Только что установил OSSEC, что дальше?

Мой вопрос сейчас: какие общие задачи мне следует попробовать дальше?

OSSEC имеет правила по умолчанию для выполнения анализа журналов, проверки целостности файлов, обнаружения руткитов и т. Д.

Вы можете попробовать некоторые общие задачи, такие как:

• мониторинг журнала ядра, добавив приведенную ниже конфигурацию в ossec.conf:

<localfile>
    <log_format>syslog</log_format>
    <location>/var/log/kern.log</location>
</localfile>

• Добавление нескольких исключаемых слов, о которых вы не хотите обращать внимание /var/ossec/rules/local_rules.xml:

RRD_update|getaddrinfo|does not represent a number in line|error.class.php|Bind to port|errorsign.jpg|error.gif|error retrieving information about user

и перезапишем некоторые правила:

  <rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes">
    <if_matched_sid>5702</if_matched_sid>
    <options>no_email_alert</options>
    <description>Possible breakin attempt </description>
    <description>(high number of reverse lookup errors).</description>
  </rule>

• напишите несколько сценариев оболочки для активного ответа
• интегрировать OSSEC с Splunk

Я хотел бы зайти и изменить какой-нибудь файл, который отслеживает OSSEC, чтобы увидеть, предупреждает ли он об этом, но я не знаю, какие правила по умолчанию отслеживают.

Вы можете искать по ключевому слову integrity в rules папка:

# grep -lir "integrity" /var/ossec/rules/
/var/ossec/rules/msauth_rules.xml
/var/ossec/rules/syslog_rules.xml
/var/ossec/rules/ossec_rules.xml

ID правила 550:

  <rule id="550" level="7">
    <category>ossec</category>
    <decoded_as>syscheck_integrity_changed</decoded_as>
    <description>Integrity checksum changed.</description>
    <group>syscheck,</group>
  </rule>