Linux Auditd

Данное руководство описывает процесс отправки событий службы Linux Auditd в R-Vision SIEM.

Настройка Auditd

В настоящем руководстве рассматривается передача событий с помощью службы rsyslog. Предполагается, что rsyslog на станции с ОС Linux уже установлен.

Настройка журналирования Auditd

Журналирование событий службы Auditd определяет, какие события будут регистрироваться в системе. Журналирование событий настраивается с помощью правил. Если у вас уже настроена служба Auditd, пропустите этот пункт и перейдите к настройке передачи событий.

Для настройки журналирования Auditd выполните следующие действия:

Проверьте, установлена ли служба Auditd, с помощью команды:
```
auditctl -v
```
- Если служба установлена, на экране отобразится версия установленной службы, например, auditctl version 3.0.7.
  
  Если версия установленной службы ниже 2.6, обновите службу согласно рекомендациям производителя ОС.
- Если служба не установлена, на экране отобразится сообщение об ошибке. В этом случае необходимо установить службу с помощью одной из следующих команд:
  - На ОС ALT Linux:
    
    apt-get install -y audit audispd-plugins
  - На ОС Astra Linux, Debian или Ubuntu:
    
    apt-get install -y auditd audispd-plugins
  - На ОС CentOS, Oracle Linux, Red Hat Enterprise Linux или РЕД ОС:
    
    yum install -y audit audispd-plugins
  - На ОС SUSE Linux Enterprise Server:
    
    zypper install audit audispd-plugins
  - На VMware Photon OS:
    
    sudo dnf install -y yum sudo yum install audit audispd-plugins
  - На ОС Platform V SberLinux OS Server:
    
    rpm install <path_to_audit-*.x86_64.rpm>
    
    Здесь <path_to_audit-*.x86_64.rpm> — путь к файлу audit-*.x86_64.rpm.
    
    Файл audit-*.x86_64.rpm нужно скопировать из пакета ./sberlinux-9-for-x86_64-baseos-rpms/Packages/a/audit-*.x86_64.rpm, который находится в архиве с установщиком Platform V SberLinux OS Server.
Запустите и добавьте службу Auditd в автозагрузку с помощью команды:
```
systemctl enable --now auditd.service
```
Включите в файле /etc/audit/auditd.conf обогащенный режим логирования:
```
log_format = ENRICHED
disp_qos = lossless
```
Обогащенный режим доступен для Auditd версии 2.6 и выше.
Настройте службу Auditd, применив рекомендованные компанией R-Vision правила Auditd. Для этого:
1. Скачайте правила по ссылке.
2. Скопируйте файл audit.rules в директорию /etc/audit/rules.d.
  
  Для РЕД ОС 8 используйте файл с правилами redos8-audit.rules.
3. Перезапустите службу Auditd с помощью команды:
  systemctl restart auditd.service
После перезапуска убедитесь, что служба запустилась корректно:
```
systemctl status auditd.service
```
Убедитесь в наличии событий в файле /var/log/audit/audit.log:
```
tail -f /var/log/audit/audit.log
```

Отправка событий Auditd

Для пересылки логов Auditd по syslog выполните следующие шаги:

Убедитесь, что установлен плагин audispd. Установка плагина осуществляется в пункте Настройка журналирования Auditd.

Если установка плагина невозможна или нежелательна, можно использовать модуль imfile rsyslog для чтения событий из файла audit.log. В таком случае нужно вручную указать для параметра syslogtag значение audisp-syslog.

Включите передачу audit по syslog, установив в параметре active значение yes:
- для Auditd версий 3.0 или выше — в файле /etc/audit/plugins.d/syslog.conf;
- для Auditd версий ниже 3.0 — в файле /etc/audisp/plugins.d/syslog.conf.
Перезапустите службу Auditd с помощью команды:
```
systemctl restart auditd.service
```

Создайте правило /etc/rsyslog.d/40-auditd.conf со следующим содержимым:

 if $programname contains 'audisp' or $syslogtag contains 'audisp' then {
  action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
  stop
 }

Здесь:

<target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.
<port> — порт точки входа Syslog на конвейере SIEM.

<protocol> — сетевой протокол: tcp или udp.

При использовании плагина audispd для отправки событий используется модуль imjournal rsyslog. Количество отправленных событий может превышать ограничения, установленные для модуля imjournal. Чтобы предотвратить возможную потерю событий, отключите или увеличьте стандартные ограничения. Для этого добавьте параметры Ratelimit.Interval и Ratelimit.Burst в строку подключения модуля imjournal в файле /etc/rsyslog.conf:

module(load="imjournal"
    UsePid="system"
    StateFile="imjournal.state"
    Ratelimit.Interval="0"
    Ratelimit.Burst="0")

Перезапустите службу rsyslog с помощью команды:
```
systemctl restart rsyslog.service
```

Настройка в R-Vision SIEM

В интерфейсе R-Vision SIEM в карточке коллектора перейдите на вкладку Обогащение.
Добавьте таблицу обогащения AuditEvents_enrichment.
Создайте новый конвейер в данном коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Auditd.
- Протокол: выберите вариант TCP.
Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-56).
Соедините нормализатор с точкой входа.
Добавьте на конвейер элемент Агрегатор c правилом Linux Auditd (идентификатор правила: RV-A-1).
Соедините агрегатор с нормализатором.
Добавьте на конвейер элемент Нормализатор с правилом Linux Auditd (идентификатор правила: RV-N-55).
Соедините второй нормализатор с агрегатором.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку со вторым нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

auditd siem pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Auditd.

Найти события источника в хранилище можно по следующему фильтру:

dproduct = "Auditd"

auditd siem storage

Таблица маппинга

Таблица соответствия полей события для всех рассмотренных типов событий представлена по ссылке.

Была ли полезна эта страница?