Wazuh功能——监控安全策略（CIS-CAT ）

新版本3.1.0。

开发CIS- cat wodle的目的是将CIS基准评估集成到Wazuh代理中。

一、什么是CIS-CAT

CIS(互联网安全中心，Center for Internet Security)是一个致力于保护私人和公共组织免受网络威胁的实体。该实体提供CIS基准准则，这是一个公认的全球标准和最佳实践，用于保护IT系统和数据免受网络攻击。

此外，CIS- cat Pro是一款“跨平台Java app”工具，用于扫描目标系统并生成一份报告，将系统设置与CIS基准进行比较。几乎覆盖所有OSs的CIS基准测试有80多个，根据具体需要提供不同的配置文件。

二、怎样工作

这种集成需要专有软件CIS-CAT Pro。您可以在CIS官方网站上了解更多关于这个工具以及如何下载它的信息。

CIS- cat Wazuh模块将CIS基准评估集成到Wazuh代理中，并以警报的形式报告每次扫描的结果。

CIS-CAT Pro是用Java编写的，因此它需要一个Java运行时环境来执行它。目前，CIS-CAT中支持的JRE版本有JRE 6、7、8。按照以下步骤安装OpenJDK平台:

对于CentOS/RHEL/Fedora:

#yum install java-1.8.0-openjdk

对于Debian/Ubuntu:

#apt-get update&&apt-get install openjdk-8-jre

要运行此集成，CIS-CAT工具必须驻留在运行扫描的本地代理上。但是，为了在多个代理之间共享，JRE可以位于可移动磁盘或网络驱动器上。

此外，在Unix系统中，可能需要授予CIS-CAT脚本执行权限。为此，从CIS-CAT目录运行以下命令:

#chmod +x CIS-CAT.sh

一旦您有了运行CIS评估的需求，您就可以配置wodle来在您选择的时间间隔内检查特定的基准测试。这些检查的扫描结果被发送到管理器，并可以包含在可视化中。

三、用例:运行CIS评估

下面是如何部署CIS-CAT集成的示例:

在配置文件ossec.conf中，设置了如下部分:

1.1如果您使用UNIX环境:

1.2如果你使用的是Windows环境:

确保路径对于Java和CIS-CAT工具的位置是正确的。对于这两种情况，您都可以指定完整路径，或者Wazuh安装文件夹的相对路径。此外，在配置内容部分时，请考虑以下提示:

所选基准测试文件的位置必须由完整路径或CIS-CAT安装文件夹的相对路径指示。

如果没有指定配置文件，则将选择第一个配置文件(通常是最宽松的配置文件)。

在重新启动Wazuh代理之后，将在指定的时间间隔执行基准测试检查，触发警报，如下所示。

有关已执行扫描和报告概述的信息

由于Wazuh v3.5.0，报告摘要存储在代理数据库中，目的是通过API查询它。这允许每次用户想要知道最后一次扫描。

关于特定结果的信息

四、用例:调度CIS-CAT执行

新版本3.5.0。

为CIS- cat模块添加了新的调度选项，允许用户决定何时在每个代理中启动CIS扫描。

正如参考文档的CIS-CAT部分所描述的那样，有一些新的选项可供我们混合使用，以达到所需的行为。

以下wodle配置的示例块展示了在模块启动时调度的新可能性。所有这些选项都独立于scan-on-start选项，后者总是在服务启动时运行扫描。

按照自服务启动以来的时间间隔调度执行

按每天的时间安排执行

按星期的天数安排执行

按月的天数安排执行