詳解OSSIM-OSSEC WIN 4771案例

介紹

OSSIME中的HIDS是通過OSSEC來實現的，OSSEC採用服務端和客戶端模式，主要通過文件完整性監視，日誌監視，rootcheck和進程監視來主動監視Unix系統活動的所有方面。

OSSIM中服務端已經安裝完成，只需要在要監控的主機上安裝客戶端即可：

ossec http://ossec.github.io/

今天就來看下,怎麼一步一步配置4771暴力破解攻擊的報警.

儲備知識

接收所有日誌

因為默認情況下,不是所有的日誌都會接收,所以我們首先要打開ossec發送過來的所有日誌:

如圖操作之後,就可以看到ossec agent所有接收到的日誌:

修改完記得要重啟hids服務： Environment > Detection > HIDS > HIDS Control.–>Restart.

現在就可以看到所有ossec agent所接受到的日誌:

#tail -10f /var/ossec/logs/archives/archives.log

匹配規則和報警

默認Ossec有900多條規則,基本上可以涵蓋操作系統的各種異常事件,規則路徑/var/ossec/alienvault/rules

如果接收到的日誌能被規則所匹配就會產生一條報警:

# tail -10f /var/ossec/logs/alerts/alerts.log

插件ID和 SID

ossim中插件甚多,可分為採集插件和監視插件,每個插件又有ID和SID,插件位置:/etc/ossim/agent/plugins

alienvault:/etc/ossim/agent/plugins# ll-rw-r--r-- 1 root alienvault 5033 Jun 27 2016 actiontec.cfg-rw-r--r-- 1 root alienvault 20029 Nov 29 00:34 aerohive-wap.cfg-rw-r--r-- 1 root alienvault 5736 Jun 16 2015 airlock.cfg-rw-r--r-- 1 root alienvault 1720 Nov 15 00:37 airport-extreme.cfg-rw-r--r-- 1 root alienvault 12580 Sep 20 16:59 aix-audit.cfg-rw-r--r-- 1 root alienvault 744 Jun 16 2015 aladdin.cfg-rw-r--r-- 1 root alienvault 6869 Jul 25 2016 alcatel.cfg-rw-r--r-- 1 root alienvault 12886 Jan 10 23:30 alienvault_plugins.list-rw-r--r-- 1 root alienvault 8812 Jun 16 2015 allot.cfg-rw-r--r-- 1 root alienvault 1064 Jun 16 2015 alteonos.cfg......

比如rule id為18105 對應的插件是:ossec-single-line.cfg

繼續在文件中找找翻譯關係:

18105=7006

所以這裡的plugin_id=700618105 是事件類型id

如圖我們看看plugin_id=7085的插件有哪些事件類型id:

關聯分析指令

免費的ossim默認只提供了80多個相關的分析指令.

指令地址:/etc/ossim/server

我們自己新建的指令在:

# pwd/etc/ossim/server/abb1c771-e2ce-11e6-9443-1b37c2298626# lsdirectives.xml disabled_directives.data user.xml

點擊閱讀原文查看一條指令，7085。

4771報警詳解

有了剛剛上面的知識儲備,就可以開始今天的正題了,首先我們看一下win 4771 事件代表什麼?

4771事件:代表在域內的賬號在除域控制器意外的任何一台加入域的計算機上登陸產生的登陸失敗的日誌(有點繞,多讀幾遍)

接收並查找相關日誌

為了找到ossec發送過來的原始4771日誌,我們首先需要打開接收所有日誌,然後從日誌中篩選出有關4771告警的日誌:

打開接收所有日誌上面的儲備知識中已經介紹,這裡不再贅述,請按照步驟操作.

到域控制器上部署ossec ,具體步驟請參考 OSSIM-HIDS

在域內的客戶機登陸域內的任意賬號，查找有關4771的告警日誌：

如代碼所示，我們已經成功的接收到了有關4771的告警日誌

查找匹配的規則和報警

上文提到,ossec提供了900多條規則,大多數的事件是可以被匹配到的,我們現在查找下是否有默認策略匹配到4771事件：

在規則文件目錄查找Windows audit failure event.

通過查看告警日誌,我們成功的發現了4771已經被規則匹配出來,其實這裡被匹配出的4771事件不是使用關鍵字4771在ossec規則中匹配到的,我們詳細看下配置這個4771的規則是/var/ossec/alienvault/rules/msauth_rules.xml文件：

通過查看規則詳情，我們發現真正的匹配是^AUDIT_FAILURE|^failure

我們返回的接收的原始日誌查看,發現這麼一段：

WinEvtLog: Security: AUDIT_FAILURE(4771):

正是由於這個關鍵字,我們成功的匹配到了4771事件,由於不是直接匹配4771事件,所以會存在一定的誤報,畢竟登陸失敗的代碼還有很多,這裡我採用修改其他規則文件來匹配4771事件.

我把18120事件修改成：


18105
^4771$
4771-Windows login fail.


這樣就能精確的匹配出4771事件,查看接收到的日誌文件：

查找相關插件ID

我們已經把ossec有關報警的sid改成18120了,繼續根據18120來查找相關的插件ID是哪個,從而編寫出關聯分析規則:

進入到插件目錄,我們搜索18120,發現是存在這個插件中ossec-single-line.cfg,我們找到具體的規則：

18120=7006

所以這裡的plugin_id=7006

18120 是事件類型id

至此,我們編寫關聯分析指令的所有信息都具備了,下面開始編寫關聯分析指令:

編寫關聯分析指令

具體的知識，請回顧2.4 關聯分析指令,我們新建指令:

這裡填寫上NAME,INTENT,STRATEGY,METHOD即可,如圖:

這裡著重介紹下 PRIORITY的含義:PRIORITY:優先順序,取值為0-5 ,表示如果這個攻擊成功了,對系統所造成的影響程度,數值越高,危害就越大,本例來說沒必要用4 ,這裡要根據實際情況進行選擇,這裡我用4是為了突出實驗效果..

點擊SAVE之後,填寫規則的名稱,這裡寫個你能看懂的就行:

接下來就是用到我們上文提到的插件ID了,前文得之我們需要用7006,這裡直接搜索即可,然後選中:

然後選擇事件類型ID,就是上文提到的 18120,查找填入即可.

接下來就是選擇源了,因為這是策略的頂層,所以是接收任何ip,也就是any,直接下一步即可:

這裡還要學習幾個概念:Risk:取值範圍(1-10),這裡表示事件的風險值,值越高越要引起重視.計算方法下圖已經給出了:Risk = (priority * reliability * asset_value) / 25.

至此我們已經完成一個指令的最上層了,繼續重複上面的步驟建立下層:

最後，製造一些登錄錯誤信息，查看報警：

ossim新手，如有錯誤，還請指正，歡迎交流~

*本文作者：R00to1，轉載請註明來自Freebuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！