Prise en main d'Ossec

Tutoriel rédigé pour une version Ubuntu 8.04 LTS et Ossec-HIDS 2.1/Ossec-WUI 0.3.

Ce tutoriel a été réalisé par :

Ossec-HIDS est l’application permettant de surveiller les fichiers de logs (sous Linux et Windows pour les agents). Il fonctionne aussi bien en local qu’en architecture client/serveur.

agent_control

Cette commande permet de contrôler les Ossec agents. Ainsi, il est possible de les lister, de les redémarrer, ou bien encore, par exemple de les bloquer, … le tout depuis le serveur.

Voici un exemple d’utilisation, ici la commande liste les agents connectés ou non :

$ sudo /etc/ossec/bin/agent_control -l

Afin d’obtenir plus d’informations sur l’usage et les options de cette commande:

$ sudo /etc/ossec/bin/agent_control -h

clear_stats

clear_stats efface les différentes statistiques (moyennes) des évènements d’Ossec.

$ sudo /etc/ossec/bin/clear_stats -h

list_agents

Un peu similaire à la commande agent_control, list_agents sert uniquement à lister les agents comme l’indique son nom.

$ sudo /etc/ossec/bin/list_agents -h

manage_agents

Commande très importante, elle permet de manager les agents et plus particulièrement les profils. manage_agents est utilisée pour ajouter, supprimer, lister les profils d’agents et surtout pour générer une clé d’enregistrement, lors d’une inscription auprès du serveur. Egalement disponible sur les agents Ossec, pour importer la clé.

La commande n’a aucune option, une fois entrée, un menu s’affiche listant les actions disponibles.

$ sudo /etc/ossec/bin/manage_agents

rootcheck_control

Cette commande contrôle et manage les bases de données de stratégies et d’audits d’Ossec.

$ sudo /etc/ossec/bin/rootcheck_control -h

syscheck_control

Comme pour la commande rootcheck_control, syscheck_control manage une base de données, à savoir celle contenant les vérifications d’intégrité.

$ sudo /etc/ossec/bin/syscheck_control -h

syscheck_update

syscheck_update met à jour la base de données de vérifications d’intégrité en local, ou sur les agents.

$ sudo /etc/ossec/bin/syscheck_update -h

L’ensemble de l’administration de l’agent Windows d’Ossec se fait par l’intermédiaire de l’interface de l’application. Il est possible de démarrer/stopper l’agent, de voir les fichiers de logs, le fichier de configuration, et également d’indiquer l’adresse ip du serveur Ossec, ainsi que la clé d’authentification.

La visualisation des logs se fait en cliquant sur View (View/View Logs). De la même manière, il est possible d’éditer le fichier de configuration.

Ossec-WUI est l’interface web d’Ossec-HIDS, elle permet de visualiser graphiquement les alertes, ce qui est beaucoup plus esthétique et pratique que de lire un simple fichier de logs.

Aucune commande spécifique à Ossec-WUI. Seul le serveur web, apache doit être démarré.

Pour l’inscription des agents auprès du serveur Ossec, il existe une commande intégrée.

$ sudo /etc/ossec/bin/manage_agents

Une fois lancée, cette commande permet de créer (ou également de supprimer) des profils d’agents sur le serveur, puis ensuite de générer une clé propre à chaque agent pour leur inscription.

Pour enregistrer un agent sous Linux, il suffit d’utiliser la même commande que pour le serveur, c’est-à-dire manage_agents, en important la clé générée sur le serveur, puis en redémarrant l’agent (après le démarrage du serveur Ossec).

Sous Windows, l’inscription de l’agent se fait dans l’interface du logiciel Ossec Agent Manager, en important directement la clé (copier/coller) obtenue auprès du serveur.

Ensuite, si le serveur Ossec est déjà en service, il reste à démarrer (ou redémarrer) l’agent.

Pour démarrer le serveur Ossec :

$ sudo /etc/ossec/bin/ossec-control start

Ensuite il reste à lancer les client Ossec (agents). La commande est la même que pour le serveur sur Linux. Pour les agents Windows, il suffit de lancer l’application Ossec, soit Ossec Agent Manager, et de démarrer le service (Manage/Start Ossec).

Si les agents ne sont pas authentifiés (clé d’inscription), il est fort probable que l’erreur provienne d’une mauvaise inscription, c’est-à-dire une erreur d’importation de la clé.

Même demarche que le serveur pour démarrer l’agent:

$ sudo /etc/ossec/bin/ossec-control start/stop/restart

Pour visualiser les logs d’Ossec:

$ sudo vim /etc/ossec/logs/…

Sur Windows, il suffit de lancer l’application Ossec, soit Ossec Agent Manager, et de démarrer le service (Manage/Start Ossec). Par défaut le service est en mode démarrage automatique (voir Services Windows).

Pour utiliser l’interface web d’Ossec, il faut d’abord commencer par démarrer le serveur Apache.

$ sudo /etc/init.d/apache2 start

Ensuite, dans le navigateur web, il n’y a plus qu’à entrer l’adresse de serveur (VirtualHost dans Apache), à adapter selon votre propre configuration.

http://adresse-ip/ossec-wui

Une fois l’adresse entrée correctement, il est alors possible de visualiser dans l’interface les alertes.