Configure sus puntos finales Linux para utilizarlos con la IBM Security QRadar Endpoint Content Extension.
Acerca de esta tarea
El rendimiento del sistema puede verse afectado en función de la cantidad de información recopilada.
Procedimiento
- Cree una copia de seguridad del archivo de configuración de reglas auditd existente escribiendo el mandato siguiente:
cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bkp
- Editar /etc/audit/rules.d/audit.rules.
- Abra /etc/audit/rules.d/audit.rules en vi escribiendo el mandato siguiente:
vi /etc/audit/rules.d/audit.rules
- Añada las reglas siguientes al final del archivo:
# Program called
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
#It is possible to specify single commands to reduce the load with -F <path_to_binary>
(see auditd documentation)
# Process spawns child
-a exit,always -F arch=b64 -S fork -S vfork -S clone
-a exit,always -F arch=b32 -S fork -S vfork -S clone
# File monitoring for edition and attributes modification
-w /boot -p wa
-w /etc/pam.d -p wa
-w /etc/shadow -p wa
-w /etc/passwd -p wa
-w /etc/rsyslog -p wa
-w /etc/openldap -p wa
-w /etc/sysconfig/syslog -p wa
-w /etc/syslog.conf -p wa
-w /etc/sysconfig/network-scripts -p wa
-w /etc/default/ufw -p wa
-w /etc/sudoers -p wa
Ajuste la lista anterior y las reglas de correlación con los archivos o directorios que quiera supervisar.
- Reinicie el servicio auditd escribiendo el mandato siguiente: