Configurer des règles OSSEC

Configurer une règle OSSEC consiste à indiquer quels fichiers de logs et/ou événements Windows doivent être surveillés et quel fichier de décodeurs et règle OSSEC leur appliquer.

  1. Dans un jeu de règles d'audit, cliquez sur Événements externes > Règles OSSEC.
  2. Cliquez sur Ajouter une règle (OSSEC).
  3. Si vous souhaitez surveiller un fichier de logs d'une application tierce, cliquez sur + Fichier surveillé et fournissez les informations suivantes :



    Saisissez le chemin du fichier. Vous pouvez utiliser :

    • Des variables d’environnement, uniquement dans le chemin du dossier (jusqu'au dernier \ du chemin,
    • Des spécifications de noms de fichiers au format strftime en fin de chemin uniquement (après le dernier \ du chemin).

    EXEMPLE
    Si vous entrez le chemin %PROGRAMFILES%\Filezilla Server\Logs\fzs-%Y-%m-%d.log, toute ligne de log ajoutée dans tout fichier dont le nom aura la forme fzs-YYYY-MM-DD.log sera analysée par SES Evolution.

     

    Choisissez l'encodage attendu du fichier. Il dépend de l’application qui émet les logs. Les encodages supportés sont :

    • Page de codes ANSI (dépend de la locale système),
    • UTF8,
    • UTF-16LE.

     

    Saisissez une description optionnelle. Elle sera sans effet sur le fonctionnement de l'analyse.

  4. Si vous souhaitez surveiller un journal ou certains événements Windows, cliquez sur + Événement surveillé et fournissez les informations suivantes :

    Saisissez le nom du journal Windows (e.g., System, Microsoft-Windows-Windows Defender/Operational). Pour connaître le nom d'un journal, consultez ses propriétés dans l'Observateur d'événements Windows.

    NOTE
    Il est possible de surveiller un journal qui n'est pas activé dans Windows. SES Evolution l'activera automatiquement. Cette opération peut entraîner une baisse des performances de la machine.

     

    Si besoin, saisissez une requête de filtrage afin de ne surveiller que certains événements du journal. Pour obtenir une requête :

    1. Ouvrez l'Observateur d'événements Windows.
    2. Sur le journal de votre choix, faites un clic droit > Filtrer le journal actuel.
    3. Dans l'onglet Filtrer, choisissez vos options de filtrage.
    4. Copiez le contenu de l'onglet XML et collez-le dans le champ Requête de filtrage de la fenêtre de la règle OSSEC.

     

    Si besoin, saisissez une description. Elle sera sans effet sur le fonctionnement de l'analyse.

  5. Cliquez sur + Décodeur OSSEC et choisissez le fichier etc/decoder.xml de votre choix. Un fichier de décodeurs OSSEC permet d'indiquer quels types de logs doivent être analysés, et quelles valeurs extraire. Pour plus d'informations, reportez-vous à la documentation OSSEC.
    Si vous importez plusieurs fichiers décodeurs, assurez-vous de les ordonner correctement à l'aide des flèches situées à gauche.
  6. Cliquez sur + Jeux de règles OSSEC et choisissez les fichiers etc/rules/*.xml de votre choix. Assurez-vous de les ordonner correctement. Le fichier rules_config.xml est obligatoire et doit être le premier : il contient les règles OSSEC 1 à 7 qui doivent impérativement être les premières règles déclarées.
    Vous pouvez également choisir un fichier .conf d'OSSEC, auquel cas vous devez aussi spécifier le dossier contenant les fichiers de règles. Les règles seront automatiquement importées dans l'ordre.
  7. Cliquez sur Vérifier la règle pour contrôler la cohérence de votre configuration d'analyse OSSEC. Les vérifications suivantes sont notamment effectuées :
    • Validation des expressions régulières présentes dans les fichiers de décodeurs et de règles,
    • Présence de décodeurs,
    • Présence des règles 1 à 7,
    • Validité des fichiers de décodeurs et de règles,
    • Utilisation d’options OSSEC non supportées et donc ignorées.

    Le résultat de la vérification affiche les erreurs, avertissements et messages d'information :

    • Les erreurs sont bloquantes et empêchent de valider la configuration OSSEC,
    • Les avertissements ne bloquent pas l’application de la configuration mais peuvent avoir des incidences sur l’évaluation des règles,
    • Les messages d’information indiquent des problèmes potentiels dans la configuration, et la manière dont ils sont résolus.

Par défaut, le moteur d’analyse OSSEC de SES Evolution récupère les événements Windows émis lorsqu'il n'est pas activé, par exemple lors du redémarrage de la machine. En revanche il ne récupère pas les fichiers de logs.