Linux Auditd

Данное руководство описывает процесс отправки событий службы Linux Auditd в R-Vision SIEM.

Настройка Auditd

В настоящем руководстве рассматривается передача событий с помощью службы rsyslog. Предполагается, что rsyslog на станции с ОС Linux уже установлен.

Настройка журналирования Auditd

Журналирование событий службы Auditd определяет, какие события будут регистрироваться в системе. Журналирование событий настраивается с помощью правил. Если у вас уже настроена служба Auditd, пропустите этот пункт и перейдите к настройке передачи событий.

Для настройки журналирования Auditd выполните следующие действия:

  1. Проверьте, установлена ли служба Auditd, с помощью команды:

    auditctl -v
    • Если служба установлена, на экране отобразится версия установленной службы, например, auditctl version 3.0.7.

      Если версия установленной службы ниже 2.6, обновите службу согласно рекомендациям производителя ОС.
    • Если служба не установлена, на экране отобразится сообщение об ошибке. В этом случае необходимо установить службу с помощью одной из следующих команд:

      • На ОС ALT Linux:

        apt-get install -y audit audispd-plugins
      • На ОС Astra Linux, Debian или Ubuntu:

        apt-get install -y auditd audispd-plugins
      • На ОС CentOS, Oracle Linux, Red Hat Enterprise Linux или РЕД ОС:

        yum install -y audit audispd-plugins
      • На ОС SUSE Linux Enterprise Server:

        zypper install audit audispd-plugins
      • На VMware Photon OS:

        sudo dnf install -y yum
        sudo yum install audit audispd-plugins
      • На ОС Platform V SberLinux OS Server:

        rpm install <path_to_audit-*.x86_64.rpm>

        Здесь <path_to_audit-*.x86_64.rpm> — путь к файлу audit-*.x86_64.rpm.

        Файл audit-*.x86_64.rpm нужно скопировать из пакета ./sberlinux-9-for-x86_64-baseos-rpms/Packages/a/audit-*.x86_64.rpm, который находится в архиве с установщиком Platform V SberLinux OS Server.

  2. Запустите и добавьте службу Auditd в автозагрузку с помощью команды:

    systemctl enable --now auditd.service
  3. Настройте службу Auditd, применив рекомендованные компанией R-Vision правила Auditd. Для этого:

    1. Скачайте правила по ссылке.

    2. Скопируйте файл audit.rules в директорию /etc/audit/rules.d.

    3. Перезапустите службу Auditd с помощью команды:

      systemctl restart auditd.service
  4. После перезапуска убедитесь, что служба запустилась корректно:

    systemctl status auditd.service
  5. Убедитесь в наличии событий в файле /var/log/audit/audit.log:

    tail -f /var/log/audit/audit.log

Отправка событий Auditd

Для пересылки логов Auditd по syslog выполните следующие шаги:

  1. Убедитесь, что установлен плагин audispd. Установка плагина осуществляется в пункте Настройка журналирования Auditd.

    Если установка плагина невозможна или нежелательна, можно использовать модуль imfile rsyslog для чтения событий из файла audit.log. В таком случае нужно вручную указать для параметра syslogtag значение audisp-syslog.
  2. Включите передачу audit по syslog, установив в параметре active значение yes:

    • для auditd версий 3.0 или выше в файле /etc/audit/plugins.d/syslog.conf;

    • для auditd версий ниже 3.0 в файле /etc/audisp/plugins.d/syslog.conf.

  3. Перезапустите службу Auditd с помощью команды:

    systemctl restart auditd.service
  4. Создайте правило /etc/rsyslog.d/40-auditd.conf со следующим содержимым:

     if $programname contains 'audisp' or $syslogtag contains 'audisp' then {
      action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
      stop
     }

    Здесь:

    • <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

    • <port> — порт точки входа Syslog на конвейере SIEM.

    • <protocol> — сетевой протокол: tcp или udp.

  5. Перезапустите службу Rsyslog с помощью команды:

    systemctl restart rsyslog.service

Настройка в R-Vision SIEM

  1. В интерфейсе R-Vision SIEM в карточке коллектора перейдите на вкладку Обогащение.

  2. Добавьте таблицу обогащения AuditEvents_enrichment.

  3. Создайте новый конвейер в данном коллекторе.

  4. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Auditd.

    • Протокол: выберите вариант TCP.

  5. Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-55).

  6. Соедините нормализатор с точкой входа.

  7. Добавьте на конвейер элемент Агрегатор c правилом Linux Auditd (идентификатор правила: RV-A-1).

  8. Соедините агрегатор с нормализатором.

  9. Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-56).

  10. Соедините второй нормализатор с агрегатором.

  11. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  12. Соедините конечную точку со вторым нормализатором.

  13. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

auditd siem pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Auditd.

Найти события источника в хранилище можно по следующему фильтру:

dproduct = "Auditd"

auditd siem storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.