Wazuh功能——审计 who-data

审核who-data

新版本3.4.0。

从3.4.0版本开始，Wazuh集成了一项新功能，可以从监控文件中获取who-data。

此信息包含对监控文件进行更改的用户，以及用于执行这些更改的程序名或进程。

一、在Linux中审计who-data

who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给经理。

1、配置

首先，我们需要检查审计守护进程是否安装在我们的系统中。

在基于RedHat的系统中，Auditd通常是默认安装的。如果没有安装，我们需要使用以下命令进行安装:

# yum install audit

对于基于Debian的系统，请使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:

添加此配置后，我们需要重新启动Wazuh来应用更改。

我们可以检查是否应用了用于监视所选文件夹的审计规则。要检查这一点，我们需要执行以下命令

# auditctl -l | grep wazuh_fim

并检查是否添加了规则

当代理停止时，我们可以使用相同的命令检查添加的规则是否已成功删除。

2、警报字段

当启用whodata时，在FIM警报中接收到以下字段:

3、警报的例子

在下面的示例中，我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:

日志格式警告:

JSON格式的警告:

二、在Windows中审计who-data

1、它是如何工作的

who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给管理者。兼容大于Windows Vista的系统。

2、配置

要在whodata模式下启动监视，必须正确配置要监视的目录的SACL。Wazuh在启动ossec.conf文件中标记whodata="yes"的目录时自动执行此任务:

系统审计策略也需要正确配置。对于大多数受支持的Windows系统，这部分也是自动完成的。如果您的系统优于Windows Vista，但审计策略无法自配置，请参阅配置本地审计策略指南。

三、警报字段

启用whodata时，将收到以下字段:

四、警报的例子

日志格式警告:

JSON格式的警告: