Linux エンドポイントの構成
IBM Security QRadar Endpoint Content Extension で使用する Linux エンドポイントを設定します。
このタスクについて
手順
- 以下のコマンドを入力して、既存の auditd ルール構成ファイルのバックアップを作成します。
cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bkp - /etc/audit/rules.d/audit.rulesを編集します。
- 次のコマンドを入力して、 vi で /etc/audit/rules.d/audit.rules を開きます。
vi /etc/audit/rules.d/audit.rules - ファイルの末尾に以下のルールを追加します。
モニターするファイルまたはディレクトリーを指定して、上記のリストおよび相関ルールを調整します。# Program called -a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve #It is possible to specify single commands to reduce the load with-F <path_to_binary>
(see auditd documentation) # Process spawns child -a exit,always -F arch=b64 -S fork -S vfork -S clone -a exit,always -F arch=b32 -S fork -S vfork -S clone # File monitoring for edition and attributes modification -w /boot -p wa -w /etc/pam.d -p wa -w /etc/shadow -p wa -w /etc/passwd -p wa -w /etc/rsyslog -p wa -w /etc/openldap -p wa -w /etc/sysconfig/syslog -p wa -w /etc/syslog.conf -p wa -w /etc/sysconfig/network-scripts -p wa -w /etc/default/ufw -p wa -w /etc/sudoers -p wa
- 次のコマンドを入力して、 vi で /etc/audit/rules.d/audit.rules を開きます。
- 次のコマンドを入力して、 auditd サービスを再始動します。
service auditd restart