[Wazuh] 와저 FIM (File Integrity Monitoring) / auditd

파일 생기고 삭제되는거 모니터링 된다

 

리눅스는 auditd 데몬 실행상태여야 하고 (거의 다 default 로 활성화 되어있음)

윈도우는 개체 액세스 감사(SACL) 정책 활성화 하면 되는데 2008 이후 부터는 상관없다고 함

 

에이전트 서버에 ps -ef | grep audit 으로 데몬 활성화 여부 확인하고

매니저 서버 agent.conf 에 아래 설정해줌 (check all 아니고 check_all 임)

원격으로 에이전트 재기동 해줬다

에이전트 id는 와저 gui 에서 확인 가능

에이전트 서버에서 /etc 하위에 파일 생성

탐지된다요

 

https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#who-data-monitoring

 

Windows 2008 이후 부터는 자동으로 감사정책이 활성화 되어있어서

그냥 agent.conf 에 <syscheck> 설정만 해주면 되는데

 

2008 이전은 감사정책을 직접 활성화 해줘야 한다

agent.conf 에서 C:\Users\*\Documents 만 감사하도록 설정해줬는데

저렇게 하면 해당 디렉터리에 감사설정이 생긴다

근데 그룹 정책(gpedit.msc)에서 개체 감사(Audit object access)를 활성화 시켜줘야 감사 할 수 있음

잘 되어유

 

근데 궁금한게

centos/레드햇 계열은 ps -ef | grep auditd 하면 kauditd, auditd 두개 나온다

service auditd status 하면 auditd running 상태임

근데 ubuntu/데비안 계열은 kaudit 하나만 나오고

서비스로 검색하면 없다잉?

근데 FIM 기능 쓰는데는 상관 없음

 

#240315

요거 agent.conf 에서 directory check 설정 안했는데도 FIM 에 잡히는 애들이 있어서

보니까 에이전트의 ossec.conf 에 디폴트로 설정되는 경우가 있었음

 

요런식으로

윈도우 : https://github.com/wazuh/wazuh/blob/master/src/win32/ossec.conf

리눅스 : https://github.com/wazuh/wazuh/blob/master/etc/ossec.conf