64.rpm нужно скопировать из пакета
./sberlinux-9-for-x86_64-baseos-rpms/Packages/a/audit-*.x86_64.rpm
, который находится в архиве с установщиком Platform V SberLinux OS Server.
-
-
-
Запустите и добавьте службу Auditd в автозагрузку с помощью команды:
systemctl enable --now auditd.service
-
Настройте службу Auditd, применив рекомендованные компанией R-Vision правила Auditd. Для этого:
-
Скачайте правила по ссылке.
-
Скопируйте файл audit.rules в директорию
/etc/audit/rules.d
. -
Перезапустите службу Auditd с помощью команды:
systemctl restart auditd.service
-
-
После перезапуска убедитесь, что служба запустилась корректно:
systemctl status auditd.service
-
Убедитесь в наличии событий в файле
/var/log/audit/audit.log
:tail -f /var/log/audit/audit.log
Отправка событий Auditd
Для пересылки логов Auditd по syslog выполните следующие шаги:
-
Убедитесь, что установлен плагин audispd. Установка плагина осуществляется в пункте Настройка журналирования Auditd.
Если установка плагина невозможна или нежелательна, можно использовать модуль imfile rsyslog для чтения событий из файла audit.log. В таком случае нужно вручную указать для параметра syslogtag значение audisp-syslog
. -
Включите передачу audit по syslog, установив в параметре active значение
yes
:-
для auditd версий 3.0 или выше в файле
/etc/audit/plugins.d/syslog.conf
; -
для auditd версий ниже 3.0 в файле
/etc/audisp/plugins.d/syslog.conf
.
-
-
Перезапустите службу Auditd с помощью команды:
systemctl restart auditd.service
-
Создайте правило
/etc/rsyslog.d/40-auditd.conf
со следующим содержимым:if $programname contains 'audisp' or $syslogtag contains 'audisp' then { action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>") stop }
Здесь:
-
<target>
— IP-адрес или полное доменное имя (FQDN) коллектора SIEM. -
<port>
— порт точки входа Syslog на конвейере SIEM. -
<protocol>
— сетевой протокол:tcp
илиudp
.
-
-
Перезапустите службу Rsyslog с помощью команды:
systemctl restart rsyslog.service
Настройка в R-Vision SIEM
-
В интерфейсе R-Vision SIEM в карточке коллектора перейдите на вкладку Обогащение.
-
Добавьте таблицу обогащения AuditEvents_enrichment.
-
Создайте новый конвейер в данном коллекторе.
-
Добавьте на конвейер элемент Точка входа со следующими параметрами:
-
Название: введите название точки входа.
-
Тип точки входа: выберите вариант Syslog.
-
Порт точки входа: введите значение в соответствии с настройками на стороне Auditd.
-
Протокол: выберите вариант TCP.
-
-
Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-55).
-
Соедините нормализатор с точкой входа.
-
Добавьте на конвейер элемент Агрегатор c правилом Linux Auditd (идентификатор правила: RV-A-1).
-
Соедините агрегатор с нормализатором.
-
Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-56).
-
Соедините второй нормализатор с агрегатором.
-
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
-
Соедините конечную точку со вторым нормализатором.
-
Сохраните и установите конфигурацию конвейера.
Пример конфигурации конвейера:
После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Auditd.
Найти события источника в хранилище можно по следующему фильтру:
|
Таблица маппинга
Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.