Плагин auditd - аудит Linux

Optional version, optional date

Описание встроенного модуля аудита Linux auditd

Модуль auditd в Linux — это системный демон, который перехватывает системные вызовы от приложений и пользователей, оценивает их по набору предопределенных правил и записывает срабатывания правил в централизованный журнала аудита системных событий, который может использоваться администраторами или сотрудниками службы безопасности для целей аудита, мониторинга системы и расследований.

События аудита включают в себя вход пользователей в систему, доступ к файлам, сетевые подключения и другие системные действия. Администратор безопасности составляет набор правил аудита, которые определяют, какие события следует регистрировать. Правила аудита позволяют сосредоточиться на определенных действиях или поведении, которые могут указывать на угрозы безопасности или нарушения политик. Конфигурация располагается в файле /etc/audit/audit.rules, редактировать правила можно настроить в соответствии с требованиями организации, дополняя файл в папке /etc/audit/audit.d/audit.rules.

Эффективно используя возможности аудита Linux, организации могут укрепить общую систему безопасности и защитить критически важные активы от несанкционированного доступа или злонамеренных действий.

Данные, собираемые модулем auditd, включают в себя различные типы информации, такие как идентификаторы пользователей, идентификаторы процессов, временные метки событий и сведения о событиях, такие как пути к файлам или сетевые адреса. Эти исчерпывающие данные позволяют администраторам отслеживать действия, выполняемые в системе, и выявлять потенциальные угрозы или несанкционированные действия. Эти данные могут использоваться администраторами для выявления шаблонов действий, указывающих на потенциальные нарушения безопасности или попытки несанкционированного доступа. Кроме того, эти данные можно использовать для отслеживания активности системы и выявления тенденций или шаблонов, которые можно использовать для повышения безопасности системы.

Администраторы могут использовать для запроса журналов, созданных модулем auditd, такие встроенные инструменты Linux, как ausearch и aureport. Эти инструменты предоставляют мощные возможности поиска, позволяют пользователям фильтровать события на основе определенных критериев, таких как диапазоны дат, идентификаторы пользователей или типы событий. Это облегчает сотрудникам службы безопасности анализ собранных данных и принятие соответствующих мер в ответ на любые обнаруженные проблемы.

Плагин auditd в KOMRAD

KOMRAD позволяет принимать и нормализовать события auditd в двух режимах:

• режим коллектор auditd — парсинг и нормализация логов из /var/log/audit.log посредством слежения за файлом с помощью файлового коллектора, либо приёма логов по протоколу Syslog с помощью `komrad-syslog-collector;

Предпочтительна работа плагина в режиме агента. В отличии от работы в режиме коллектора, имеется возможность агрегировать события в окне сессий аудита, приводить битовые маски состояний в текстовые описания, управлять правилами аудита из интерфейса KOMRAD и получать обновления правил аудита с новыми выпусками пакетов экспертизы KOMRAD.

Плагин auditd в режиме коллектора

Плагин auditd извлекает и нормализует информацию из логов службы аудита Linux:

• Отметку времени события
• Тип и источник события
• Изменения в файлах конфигурации
• Попытки доступа к логам аудита
• Все события аутентификации и действий с аутентифицированными пользователями
• Изменения важных файлов, например, /etc/passwd
• Прочие события

Ниже приведены примеры для объяснения работы плагина для нормализации логов auditd в поля ECS.

Пример конфига:

processors:
- module: auditd

Пример событий:

<187>Oct 19 15:31:08 astra tag1 type=SYSCALL msg=audit(1485893834.891:18877199): arch=c000003e syscall=44 success=yes exit=184 a0=9 a1=7f564b2672a0 a2=b8 a3=0 items=0 ppid=1240 pid=1281 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="charon" exe=2F7573722F6C6962657865632F7374726F6E677377616E2F636861726F6E202864656C6574656429 key=(null) 

<187>Oct 20 10:07:25 astra tag1 type=USER_AUTH msg=audit(1666249645.144:16236): pid=26416 uid=1000 auid=1000 ses=4 subj=0:63:0:0 msg='op=PAM:authentication grantors=pam_permit acct="komradmin" exe="/usr/bin/fly-wmpam" hostname=astra addr=? terminal=/dev/tty7 res=success' 

<187>Oct 20 10:13:58 astra tag1 type=PATH msg=audit(1666250038.812:16242): item=1 name="/home/komradmin/.local/share/" inode=3277766 dev=08:01 mode=040755 ouid=1000 ogid=1000 rdev=00:00 obj=0:0:0:0 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0