CHƯƠNG 4. THỬ NGHIỆM VÀ ĐÁNH GIÁ 4.1. Kết quả kiểm tra phần cứng và phần mềm
4.2. So sánh khả năng phát hiện, cảnh báo và phản hồi
4.2.1. Tấn công vét cạn
Tan công vét can (brute-force attack) là một tấn công sử dụng phương pháp thử và sai để bẻ khoá mật khâu, thông tin đăng nhập và các khoá mã hoá. Kẻ tấn công thử nhiều lần tên người dùng và mật khâu, thường sử dung máy tinh dé kiểm tra các tổ hợp khác nhau cho đến khi tìm thay thông tin đăng nhập chính xác. Day là một tan công đơn giản nhưng đem lại hiệu qua cao dé có được quyền truy cập trái phép vào các tài khoản cá nhân cũng như hệ thống và mạng của tổ chức. Trong phạm vi đồ án này sẽ thực hiện đánh giá khả năng phát hiện tan công vét cạn của hai hệ thống phát hiện xâm
nhập là Wazuh va Samhain.
Các dịch vụ như SSH trên Linux hay RPD trên Windows thường là mục tiêu kẻ tấn
công nhăm dén trong tân công vét can. Mô hình tan công bao gôm:
- 1 máy Ubuntu dùng làm máy tan công.
- _ 1 máy nạn nhân Ubuntu: cài đặt Wazuh agent dé giám sát
- 1 máy Ubuntu cai đặt Wazuh server
- | máy nan nhân Ubuntu: cài đặt samhain dé giam sat
Kich ban tan công: Kẻ tấn công sẽ thực hiện tấn công vét cạn vào hai máy nạn nhân có cài đặt hai công cụ giám sát là Wazuh và Samhain. Kẻ tấn công sẽ tạo ngẫu nhiên một danh sách mật khâu và sử dụng công cụ hydra thực hiện tan công vét cạn thông qua ssh. Tại mỗi máy nạn nhân sẽ theo dõi xem các hệ thống phát hiện xâm nhập có tạo ra cảnh báo đối với cuộc tấn công vét cạn hay không.
Dia chỉ IP máy tan công:
Vũ Thanh Tú — BI9DCAT165 46
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:42 errors:0 dropped:0 overruns:0 frame:0 TX packets:82 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueueLen: 1000
RX bytes:9845 (9.8 KB) TX bytes:8752 (8.7 KB) Interrupt:19 Base address:0x2000
Hình 4.19. Dia chi IP máy tan công
Dia chi IP may nan nhan cai dat Wazuh agent:
fr oot@ubuntu: /home/wazuhagentbi9dcati65# ifcontig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.126.159 netmask 255.255.255.0 broadcast 192.168.126.255 inet6 fe80::4363:f344:2003:198e prefixlen 64 scopeid 6x20<LLnk>
ether 00:0c:29:f4:1c:0f txqueuelen 1000 (Ethernet) RX packets 4243 bytes 3557681 (3.5 MB)
RX errors 9 dropped 6 overruns 0 frame 0 TX packets 2865 bytes 627839 (627.8 KB)
TX errors © dropped © overruns 6 carrier 0 collisions 0
Hình 4.20. Dia chi IP máy nạn nhân cai Wazuh agent
Dia chi IP may cai dat Samhain:
:~$ ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.126.158 netmask 255.255.255.0 broadcast 192.168.126.255 inet6 fe80::dbbd:5cd2:bc9b:281d prefixlen 64 scopeid 0x20<Link>
ether 00:0c:29:c5:18:41 txqueuelen 1000 (Ethernet)
Hình 4.21. Địa chi IP may nạn nhân cai dat Samhain
Cac may can phai cai dat ssh, dé cai đặt ssh server, sử dụng các lệnh sau:
$ apt-get install openssh-server
$ systemctl enable ssh 8 systemctl start ssh
Tao mot danh sach ngau nhién 10 mat khau dé thuc hién tan công vét can:
Cài đặt công cụ hydra:
8 apt-get install -y hydra
Vũ Thanh Tú — BI9DCAT165 47
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
Thực hiện tấn công:
$ hydra -I badguy -P password. txt 192.168.126.158 ssh 8 hydra -l badguy -P password. txt 192.168.126.159 ssh
organizations, or for ill
all 64 tasks, 10 login tries (1:1/p:10) per task rds found
ra) finished at 2023-12-2
Hình 4.22. Tan công vét can sử dung công hydra
Trên các máy nạn nhân, tiến hành kiểm tra xem các HIDS có phát hiện được tan công
vét cạn không.
Wazuh:
Đối với Wazuh, có thé theo dõi các cảnh báo ở trên Wazuh dashboard. Trên Wazuh
dashboard lúc này sẽ hiện cảnh báo về tân công vét cạn:
Dec 25, 2023 @ KG. Credential
CC 001 b19dcat165_agent1 aks sshd: Attempt to login using a non-existent user 5 5710 T1021.004 x
nee T1110.001 5
Dec 25, 2023 @ Credential Access, 2
› 1 6 tf u ~ tent usetin 267 001 b19dcat165_agent1 cared Reni sshd: Attempt to login using a non-existent user 5 5710 T1021.004
Dec 25, 2023 @ TNO Credential Access,
Dec 25, 2023 @ 5 ntlal Access, 3 lo buumoeekibbse 5
sà REE 001 b19dcat165_agent1 ples ite cies sshd: Attempt to login using a non-existent user 5 5710 T1021.004
Hình 4.23. Cảnh báo tắn công vét cạn hiển thị trên Wazuh dashboard Mở chỉ tiết cảnh báo:
agent.id 001
agent.ip 192.168.126.159 agent.name b19dcat165_agent1 data.srcip 192.168.126.155 data.srcuser badguy
decoder.name sshd decoder.parent sshd
Dec 25 00:08 I or inv: 1 55 port 58652 ssh2
id 1703437691.34297
input.type log
Vũ Thanh Tú — BI9DCAT165 48
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
Ta thấy, Wazuh cung cấp một cảnh báo chỉ tiết về một cuộc tấn công, cung cấp thông
tin về dia chỉ ip của kẻ tân công, thời gian xảy ra tân công, tan công thông qua đâu...
Một chức năng mạnh khác được Wazuh hỗ trợ đó là khả năng phản hồi lại (active response) với một cuộc tấn công. Active response là Wazuh thực hiện hành động phản ứng tự động khi phát hiện sự cố an ninh hoặc một hành vi xâm nhập. Khi một sự cố
xâm nhập được phát hiện, Wazuh có thé thực hiện các hành động như ngắt kết nối
mạng, khoá tài khoản người dùng, thông báo đến người quản trị hệ thống... Ở trong tấn công SSH, Wazuh sẽ chặn địa chỉ IP của kẻ tấn công. Wazuh xây dựng một tập lệnh mặc định để phản hồi với các cuộc tấn công nằm ở trong thư mục
/var/ossec/active-response/bin trên Linux endpoints. Script firewall-drop hoạt động
trên hệ điều hành Linux, nó sử dụng iptables dé chặn địa chi IP độc hai.
Cac bước câu hình đê chan dia chi IP từ kẻ tan công:
Trên Wazuh server, mở file /var/ossec/etc/ossec.conf, cầu hình như sau:
<command>
<name>firewall-drop</name>
<executabLe>ftrewaLL-drop
<timeout_aLLowed>yes</tim t_allowed>
</command>
<!--active respc
Hình 4.25. Cau hình phản ứng với tan công trên Wazuh server
Trong đó:
- <name>: tên của lệnh
- <executable>: chỉ định tập lệnh phản hồi hoặc thực thi phải chạy khi cảnh báo
được kích hoạt.
- <timeout allowed>: cho phép tạm dừng sau một khoảng thời gian, nếu giá trị là yes thê hiện trạng thái của phản hồi
- <location>: Chỉ định vi trí lệnh được thực thi. Giá trị Jocal là lệnh được thực thi
trên hệ thống được giám sát nơi mà cảnh báo sự kiện diễn ra.
- <rules Id>: Module phan hồi thực thi lệnh nếu rule ID bang giá tri được truyền
vào
- <timeout>: Chỉ định thời gian kéo dai phan ứng với cuộc tan công (giây).
Khởi động lại Wazuh server:
Vũ Thanh Tú — BI9DCAT165 49
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
$ systemctl restart wazuh-manager
Tiên hành ping từ máy kẻ tân công sang máy nan nhân dé kiêm tra két nôi giữa kẻ tan công và nạn nhân:
$ ping 192.168.126.159
64 bytes from 192.168.126.159: icmp_seq=6 ttL=64 time=0.585 ms 64 bytes from 192.168.126.159: icmp seq=7 ttL=64 time=0.589 ms
#40
--- 192.168.126.159 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time rtt min/avg/max/mdev = 0.506/0.646/1.020/0.163 ms
Hình 4.26. Kiểm tra kết nối
Sau khi kiểm tra kết nối thành công, tiến hành tấn công vét cạn:
$ hydra -t 4 -ẽ <username> -P <password_file> IP_victim ssh
$ hydra -t 4 -l wazuhagentb19dcat165 -P password.txt 192.168.126.159 ssh
root@ubuntu: /home/samhain# hydra -t 4 -L wazuhagentbi9dcati65 -P password.txt 19 2.168.126.159 ssh
ydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret
service organizations, or for illegal purposes.
ydra (http://www.thc.org/thc-hydra) starting at 2023-12-25 19:09:27
Hình 4.27. Tan công vét can sử dung công cu hydra
Wazuh dashboard đã xuât hiện cảnh báo một cuộc tân công vét cạn và Wazuh đã phan ứng lại với cuộc tân công đó:
Vũ Thanh Tú — BI9DCAT165 50
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
Dec 25, 2023 @
9 6 fi lI-d A Re
19:09:34,492 001 b19dcat165_agent1 Host Blocked by firewall-drop Active Response 3 651
Dec 25, 2023 @ sshd: brute force trying to get access to the system,
001 b19dcat165_agent1 T1110 Credential Access 10 5763 19:09:32.765 Authentication failed.
en T1110.001 --
ec 25, 2023 @ redential Access,
& ơ 001 b19dcat165_agent1 ti 5 sshd: authentication failed. 5 5760
19:09:32.758 Lateral Movement T1021.004
—— T1110.001 tồn .
Dec 25, 2023 @ redential Access,
Kế i ~ 001 b19dcat165_agent1 2 sshd: authentication failed. 5 5760
19:09:32.757 Lateral Movement
T1021.004
Hình 4.28. Cảnh báo chặn thành công địa chỉ IP của kẻ tắn công
Trên máy kẻ tân công, tiên hành ping đên máy nạn nhân:
root@ubuntu: /home/samhatn# ping 192.168.126.1
PING 192.168.126.159 (192.168.126.159) 56(84) bytes of data.
AC
Hình 4.29. Kiểm tra kết nối
=> Kẻ tan công không ping được tới máy nạn nhân, địa chỉ kẻ can công đã bị chặn
thành công.
Samhain:
Samhain không có chức năng phát hiện một cuộc tấn công vét cạn như Wazuh, chúng
ta sẽ giám sát tính toàn vẹn của file /var/log/auth.log. File nay sẽ chứa các thông tin
xác thực trên hệ thống Ubuntu. Thông qua file log này sẽ giúp chúng ta xác định được các lần đăng nhập thử thất bại và điều tra các cuộc tấn công và lỗ hồng liên quan đến cơ chế uỷ quyền và xác thực của người dùng. Samhain gián tiếp phát hiện một cuộc tan công vét cạn thông qua giám sát tính toàn ven do nếu kích thước của file auth.log tăng một cách bat thường thì nó có thé đưa ra cảnh báo giúp người quản trị có thé điều tra thêm liệu nó có phải dau hiệu của một cuộc tấn công hay không.
Đối với Samhain, sau khi khởi tạo một cơ sở dữ liệu cơ sở xong, người dùng tiễn hành
câu hình chính sách giám sat file /var/log/auth.log.
Tại file cấu hình, người dùng thêm thư mục cần giám sát, ở trường hợp này ta sử dụng
chính sách [ReadOnly]
Š nano /etc/samhainrc
Vũ Thanh Tú — BI9DCAT165 51
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
= 99/var
fiile = /var/log/auth. log
[IqgnoreALL]
dir = -1/var/cache
Hinh 4.30. Cau hinh Samhain Lưu lai câu hình va chạy kiểm tra
$ samhain -t check -p ware —foreground
Sau khi kiểm tra xong thu được rất nhiều log, tiễn hành loc log:
Š cat /var/log/samhain_log | grep “/war/log/quth.log ”
root@ubuntu: /home/samhain/samhain-3.0.1# cat /var/log/samhain_log | grep "/var/L og/auth. log"
CRIT : [2023-12-20T22:04:07+0700] msg=<POLICY [ReadOnly] C TS>, path=</
var/log/auth.log>, size_old=<25123>, size_new=<75844>, ctime_old=<[2023-12-20T05 :52:24]>, ctime_new=<[2023-12-20T15:03:40]>, mtime_old=<[2023-12-20T05:52:24]>,
mtime_new=<[2023-12-20T15:03:40]>, chksum_old=<A998877874A0A0DBC550934A3899FBA60 CF6E3D39FBFOF69>, chksum_new=<BA3069£946CE664C9D34326703FFAQB7DA21F08317DB5A31>,
Hình 4.31. Samhain phát hiện bat thường trong file auth.log
File auth.log đã tăng kích thước bat thường so với kích thước ban dau, tiến hành kiểm tra xem có dấu hiệu của một cuộc tấn công vét cạn hay không:
$ cat /var/log/auth.log | grep “Failed password”
root@ubuntu: /home/samhain/samhain-3.0.1# cat /var/log/auth.log | grep "Failed pa ssword”
Dec 25 00:07:04 ubuntu sshd[1955]: Failed password for invalid user badguy from 192.168.126.155 port 45072 ssh2
Dec 25 00:07:04 ubuntu sshd[1953]: Failed password for invalid user badguy from 192.168.126.155 port 45066 ssh2
Dec 25 00:07:04 ubuntu sshd[1957]: Failed password for invalid user badguy from 192.168.126.155 port 45076 ssh2
Dec 25 00:07:04 ubuntu sshd[1954]: Failed password for invalid user badguy from 192.168.126.155 port 45068 ssh2
Dec 25 00:07:04 ubuntu sshd[1959]: Failed password for invalid user badguy from 192.168.126.155 port 45080 ssh2
Dec 25 00:07:04 ubuntu sshd[1963]: Failed password for invalid user badguy from 192.168.126.155 port 45078 ssh2
Dec 25 00:07:04 ubuntu sshd[1956]: Failed password for invalid user badguy from 192.168.126.155 port 45074 ssh2
Dec 25 00:07:05 ubuntu sshd[1969]: Failed password for invalid user badguy from 192.168.126.155 port 45088 ssh2
Dec 25 00:07:05 ubuntu sshd[1966]: Failed password for invalid user badguy from 192.168.126.155 port 45086 ssh2
Dec 25 00:07:05 ubuntu sshd[1965]: Failed password for invalid user badguy from 192.168.126.155 port 45084 ssh2
Hình 4.32. Phát hiện tan công vét can
Vũ Thanh Tú — BI9DCAT165 52
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
Ngoài ra, người dùng có thé cau hình thêm một số module và tuỳ chọn để giám sát thêm về sự kiện đăng nhập, đăng xuất.
Bật module cho phép giám sát đăng nhập, đăng xuất
Š cd /home/samhain/samhain-3.0.1
$ ./configure —enable-login-watch
O file câu hình, người dùng câu hình như sau:
Hình 4.33. Cấu hình Samhain giám sát sự kiện đăng nhập đăng xuất
Các hoạt động đăng nhập, đăng xuất của người dùng được lưu trữ trong thư mục /var/log/lastlog. File lastlog lưu trữ bản ghi về thời gian, hệ thống được liên kết với lần đăng nhập cudi cùng của mỗi người dùng.
69EBE301E5E76 \DIFC76
217 ) ] msg=<POLICY [GrowingLogs] C chksum_ol F82EQ08BBDC3DF3D23E8E83E49B0
)71BBBB7 F3EBC69E6E3601E5E7680BEAD1FC76E96>,
Hình 4.34. Phát hiện cảnh báo bắt thường trong file lưu trữ sự kiện đăng nhập
Kiểm tra file lastlog, nó sẽ giúp người dùng thu thập được nhiều thông tin hơn về sự kiện đăng nhập đăng xuất, liệu có phải từ một người dùng tin cậy hay không.
oot@ubuntu: /home/samhain/samhain-3.0.1# cat /var/Log/LasttLoq
peepts/1192. 168. 126. 155root@ubuntu: /home /samhatn/samhain-3. 0. 1#
Samhain không có kha năng phản ứng với tân công vét cạn.
4.2.2. Phan mém độc hại
Vũ Thanh Tú — BI9DCAT165 33
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
Phần mềm độc hại (Malware) hiện nay đang là một trong những mối de doa lớn nhất đối với các hệ thống. Kẻ tan công có thể sử dụng các phần mềm độc hại dé đánh cắp dữ liệu nhạy cảm, chiếm quyền điều khiển hệ thống, mã hoá dữ liệu của nạn nhân dé đòi tiền chuộc,.... Phần mềm độc hại có thé cài lên máy nạn nhân thông qua các kỹ
thuật tan cong xa hội, qua các email gia mạo, qua việc sử dung các phan mềm không
rõ nguồn gốc. Ảnh hưởng của phần mềm độc hại lên người dùng, các doanh nghiệp là
rất nghiêm trọng, có thể gây tôn thất rất lớn.
Phần này sẽ kiểm tra khả năng phát hiện phần mềm độc hại của hai hệ thống phát hiện xâm nhập. Mô hình thử nghiệm bao gồm:
- | máy Ubuntu cài đặt Wazuh server
- _ 1 máy Windows 10 cài đặt Wazuh agent dé giám sát, dùng làm máy nạn nhân
- | máy Ubuntu cài đặt Samhain đê giám sát, dùng làm máy nạn nhân
Kịch bản tấn công: Tiến hành cài đặt chương trình độc hại lên hai máy nạn nhân.
Sau đó kiêm tra xem khả năng phát hiện xâm nhập của hai hệ thông đôi với phân mêm độc hại.
Wazuh:
Wazuh có thể phát hiện phần mềm độc hại dựa trên cơ chế phát hiện xâm nhập dựa trên chữ ký. Mỗi phần mềm độc hại có thé đóng vai trò là dau hiệu cho thấy sự xâm phạm (IoC) trên các hệ thống. Chúng ta nên phát hiện ngay khi chúng được tải xuống
trước khi chúng được thực thi trên hệ thống. Wazuh có module kiểm tra tính toàn vẹn
của file và thư mục và đưa ra cảnh báo khi các file được thêm, xoá, sửa. Ngoài ra,
chúng ta sẽ kết hợp với danh sách CDB lưu trữ các hàm băm của các phan mềm độc hại, ở phần này sử dụng hàm băm SHA256 đề kiểm tra.
Trên máy Windows 10, đầu tiên sẽ cấu hình giám sát tính toàn vẹn hệ thống file sử dung FIM. Mở file câu hình C:\Program File (x86)\ossec-agent\ossec.conf, thêm cau
hình sau:
<ossec_config>
<syscheck>
<directories check_qll= ”yes ” realtime= ”yes ”>path</directories>
</syscheck>
</ossec_config>
<syscheck>
<directories check_all="yes" realtime="yes" recursion_level="5" C:\\</directories>
</syscheck>
Hinh 4.36. Cau hinh gidm sat tinh toan ven sw dung module FIM
Vũ Thanh Tú — BI9DCAT165 54
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
Cấu hình trên cho phép giám sát và cảnh báo thay đổi theo thời gian thực, thuộc tính check_all sẽ kiêm tra kích thước file, quyền, chủ sở hữu, inode và hàm băm của file
(SHA1, SHA256 va MDS).
Sau đó, tiến hành xây dựng một danh sách chứa các IoC của các phần mềm độc hai (phan này sử dụng hàm băm SHA256 dé phát hiện). Người dùng có thé tự xây dựng hoặc có thé lây danh sách từ VirusTotal hoặc MalwareBazzar. Tạo một danh sách CDB
tên là malware-hashes-sha256 chứa các mã băm SHA256 trong thư mục /var/ossec/etc/lists. CDB là một danh sách có dạng key:value
§ cả /var/ossec/etc/lists
§ touch malware-hashes-sha256
Nếu người dùng lấy đữ liệu từ các nguồn như MalwareBazzar hoặc VirusTotal, lượng
dir liệu là rat lớn không thê tạo băng tay, sử dụng chương trình sau đê xây dựng danh sách:
GNU nano 2.9.3 sha256.p
i, line enumerate(istr):
Hình 4.37. Chương trình tạo danh sách CDB từ dữ liệu tai xuống
Chạy chương trình, ta thu được danh sách như sau:
Vũ Thanh Tú — BI9DCAT165 55
Đồ án tốt nghiệp đại học Chương 4: Thử nghiệm và đánh giá
GNU nano 2.9.3 maLwar e- hashes - sha256
S)322bc517815644278a98fd8f8ad86c9f6f16ab199269ec01628c083e8f39cd7:
788749b5c5fc2a3158e4468ef15887b3190ded7f54bc2441cdf743d88dsde7c8:
21b1e2d78da5a11966a68ff64b5c44ae09c674eb3db5bc649aea8ae3200355274;
6549a67e252e69b8716262c910ca5f69b8438f27cab83c54036586a817a9c16b : b894cc268212c515d0ee2d531128f79ef1b3131b6ea41a297d1b54f23dcdecca:
38dde8f6661366d1dd81cc4ec 196c192853af34436d8182c00698fcc16f16537C:
c2f19b470ee430a357aabe67c41ea9ec40ecca8114ad48cc31b7332e24f2654b:
53d95aea8bf3dbabd997e76851610c1082af235c86fb98e05e83095dde0a4192:
431729bf9c87f3135b65dc3da63144c8c2bd8965da392f906dbc2bd936539c37f : 937718c8ec3130dbc6e18bcdadf1f29bdfbd1af42306b2e834bcac526800a4f8:
584d20b79bbfc462a11887a65bfc7cad8506eecf8937b6937d8e27a4c39cacc2 : 5f0ôc7b73a77d6465ff66582bdf7668d2c1dc6cbf89471eb895f7ba8503357a749 : 461dbaa38f40e4bf3b742f9ba635a681e3ad82c42f14468ef9af4c7ee0952615:
1e9d76b7c50de605cd8f968ceed6f7852b1690e21418c33a14f6a2b2ddacfide:
d7832166166ã91964261145cfe859376b2c3be2832af797fda417a4ed1653892:
lef8f3125d75973c3cd299d2d7960fdb2fa7eaid7341080a0475cb55bf650416b:
B5afab932ff85577a06a6d1751563e6461bea1a6efð396cb5df81ef76b626530:
4c8e8dcb3abfdc854f32727e0a59896aa1a21fe6ff728c0d68f9ef365a528663:
a8143b0b025bc0a3b160afbd2b1175310539849250e2c765dcf020c8621b8d08:
Hình 4.38. Danh sách lưu trữ hàm băm SHA256 của các phan mém độc hại
Trong đó, key chứa các giá trị hàm băm SHA256 của phần mềm độc hại. Sau khi xây dựng được danh sách, chúng ta sẽ thêm danh sách này vào file câu hình (thêm đường dẫn) /var/ossec/etc/ossec.conf trong khối <ruleset>
<list> etc/lists/malware-hashes-sha256</list>
<ruleset>
<!-- Default ruleset -->
<decoder_dir=ruleset/decoders</decoder_dir=
<rule_dir>ruleset/rules</rule_dir>
<rule_exclude>0215-policy_rules.xml</rule_exclude>
<Llist>etc/lists/audit-keys</list>
<List>etc/lists/amazon/aws-eventnames</List>
Hình 4.39. thêm danh sach vào file cấu hình
Sau khi thêm thành công danh sách vào file cấu hình, chúng ta viết luật dé phát hiện
tân công. Người dùng sẽ viết luật trong file /var/ossec/etc/rules/local_rules.xml:
Vũ Thanh Tú — BI9DCAT165 56