配置 Linux 端点

配置 Linux 端点,以便与 IBM 安全 QRadar 端点内容扩展一起使用。

关于此任务

根据收集的信息量,系统性能可能会受到影响。

过程

  1. 通过输入以下命令创建现有 auditd 规则配置文件的备份:
    cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bkp
  2. 编辑 /etc/audit/rules.d/audit.rules
    1. 通过输入以下命令打开 vi 中的 /etc/audit/rules.d/audit.rules :
      vi /etc/audit/rules.d/audit.rules
    2. 在文件末尾添加以下规则:
      # Program called
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
#It is possible to specify single commands to reduce the load with -F <path_to_binary> (see auditd documentation)

# Process spawns child
-a exit,always -F arch=b64 -S fork -S vfork -S clone
-a exit,always -F arch=b32 -S fork -S vfork -S clone

# File monitoring for edition and attributes modification	
-w /boot -p wa
-w /etc/pam.d -p wa
-w /etc/shadow -p wa
-w /etc/passwd -p wa
-w /etc/rsyslog -p wa
-w /etc/openldap -p wa
-w /etc/sysconfig/syslog -p wa
-w /etc/syslog.conf -p wa
-w /etc/sysconfig/network-scripts -p wa
-w /etc/default/ufw -p wa
-w /etc/sudoers -p wa
      使用要监视的文件或目录来调整上述列表和关联规则。
  3. 通过输入以下命令重新启动 auditd 服务:
    service auditd restart