Chương 2 Giới thiệu về giải pháp giám sát an toàn mạng Wazuh
2.2. Cơ chế hoạt động của chức năng giám sát tệp tin của Wazuh
2.2.1. Cơ chế hoạt động của File integrity monitoring
Hệ thống giám sát toàn vẹn tệp tin ( File integrity monitoring ) của Wazuh xem các tệp tin được chỉ định, kích hoạt cảnh báo khi các tệp này được sửa đổi. Thành phần chịu trách nhiệm cho nhiệm vụ này được gọi là syscheck, syscheck sẽ kiểm tra mã checksums và các thuộc tính khác của tệp hoặc registry key Windows và thường xuyên so sánh với tệp hiện tại đang được hệ thống sử dụng, theo dõi các thay đổi. Quá trình hoạt động của tính năng giám sát tệp tin bao gồm
Hình 2.13 Cơ chế hoạt động của file integrity monitoring
- Agent của Wazuh trên Moniored host sẽ quét hệ thống và gửi checksums và các thuộc tính của các tệp được giám sát hoặc các registry keys Windows cho Wazuh server. Các tùy chọn sau đây có thể cấu hình:
- Tần suất ( Frequency ): Cấu hình mặc định thành phần syschecked sẽ thực hiện quét thường xuyên mỗi 12h.
Hình 2.14 Cấu hình tần suất quét trong 10h
- Giám sát thời gian thực ( Real-time monitoring ): Wazuh hỗ trợ giám sát toàn vẹn tệp tin theo thời gian thực trên các máy chủ chạy hệ điều hành Windows hoặc Linux ( Solaris không hỗ trợ Inotify nên khơng có sẵn cho hệ thống này ). Lưu ý rằng tùy chọn thời gian thực chỉ có thể được sử dụng cho các thư mục chứ không phải cho các tệp riêng lẻ.
- Whodata: Tính năng này hoạt động như thời gian thực, ngồi ra cịn cung cấp thơng tin về người đã kích hoạt các event. Cấu hình Whodata sẽ thay thế cho cấu realtime.
HÌnh 2.16 Cấu hình Whodata
Sau khi các Agent thực hiện quét và gửi thông tin đến Wazuh server, tại đây Wazuh server sẽ thực hiện lưu trữ các checksums và các thuộc tính của các tệp được theo dõi và tìm kiếm các sửa đổi bằng cách so sánh các giá trị mới với các giá trị cũ. Ngoài ra thành phần syscheck trên wazuh server có thể cấu hình để báo cáo tóm tắt về sự thay đổi đã được thiện cho các tệp tin dạng văn bản.
Trên Wazuh server sẽ gửi một cảnh báo bất cứ khi nào sửa đổi được phát hiện trong các tệp được theo dõi hoặc registry key. Cảnh báo khơng cần thiết có thể được xử lý bằng cách sử dụng tùy chọn cấu hình ignore hoặc bằng cách tạo quy tắc liệt kê các tệp được loại trừ khỏi cảnh báo FIM.
Ví dụ một cảnh báo giám sát tệp tin:
** Alert 1540815355.847397: -
ossec,syscheck,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f, 2018 Oct 29 13:15:55 (ubuntu) 10.0.0.144->syscheck Rule: 550 (level 7) -> 'Integrity checksum changed.' File '/test/hello' checksum changed.
Old md5sum was: '2a4732b1de5db823e94d662d207b8fb2' New md5sum is : '146c07ef2479cedcd54c7c2af5cf3a80'
Old sha1sum was: 'b89f4786dcf00fb1c4ddc6ad282ca0feb3e18e1b' New sha1sum is : 'e1efc99729beb17560e02d1f5c15a42a985fe42c' Old sha256sum was:
'a8a3ea3ddbea6b521e4c0e8f2cca8405e75c042b2a7ed848baaa03e867355bc2' New sha256sum is :
'a7998f247bd965694ff227fa325c81169a07471a8b6808d3e002a486c4e65975'
Old modification time was: 'Mon Oct 29 13:15:19 2018', now it is 'Mon Oct 29 13:15:54 2018'
(Audit) User: 'root (0)'
(Audit) Login user: 'test (1000)' (Audit) Effective user: 'root (0)' (Audit) Group: 'root (0)'
(Audit) Process id: '26089'
(Audit) Process name: '/bin/nano' Attributes:
- Size: 4
- Permissions: 100644
- Date: Mon Oct 29 13:15:54 2018 - Inode: 537259 - User: root (0) - Group: root (0) - MD5: 146c07ef2479cedcd54c7c2af5cf3a80 - SHA1: e1efc99729beb17560e02d1f5c15a42a985fe42c - SHA256: a7998f247bd965694ff227fa325c81169a07471a8b6808d3e002a486c4e65975
2.2.2. Thuật tốn đồng bộ hóa với wazuh server
Kể từ phiên bản Wazuh 3.12, mô-đun FIM trong các agent của Wazuh chịu trách nhiệm lưu trữ và báo cáo các thay đổi được tạo ra trong các tệp được giám sát trong một monitored files, trước đó, agent sẽ chỉ thu thập thơng tin và gửi cho Wazuh server. Thay đổi này đảm bảo tính chính xác trong các cảnh báo, bất kể trạng thái của agent liên quan đến Wazuh server ( ví dụ: ngắt kết nối, các agent chuyển đổi giữa các cụm,... ).
Hình 2.18 Cơ chế đồng bộ mới mới của Wazuh từ bản 3.12
Việc thay đổi kiến trúc này, cơ chế đồng bộ hóa đảm bảo rằng kho lưu trữ tệp trên Wazuh server ln được cập nhật chính xác từ các agent. Cơ chế thuật tốn đồng bộ hóa dựa trên các tính tốn tồn vẹn giữa agent và cơ sở dữ liệu của Wazuh, chỉ cập nhật tới Wazuh các tệp bị thiếu do đó tối ưu hóa việc truyền dữ liệu của mô đun FIM.