Auditd

<note warning>root</note>

Prérequis

• apt-get install -y apt-transport-https dirmngr #openjdk-8-jdk

Installation Auditd

• apt-get install -y auditd audispd-plugins

Configuration des règles

# TODO

# Lynis ?

Installation ElasticSearch

• wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
• echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list
• apt-get update
• apt-get install elasticsearch

Démarrage auto

• /bin/systemctl daemon-reload
• /bin/systemctl enable elasticsearch.service

Test local

• curl -X GET "localhost:9200/?pretty"

Accès extérieur

• systemctl stop elasticsearch
• nano /etc/elasticsearch/elasticsearch.yml
  • Décommenter network.host
  • Remplacer sa valeur par 0.0.0.0
  • Décommenter discovery.seed_hosts
  • Remplacer sa valeur par 0.0.0.0
• iptables -A INPUT -p tcp -s 10.30.1.81 –dport 9200 -j ACCEPT ##### Paramétrer le firewall
• systemctl start elasticsearch

Test extérieur

• curl -X GET "10.30.1.79:9200/?pretty"

Installation kibana

• apt-get install -y kibana

Démarrage automatique

• /bin/systemctl daemon-reload
• /bin/systemctl enable kibana.service
• systemctl start kibana

Configuration

• systemctl stop kibana
• nano /etc/kibana/kibana.yml
  • Décommenter server.host
  • Remplacer sa valeur par 0.0.0.0
  • Décommenter elasticsearch.hosts
  • Remplacer sa valeur par ["http://0.0.0.0:9200"]
• systemctl start kibana

Installation de auditbeats

• apt-get install auditbeat
• systemctl enable auditbeat

Site web

• http://10.30.1.79:5601
• Aller dans l'onglet SIEM
• Cliquer sur Add data