Konfigurieren Sie Ihre Linux Endpunkte für die Verwendung mit der IBM Security QRadar Endpoint Content Extension.
Informationen zu dieser Task
Abhängig von der Menge der erfassten Informationen kann die Systemleistung beeinträchtigt sein.
Vorgehensweise
- Erstellen Sie eine Sicherung der vorhandenen auditd -Regelkonfigurationsdatei, indem Sie folgenden Befehl eingeben:
cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bkp
- Bearbeiten /etc/audit/rules.d/audit.rules.
- Öffnen Sie /etc/audit/rules.d/audit.rules in vi , indem Sie den folgenden Befehl eingeben:
vi /etc/audit/rules.d/audit.rules
- Fügen Sie am Ende der Datei die folgenden Regeln hinzu:
# Program called
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
#It is possible to specify single commands to reduce the load with -F <path_to_binary>
(see auditd documentation)
# Process spawns child
-a exit,always -F arch=b64 -S fork -S vfork -S clone
-a exit,always -F arch=b32 -S fork -S vfork -S clone
# File monitoring for edition and attributes modification
-w /boot -p wa
-w /etc/pam.d -p wa
-w /etc/shadow -p wa
-w /etc/passwd -p wa
-w /etc/rsyslog -p wa
-w /etc/openldap -p wa
-w /etc/sysconfig/syslog -p wa
-w /etc/syslog.conf -p wa
-w /etc/sysconfig/network-scripts -p wa
-w /etc/default/ufw -p wa
-w /etc/sudoers -p wa
Sie können die oben genannte Liste und die Korrelationsregeln mit Dateien oder Verzeichnissen optimieren, die Sie überwachen möchten.
- Starten Sie den auditd -Service erneut, indem Sie den folgenden Befehl eingeben: