QNAP na straży bezpieczeństwa w firmie, czyli darmowy HIDS

Warto wiedzieć co się dzieje w firmie, logi, rootkit czy nawet kiedy były modyfikowane ważne pliki – dokumenty etc…

Z pomocą przychodzi nam aplikacja OSSEC.

Oczywiście całość jak zawsze zaczynamy od postawienia kontenera z Debianem – nie będę już tego opisywał, gdyż jest to w wielu poprzednich wpisach.

Na początek

Kontener jest golasem więc kilka paczek jak wyżej zawsze instaluje.

Pytanie o rodzaj instalacji:

Dalej entery :)

I mamy zainstalowane:

Uruchamiamy:

Pobiermy agenta dla Windows: https://updates.atomicorp.com/channels/atomic/windows/ossec-agent-win32-2.9.0-1738.exe

Na serwerze musimy dodać agenta

Pobieramy klucz

Doodajemy IP serwera oraz klucz w agencie:

W menu File startujemy agenta. W logu widać co monitoruje domyślnie:

Logi pracy znajdziemy w: /var/ossec/logs/alerts/alerts.log

Przykładowy alert z maszyny z systemem Linux


Linux, Qnap