Wazuh功能——监控安全策略（Rootcheck）

策略监视是验证所有系统都符合一组关于配置设置和批准的应用程序使用的预定义规则的过程。

Wazuh使用三个组件来执行此任务:Rootcheck、OpenSCAP和CIS-CAT。

一、怎样工作

Rootcheck允许定义策略，以检查代理是否满足指定的需求。

rootcheck引擎可以执行以下检查:

检查进程是否正在运行；

检查是否存在文件；

检查文件的内容是否包含模式，或者Windows注册表项是否包含字符串或只是显示。

通过这些检查，我们制定了以下策略:

与策略监控有关的警报:

512:Windows审计

514:Windows应用程序

516:Unix审计

策略和合规性监控数据库通常在管理器上维护，管理器将它们分发给所有代理。

二、配置

1、要配置rootcheck选项，请转到ossec.conf中的rootcheck部分。最常见的配置选项是:frequency和system-audit

配置审计策略的基本示例:

2、配置定期扫描

这是每10小时运行一次扫描的基本配置。

3、SSH的Root访问

1. 首先，您需要创建自定义审计文件(audit_test.txt):

2. 在rootcheck选项中引用我们的新文件: