[Wazuh] 와저 SCA

에이전트 /var/ossec/etc/local_internal_options.conf 에서

아래와 같이 설정 해줘야 기능 쓸 수 있음

wazuh_command.remote_commands=1 → wodle 관련 sca.remote_commands=1 → sca yml 관련

 

 

서버 /var/ossec/etc/shared/default 에서 aaa.txt 만들면

에이전트 /var/ossec/etc/shared 에 aaa.txt 배포된다

서버 /var/ossec/etc/shared/default 에 new_linux_ubuntu.yml 올리고

/var/ossec/etc/shared/default/agent.conf 수정해주면

에이전트 /var/ossec/etc/shared 에 new_linux_ubuntu.yml 배포되고

sca 에 뜬다

 

원래 yml(SCA) 은 /var/ossec/ruleset/sca 에 넣어줘야 뜨는데

/var/ossec/etc/shared/ 에다가 넣어도 뜨게 하려고 

agent.conf 에다가 따로 설정해 준거임

 

그리고 agent.conf 에 interval 설정 해주면

3분마다 yml(SCA) 불러온다

<agent_config> <sca>  <interval>3m</interval>   <policies>   <policy>etc/shared/new_linux_ubuntu.yml</policy>  </policies> </sca> </agent_config>

 

그리고 agent.conf 에 wodle 이랑 interval 설정 해주면

10분마다 스크립트도 돌아간다

<agent_config> <sca>  <interval>3m</interval>   <policies>   <policy>etc/shared/new_linux_ubuntu.yml</policy>  </policies> </sca> <wodle name="command">  <command>/bin/bash /var/ossec/etc/shared/new_script_ubuntu.sh</command>  <interval>10m</interval> </wodle> </agent_config>

 

agent.conf 설정하면

최초에는 yml 이랑 sh 가 동시에 도니까 (10:06분)

sh 가 결과파일(results.txt) 떨구는 시간이 좀 걸려서

yml 이 긁어올게 없으니 Not applicable 로 뜬다 

이후에 3m 지나서 yml 이 다시 동작하면 (10:09분)

그때는 결과파일(results.txt)이 있으니 

결과가 제대로 뜬다

그리고 10분 지나면 sh 가 또 동작하니까

results.txt 가 새로 생성된다 (확인 완료)

 

agent.conf 에 timeout 설정해주면

해당 second 만큼만 돈다

<agent_config> <sca>  <interval>3m</interval>  <policies>   <policy>etc/shared/new_linux_ubuntu.yml</policy>  </policies> </sca> <wodle name="command">  <command>/bin/bash /var/ossec/etc/shared/new_script_ubuntu.sh</command>  <interval>10m</interval>  <timeout>60</timeout> </wodle> </agent_config>

 

그래서 new_script_ubunbu.sh 에 sleep 100 하면

results.txt 에 60s 만큼 돈 결과만 나옴

 

/var/ossec/logs/sca.log 에도

start log 는 찍히는데 end log 는 안찍혀 있음

 

윈도우는 요렇게 해주면 됨