Hablando sobre Open Source Host-based IDS 2 Part

Reglas

Las Reglas son las políticas de seguridad que contiene cada programa o aplicativo que consta dentro del grupo de reglas de ossec, estas reglas las podemos invocar con nuestro archivo de configuración llamado ossec.conf, aquí tenemos algunos ejemplos de reglas: ssh_rules, pam_rules, apache_rules, etc.

Las reglas son codificadas en código xml y se encuentran en la siguiente ruta:
/var/ossec/rules

podemos ver las reglas .xml existentes en las seg imagenes

 

pero como se conforman estas reglas se preguntaran, bueno sencillo

 

<rule id = “numero de regla” level = “Numero del nivel de criticidad” > Etiqueta <description> Aquí se muestra la descripción de la regla </description>

Etiqueta <group>Aquí va el nombre del grupo que la regla pertenece</group> </rule>

 

como vemos en este caso le podemos agregar un numero a nuestra regla, si tenemos varias seria

<rule id = “1337” level = “1” >

como vemos tambien agregamos un nivel , nivel 1 lo manejaremos como peligroso.

en descripcion y grupo creo que queda mas que claro 😀

Configuracion

El ossec.conf es el archivo de configuración principal del sistema de detección de intrusos Ossec ubicado en /var/ossec/etc/.

El archivo ossec.conf está conformado por una etiqueta global llamada <ossec_config>. Dentro de esta etiqueta global se encuentra un listado mayor de etiquetas

Etiqueta                       Descripción
<global>                      Configuración general usada en las instalaciones locales y de servidor.
<alerts>                       Opciones de email y alertas de log
<email_alerts>          Opciones de alerta granular de email
<rules>                         Lista de reglas incluidas
<syscheck>                 Directorios del sistema a chequear
<localfile>                   Archivos a monitorizar localmente en el equipo
<command>               Archivos .sh que se ejecuta según orden de active-response
<active-response>    Configuración de la respuesta activa

 

Tercera y ultima parte (manejo de etiquetas) dia martes

Hablando sobre Open Source Host-based IDS 2 Part

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *