HIDS / HZPS
OSSEC
wazuh
ossec.net
라이브러리 설치하기
sudo apt install -y build-essential make zlib1g-dev libpcre2-dev libevent-dev libssl-dev libz-dev libsqlite3-dev
sudo wget -q -O - https://updates.atomicorp.com/installers/atomic | bash
sudo apt update -y
sudo apt install -y ossec-hids-server
서버설치완료
sudo ls /var/ossec/etc/ossec.conf
sudo vi /var/ossec/etc/ossec.conf
ossec.conf (환경설정파일)
---------
5. email yes -> no
rootkit : 악성파일. 권한상승 kit
trojans : 트로이목마
화이트리스트 : 룰에 상관없이 언제든지 접근가능한 사용자
117 secure 뒤에 192.168.16.0/24 추가
------------
sudo /var/ossec/bin/ossec-control status
sudo /var/ossec/bin/manage_agents
[agent001 : ubuntu_linux 만들기]
a (add)
e (exec)
y
001
** Ubuntu sub의 agent의 아이피도 192.168.16.74로 동일하므로, 변경해주기
sudo vi /etc/netplan/50-cloud-init.yaml
설정파일에서 enp3s0 의 dhcp를 true -> false 로 수정.
addresses: [192.168.16.91/24] 한줄 추가하기
빠져나와서
sudo netplan apply 변경사항 적용하기
(임시로 ip 지정해주는방법 : 재부팅 시 초기화)
sudo ip addr add 192.168.16.91/24 dev enp3s0 **
[agent002 : windows10 만들기]
a
windows10
y
002
q (quit)
sudo /var/ossec/bin/ossec-control start
sudo vi /var/ossec/etc/ossec.conf
실행파일에서 117번째 secure 대역대 지정해줬는데 에러가 떠서 다시 secure로 변경(email만 no이고 나머지 다 동일)
sudo /var/ossec/bin/ossec-control start
다시 한번 실행
sudo vi/var/ossec/etc/ossec.control start
sudo vi /var/ossec/etc/ossec.conf
------
agent머신에서 5번 서버 ip 설정 변경 192.168.16.66 (예시)
------
sudo /var/ossec/bin/manage_agents
agent 키값 복사해서 머신에 붙여넣기(Paste it here)
잘안됌
ossec.net에서 다운로드하기 https://www.ossec.net/download-ossec/
다운받아서 실행한후 ip설정 + agent키값 입력하기
service실행하기
sudo /var/ossec/bin/ossec-control start
sudo /var/ossec/bin/manage_agents
120번에
-----
<allowed-ips>192.168.16.0/24</allowed-ips> 한줄 추가하기
-----
sudo vi /var/ossec/etc/ossec.conf 설정파일에서 server파일 확인하기
sudo /var/ossec/bin/manage_agents
I
키값붙여넣기(ubuntu-linux)
서브머신에서
sudo tail -f /var/ossec/logs/alerts/alerts.log 해보기
ubuntu_linux 리스타트
sudo /var/ossec/bin/ossec-control restart
평상시에 어떤 활동을 하는지 기계학습 -> 등록된 학습과 동떨어진 패턴을 찾게되면 관리자 이메일로 발송
systemctl start firewalld
방화벽을 시작했다는 alert를 볼수있음
sudo ls /var/ossec/rules
써진 룰을 확인