| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| linux_auditd [2020/02/19 15:24] – [Auditd & Auditbeat - Surveillance système d'un poste linux] nekan | linux_auditd [2021/03/05 20:39] (Version actuelle) – nekan |
|---|
| ~~CLOSETOC~~ | |
| ====== Auditd & Auditbeat - Surveillance système d'un poste linux ====== | ====== Auditd & Auditbeat - Surveillance système d'un poste linux ====== |
| | <label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2020/02/14 14:07// |
| |
| ''auditd'' est quasiment une référence en terme d'audit de système Linux. Il enregistre toutes les informations, actions, des utilisateurs et des services. L'analyse de ces logs permet alors à un administrateur système se savoir précisément ce qu'il s'est passé sur une machine. | ''auditd'' est quasiment une référence en terme d'audit de système Linux. Il enregistre toutes les informations, actions, des utilisateurs et des services. L'analyse de ces logs permet alors à un administrateur système se savoir précisément ce qu'il s'est passé sur une machine. |
| |
| <note tip>''auditd'' est compatible PCI-DSS.</note> | <callout type="tip" title="Compatibilité" icon="true">''auditd'' est compatible PCI-DSS.</callout> |
| |
| ''auditd'' est livré avec des outils de gestion tels que : | ''auditd'' est livré avec des outils de gestion tels que : |
| * Tutoriel pour l'installation de ElasticSearch & Kibana : **[[linux_elastic_kibana|Lien]]** | * Tutoriel pour l'installation de ElasticSearch & Kibana : **[[linux_elastic_kibana|Lien]]** |
| |
| <note>Cette procédure a été réalisée et testée sur une VM debian 9 sur ESXi, une debian 10 sur ESXi et un ubuntu 18.04.4 LTS sur Hyper-V.</note> | <callout type="info" title="Environnement" icon="true">Cette procédure a été réalisée et testée sur une VM debian 9 sur ESXi, une debian 10 sur ESXi et un ubuntu 18.04.4 LTS sur Hyper-V.</callout> |
| |
| <note warning>Cette procédure nécessite des droits ''root''. Faîtes donc attention à ce que vous faîtes.</note> | <callout type="danger" title="Droits" icon="true">Cette procédure nécessite des droits ''root''. Faîtes donc attention à ce que vous faîtes.</callout> |
| |
| ===== Installation auditd ===== | ===== Installation auditd ===== |
| * Configuration pour PCI-DSS : [[https://github.com/linux-audit/audit-userspace/blob/master/rules/30-pci-dss-v31.rules|Linux-audit sur Github]] | * Configuration pour PCI-DSS : [[https://github.com/linux-audit/audit-userspace/blob/master/rules/30-pci-dss-v31.rules|Linux-audit sur Github]] |
| |
| <note tip>N'oubliez pas de redémarrer ''auditd'' après chaque modification de règles afin qu'elles soient prise en compte.</note> | <callout type="tip" title="Redémarrage" icon="true">N'oubliez pas de redémarrer ''auditd'' après chaque modification de règles afin qu'elles soient prise en compte.</callout> |
| |
| ==== Préparation pour l'intégration à auditbeat ==== | ==== Préparation pour l'intégration à auditbeat ==== |
| * On commence par ce rendre sur la page web de Kibana. | * On commence par ce rendre sur la page web de Kibana. |
| * Dans le bandeau de gauche, on clique sur le menu ''SIEM'' : | * Dans le bandeau de gauche, on clique sur le menu ''SIEM'' : |
| {{ :linux:kibana:auditbeat_001.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_001.png |}}</image> |
| * Si la page ''SIEM'' n'a jamais reçu de données, on cliquera sur le gros bouton bleu ''Add Data'' au milieu de la page sinon se bouton se trouve en haut à droite de la page : | * Si la page ''SIEM'' n'a jamais reçu de données, on cliquera sur le gros bouton bleu ''Add Data'' au milieu de la page sinon se bouton se trouve en haut à droite de la page : |
| {{ :linux:kibana:auditbeat_002.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_002.png |}}</image> |
| * Dans la nouvelle page, on clique sur ''Auditbeat'' : | * Dans la nouvelle page, on clique sur ''Auditbeat'' : |
| {{ :linux:kibana:auditbeat_003.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_003.png |}}</image> |
| * Tout en bas de la page, on clique sur ''Check data'' (ça peut demander quelques minutes depuis la configuration de ''auditbeat'' avant que Kibana ne reçoive des données) : | * Tout en bas de la page, on clique sur ''Check data'' (ça peut demander quelques minutes depuis la configuration de ''auditbeat'' avant que Kibana ne reçoive des données) : |
| {{ :linux:kibana:auditbeat_004.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_004.png |}}</image> |
| * Si tout va bien, un message nous confirme la réception des données. On peut alors repartir dans le menu ''SIEM'' en cliquant sur le bouton ''SIEM App'' : | * Si tout va bien, un message nous confirme la réception des données. On peut alors repartir dans le menu ''SIEM'' en cliquant sur le bouton ''SIEM App'' : |
| {{ :linux:kibana:auditbeat_005.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_005.png |}}</image> |
| * Plus bas dans la page de ''SIEM'', on peut voir un graphique statistique des données reçues ainsi que le nombre de données systèmes et réseaux. On pourra alors cliquer sur : | * Plus bas dans la page de ''SIEM'', on peut voir un graphique statistique des données reçues ainsi que le nombre de données systèmes et réseaux. On pourra alors cliquer sur : |
| * ''View events'' pour chercher et analyser les données. | * ''View events'' pour chercher et analyser les données. |
| * ''View hosts'' pour avoir une analyse par hôte. | * ''View hosts'' pour avoir une analyse par hôte. |
| * ''View network'' pour avoir une analyse par réseau. | * ''View network'' pour avoir une analyse par réseau. |
| {{ :linux:kibana:auditbeat_006.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_006.png |}}</image> |
| * On cliquera donc sur ''View events'' pour analyser nos données. La nouvelle page présente quelques graphiques mais surtout une carte ''Events'' en bas de page. La barre de recherche et les filtres nous permettent alors de trouver les évènements qui nous intéressent. La recherche se fait au moyen du langage ''Kibana Query Language'' (KQL) par défaut mais on peut aussi utiliser le langage ''Lucene''. | * On cliquera donc sur ''View events'' pour analyser nos données. La nouvelle page présente quelques graphiques mais surtout une carte ''Events'' en bas de page. La barre de recherche et les filtres nous permettent alors de trouver les évènements qui nous intéressent. La recherche se fait au moyen du langage ''Kibana Query Language'' (KQL) par défaut mais on peut aussi utiliser le langage ''Lucene''. |
| {{ :linux:kibana:auditbeat_007.png |}} | <image shape="thumbnail">{{ :linux:kibana:auditbeat_007.png |}}</image> |
| |
| L'article suivant donne quelques requête de recherche pour certains cas pratiques (**[[kibana_auditbeat_query|Lien]]**) | <callout type="success" title="Installation" icon="true">Félicitation. Vos données d'audit sont désormais intégrées à Kibana.</callout> |
| |
| <note tip>Félicitation. Vos données d'audit sont désormais intégrer à Kibana.</note> | ===== Interrogation des logs (Cas pratiques) ===== |
| | |
| | L'article suivant donne quelques requête de recherche pour certains cas pratiques (**[[kibana_auditbeat_query|Lien]]**) |
| |
| --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2020/02/14 14:07// | |
| ~~DISCUSSION~~ | ~~DISCUSSION~~ |
| |