Press "Enter" to skip to content

Configurando o agente do Ossec HIDS no Windows server

A instalação do Ossec no Windows é bastante intuitiva porém alguns ajustes são necessários para garantir sua total eficiência.

Após conclui-la é necessário registrar o host no Ossec Server permitindo assim a comunicação entre ambos.

No servidor execute os seguintes passos

Execute o manage_agents

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: [ Digite A para adicionar um agente ]

– Adding a new agent (use ‘q’ to return to the main menu).
Please provide the following:
* A name for the new agent: teste [ Digite o nome do agente ]
* The IP Address of the new agent: xxx.xxx.xxx.xxx [ Digite o IP do agente ]
* An ID for the new agent[001]: [ Pressione ENTER ou informe um ID ]
Agent information:
ID:001
Name:W2k3
IP Address:192.168.0.2

Confirm adding it?(y/n): y [ Digite ‘y’ ]

Agent added.

****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:  E [ Digite ‘E’ para obter a chave do agente ]

Available agents:
ID: 001, Name: teste, IP: 192.168.0.2
Provide the ID of the agent to extract the key (or ‘q’ to quit): 001 [ Informe o ID do agente ]

Agent key information for ’001′ is: [ Guarde esta chave para adicionar na configuração do agente ]
MDAxIHRlc3RlIDE3Mi4xNi4wLjYgZmRkMDRiM2EyNThlYWM0ZWQ5ODU1NWZmNGY0NjM3YTVjMDI2MzA5NTg1Y2M5NjgyODczNjIxMTdiMzhlZWFlYw==

Reinicie o Ossec Server

/var/ossec/bin/ossec-control restart

Adicione no agente o ip do Ossec Server e a chave gerada anteriormente.

Por padrão o agente do Windows faz a leitura dos logs do 1o virtual host ( W3SVC1 até W3SVC254 para WEB, MSFTPSVC1 até MSFTPSVC254 para FTP e SMTPSVC1 até SMTPSVC254 para SMTP). Está configuração padrão não atente na maioria dos casos, por isso é necessário ajustar tanto o IIS quanto o Ossec.

NO IIS

Execute os seguintes passos em todos o VHOSTS existentes tanto para WEB quanto para FTP

1 – Marque as opções 1 e 2 como mostra a tela abaixo:

img1

Guarde o caminho do arquivo de log ( LOG FILE NAME ) que na imagem acima é W3SVC767321757exyymmdd.log. Iremos adicionar está informação no arquivo de configuração do agente.

2 – Clique na aba AVANÇADO marcando todas as opções existentes.

img2

NO AGENTE DO OSSEC

1 – Inicie o Agent Manager e clique em VIEW -> VIEW CONFIG

Adicione a seguinte XML TAG no final do arquivo informando os diretórios apresentados anteriormente pelo IIS. Repita toda a TAG para cada diretório.

Após executar os passos acima reinicie o agente acompanhando seu log e os alertas.

ACTIVE-RESPONSE

O active-response no Windows vêm desabilitado por padrão, habilite-o alterando a TAG abaixo de yes para no.

Para monitorar os hosts bloquados acesse o CMD e digite o comando ROUTE PRINT, para remover um ip bloqueado execute o comando ROUTE REMOVE [IP]

Referência