نحوه شناسایی Cisco SysLog توسط WAZUH
۱۴۰۳/۰۶/۲۳
نحوه شناسایی Cisco SysLog توسط WAZUH
ارسال Cisco SysLog به WAZUH چگونه انجام می شود؟ (Send Cisco Syslog to WAZUH)
نسخه Appliance مورد استفاده ما WAZUH appliance OVF 4.9.1 هست و سوییچ مورد استفاده ما نیز WS-C2960G-24TC-L با نسخه فریم ویر 15.0(2)SE9 می باشد.
- Wazuh Management IP Address : 172.16.1.30
- Switch Management IP Address: 172.16.2.2
ابتدا مطابق با مستندات Wazuh سرویس syslog متعلق به wazuh-syslogd را فعال کنید، نحوه فعال سازی :
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>172.16.2.0/24</allowed-ips>
<local_ip>172.16.1.30</local_ip>
</remote>
علاوه بر اضافه نمودن این کانفیگ اطمینان حاصل کنید تا مقادیر قرمزرنگ مشابه همین عبارات زیر فعال (yes) باشند و همچنین عبارت json در قالب فرمت لاگ فایل وجود داشته باشد :
<ossec_config>
<global>
<jsonout_output>yes</jsonout_output>
<alerts_log>yes</alerts_log>
<logall>yes</logall>
<logall_json>yes</logall_json>
<email_notification>no</email_notification>
<smtp_server>smtp.example.wazuh.com</smtp_server>
<email_from>wazuh@example.wazuh.com</email_from>
<email_to>recipient@example.wazuh.com</email_to>
<email_maxperhour>12</email_maxperhour>
<email_log_source>alerts.log</email_log_source>
<agents_disconnection_time>10m</agents_disconnection_time>
<agents_disconnection_alert_time>0</agents_disconnection_alert_time>
<update_check>yes</update_check>
</global>
<alerts>
<log_alert_level>3</log_alert_level>
<email_alert_level>12</email_alert_level>
</alerts>
<!-- Choose between "plain", "json", or "plain,json" for the format of internal logs -->
<logging>
<log_format>plain,json</log_format>
</logging>
سپس بررسی کنید تا پورت 514 UDP بر روی سرور جهت دریافت syslog در حالت شنود قرار گرفته باشد :
#netstat -tunap | grep 514
udp 0 0 172.16.1.30:514 0.0.0.0:* 6068/wazuh-remoted
پس از آن بر روی سوییچ مطمئن شوید که لاگ ها به سمت سرور wazuh ارسال می گردد:
switch#en
Switch#conf t
switch(config)#logging enable
switch(config)#logging 172.16.1.30
switch(config)#logging trap informational
یا یکی از تایپ های زیر را انتخاب کنید
- emergencies
- alerts
- critical
- errors
- warnings
- notifications
- informational (the default)
- debug
در صورتی که همه موارد به دقت انجام شده باشد و ارتباط 2 طرف نیز به درستی برقرار باشد داخل فایل زیر لاگ های سوییچ را بر روی سرور wazuh دریافت می کنید:
/var/ossec/logs/alerts/alerts.json :
{"timestamp":"2024-09-13T08:06:57.439+0000","rule":{"level":3,"description":"Cisco IOS: Successful login to the router","id":"4722","firedtimes":1,"mail":false,"groups":["syslog","cisco_ios","authentication_success"],"pci_dss":["10.2.5"],"gpg13":["5.5"],"gdpr":["IV_32.2"],"hipaa":["164.312.b"],"nist_800_53":["AU.14","AC.7"]},"agent":{"id":"000","name":"wazuh-server"},"manager":{"name":"wazuh-server"},"id":"1726214817.0","full_log":"3314: 003326: Sep 13 04:37:00 UTC: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: alireza ] [Source: 109.xxx.xxx.112] [localport: 22] at 04:37:00 UTC Fri Sep 13 2024","decoder":{"name":"cisco-ios"},"data":{"cisco":{"facility":"SEC_LOGIN","severity":"5","mnemonic":"LOGIN_SUCCESS"}},"location":"172.16.2.2"}
در این حالت منطبق با Decoder های مربوط به cisco IOS بایستی لاگ ها در Wazuh Dashboad نمایش داده شوند ولی با همین فرمت لاگ و نسخه ای از wazuh که گفته شد متاسفانه هیچ رخدادی سمت داشبورد نمایش داده نشد، بنابراین نیاز است این قالب لاگ را به سرویس wazuh-control تحت عنوان Decoder شناسایی کرد، کار Decoder نرمال سازی لاگ ها برای شناسایی توسط ruleset های wazuh می باشد
می توانید فایل 0065-cisco-ios_decoders.xml را از داخل پوشه /var/ossec/ruleset/decoders ادیت کنید یا از داشبورد منوی Decoders را انتخاب و آن را ویرایش کنید :
<decoder name="Cisco IOS: Router configuration changed">
<program_name />
<prematch>%SYS-5-CONFIG_I</prematch>
</decoder>
امیدوارم نحوه تعریف decoder که خیلی هم سخت نیست را برای شناسایی لاگ های ارجاعی متوجه شده باشید
سپس از داشبورد موارد را مشاهده کنید:
مقالات مرتبط
اشتراک در :