Monitorando Host através de comportamento via OSSEC

Introdução
OSSEC é um sistema livre, de código aberto baseado em host de detecção de intrusão (HIDS). Realiza a análise de log, checagem de integridade, monitoramento do registro do Windows, detecção de rootkit, alerta baseado em tempo, e a resposta ativa. Ele fornece detecção de intrusão para a maioria dos sistemas operacionais, incluindo Linux, OpenBSD, FreeBSD, Mac OS X, Solaris e Windows. OSSEC tem uma arquitetura multi-plataforma centralizada permitindo que vários sistemas que podem ser facilmente monitorados e gerenciados.
O HIDS agregam uma série de vantagens por exemplo, podem impedir que ataques resultem em danos. Se um arquivo malicioso tentar reescrever um arquivo, o HID pode limitar seus privilégios e colocá-lo em quarentena. Os HIDs podem proteger notebooks ao serem retirados de uma rede e levados para o campo. Em última análise, os HIDs são uma ferramenta de "última linha de defesa", utilizada para repelir os ataques não detectados pelo NID.
Instalação
Faça o Download da VM no site oficial
wget http://www.ossec.net/files/ossec-virtual-appliance.tar.gz
Após o download finalizado descomprima a pasta:
tar -zxvf ossec_virtual_appliance.tar.gz
Acesse e verifique se os arquivos estão dentro da pasta abaixo:
cd ossec_virtual_appliance/
Execute o procedimento de importação padrão de VM para o hypervisor utilizado no local de implantação.
Inicie a VM
Login e Senha padrão para a utilização:
Login: USER / ROOT / OSSEC Web UI e phpMyAdmin
Senha: _0ssec_
Acesse o servidor como Root e altere a placa de rede para as configurações da rede interna.
Verifique se a plataforma web está funcional, acesse pelo browser o caminho abaixo:
http://ip_do_servidor/ossec-wui/
Login: user
Senha: _0ssec_
Ao conseguir acessar a plataforma web teremos a confirmação que o Servidor foi instalado corretamente.
Instalação do Agente HIDS em Linux
apt-get -y install build-essentials
cd /usr/src
wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz
Descompacte o arquivo após o download finalizado:
tar -xzvf ossec-hids-2.7.tar.gz
cd ./ossec-hids-2.7
Execute a instalação:
/bin/bash ./install.sh
Escolha o idioma:
br
Informações do sistema serão mostradas em tela, confirme com o “Enter”.
Selecione o tipo de instalação:
Agente ou Cliente
Escolha o diretório da instalação e confirme com o “Enter”:
/var/ossec
Configure o IP do servidor do OSSEC:
IP do Servidor
Confirme a opção de avaliação de Integridade:
y
Confirme a opção de Detecção de Rootkit:
y
Confirme a opção de Resposta Ativa(Active-Response)
y
Aguarde a instalação terminar e reinicie o agente:
/var/ossec/bin/ossec-control stop
/var/ossec/bin/ossec-control start
Acesse o controle para a importação da chave:
/var/ossec/bin/manage_agents
Selecione a opção de Importar:
I
Acesse o servidor, abra um terminal e execute os comandos abaixo como root:
/var/ossec/bin/manage_agents
Adicione o agente:
A
Insira o IP do Servidor do agente instalado:
IP_do_Agente
Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.
Extraia a chave para o Agente adicionado:
E
Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.
No Servidor Linux que o agente foi instalado
Cole a chave copiada do servidor, será solicitada a confirmação das informações como abaixo:
### Informação do Agente
### ID:
### Nome:
### Endereço de IP:
Confirme a adição do agente:
y
Reinicie os agentes do servidor e do cliente com o comando abaixo como “root”.
/var/ossec/bin/ossec-control stop
/var/ossec/bin/ossec-control start
Instalação do Agente HIDS em Windows
Faça o Download do arquivo abaixo no Windows a ser monitorado:
http://www.ossec.net/files/ossec-agent-win32-2.7.1.exe
Execute o arquivo como administrador;
Aceite a licença;
Confirme todos os componentes;
Confirme o caminho da instalação;
Ao finalizar selecione a opção executar o agente.
Acesse o servidor, abra um terminal e execute os comandos abaixo como root:
/var/ossec/bin/manage_agents
Adicione o agente:
A
Insira o IP do Servidor do agente instalado:
IP_do_Agente
Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.
Extraia a chave para o Agente adicionado:
E
Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.
No Servidor Windows que o agente foi instalado
Insira o IP do servidor OSSEC e copie a chave na caixa adequada.
Verifique e Confirme as informações da chave importada.
Acesse na barra de ferramentas “”View” e a opção “View Config”
Modifique a tag conforme abaixo:
<active-response>
<disabled>yes<disabled>
</active-response>