Интеграция FreeBSD с KOMRAD Enterprise SIEM

FreeBSD — это свободная Unix-подобная операционная система с открытым исходным кодом, предназначенная для серверов, десктопов и встраиваемых платформ.

Дополнительные условия

Перед выполнением настройки сбора необходимо установить syslog-ng вместо стандартного syslog:

su
pkg install nano
sudo service syslogd stop
pkg install syslog-ng
sysrc syslog_ng_enable="YES"
sysrc syslogd_enable="NO"

Настройка сбора информации с помощью syslog-ng

Для настройки сбора необходимо выполнить следующие действия:

1. Произвести настройку конфигурации:

• Открываем файл конфигурации для редактирования:

  nano /usr/local/etc/syslog-ng.conf

  Пример конфигурации

  @version: 4.8
  
  # === Источники ===
  source src {
      system();
      internal();
  };
  
  # === Цель: SIEM (поменять порт и IP свои) ===
  destination lc_net {
      tcp("192.168.1.111" port(49000) log_fifo_size(1000));
  };
  
  # === Фильтры ===
  filter f_devd {
      not match("devd" value("PROGRAM"));
  };
  
  filter f_audit_trail {
      program("audit_trail");
  };
  
  # === Правила отправки ===
  log {
      source(src);
     filter(f_audit_trail);
      destination(lc_net);
  };
  
  log {
      source(src);
      filter(f_devd);
      destination(lc_net);
  };

• Перезагружаем сервис и применяем изменения:

  service syslog-ng restart && pgrep syslog

1. Настроить auditd в соответствии с Инструкцией и включить службу:

sysrc auditd_enable="YES"
service auditd start && pgrep auditd

1. Отредактировать /etc/security/audit_control в соответствии с:

dir:/var/audit
dist:off
flags:lo,aa,ad,ap
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M

1. Отредактировать /etc/security/audit_user в соответствии с:

root:lo,ad:no
user:-fc,ad:+fw

1. Создать и выполнить скрипт audit2syslog:

• Создать скрипт:

  sudo nano /usr/local/etc/rc.d/audit2syslog

• Содержимое скрипта:

  #!/bin/sh
  
  . /etc/rc.subr
  
  name="audit2syslog"
  rcvar="audit2syslog_enable"
  
  command="/usr/sbin/praudit"
  command_args="-xl /dev/auditpipe"
  
  audit2syslog_start() {
      echo "Запуск audit2syslog"
      ${command} ${command_args} | logger -t "audit_trail" -f - &
  }
  
  audit2syslog_stop() {
      echo "Остановка audit2syslog"
      pkill -f "praudit -xl /dev/auditpipe"
  }
  
  start_cmd=audit2syslog_start
  stop_cmd=audit2syslog_stop
  
  load_rc_config $name
  run_rc_command "$1"

• Сделать созданный скрипт исполняемым:

  sudo chmod +x /usr/local/etc/rc.d/audit2syslog

• Добавить в /etc/rc.conf следующие строки:

  audit2syslog_enable="YES"
  audit2syslog_flags="-t audit_trail -f"

• Запустить созданный скрипт:

  sudo service audit2syslog start
  sudo chown root:audit /dev/auditpipe

Проверка работоспособности

Для проверки правильности проведенной настройки можно провести следующий тест:

• Создать тестового пользователя и выполнить вход:

sudo pw user add testaudit -c "Test" -m -s /bin/sh
su - testaudit

подсказка

Для отображения регистрируемых логов в KOMRAD Enterprise SIEM необходимо включить syslog-колеектор