Testreihe Security-Tools, Teil 3: Ossec
Türsteher am Endpunkt
Fortsetzung des Artikels von Teil 1
Installation der Wazuh-Software
Die Wazuh-Software installierten wir auf einer Ubuntu-VM, die auf der VMware vSphere 7 Plattform des LANline-Testlabs lief. Als Endpoints kamen eine VM mit Windows 2022 und eine VM mit Ubuntu zum Einsatz. Die Standardinstallation der kostenfreien Version richtet die Wazuh-Server- und Indexer-Komponenten auf demselben Rechner ein. Das Setup war nach wenigen Minuten abgeschlossen und wir konnten uns an der Web-Konsole von Wazuh anmelden. Die Oberfläche ist übersichtlich strukturiert und bietet über zwei Aufklappmenüs Zugriff auf die verschiedenen Konfigurationsfenster. Hier findet sich auch ein Assistent für die Agenteninstallation, der die Verbindungsparameter wie IP-Adresse des Wazuh-Servers, Verschlüsselungs-Key und Gruppenzugehörigkeit in eine Konfigurationsdatei überträgt. Zum Schluss zeigt der Assistent den Setup-Befehl an, mit dem sich der Agent lokal auf dem Client installieren lässt. Die Konfigurationsparameter holt er sich dabei über das Netz vom Wazuh-Server. Wir führten den Assistenten für die Windows- und für die Ubuntu-VM aus und konnten damit auf beiden Servern den Wazuh-Agenten erfolgreich aufspielen. Die zwei Clients wurden anschließend in der Wazuh-Console mit dem Status Active angezeigt und ab diesem Zeitpunkt von Wazuh mit den Standardeinstellungen überwacht.
Was genau Ossec überwachen soll, legt der Administrator in den Konfigurationsdateien des Servers und der Agenten fest. Diese steuern unter anderem, welche Event-Logs der Client-Rechner ausliest und weiterleitet oder für welche Verzeichnisse zusätzlich zu den standardmäßig überwachten Betriebssystempfaden die Integrität der Dateien überwacht werden soll. Bei Windows-Systemen prüfen die Agenten auch zahlreiche kritische Registry-Pfade. Diese automatischen Systemanalysen helfen, mögliche Angriffe zu erkennen. Ossec kann auch die Konfiguration von Diensten und Prozessen überwachen. Die Systemintegritätsprüfung führt zudem jedes Mal eine Rootkit-Erkennung durch. Sie läuft standardmäßig alle sechs Stunden. Das Intervall lässt sich individuell anpassen, und es ist möglich, die Syscheck-Prüfungen fortlaufend in Echtzeit auszuführen.
Wenn zu einem Event oder Ereignis eine Active Response erfolgen soll, muss der Administrator dies in der Agentendatei ossec.conf konfigurieren. Er kann zum Beispiel automatisch eine E-Mail verschicken lassen oder einen Skript-Workflow starten, um bei verdächtigen Aktivitäten die dafür verantwortliche IP-Adresse auf der Firewall zu blockieren. Die Alarmierungsregeln von Ossec sind individuell konfigurierbar. So kann das Tool beispielsweise reagieren, wenn jemand auf dem überwachten System einen neuen Port öffnet oder ein USB-Gerät anschließt.
Für den Test haben wir auf dem von Ossec überwachten Ubuntu-Server in der hosts-Datei für die DNS-Namensauflösung eine neue Zeile mit dem Namen und der IP-Adresse eines Test-Servers hinzugefügt. Anschließend starteten wir über das Ossec-Kommandozeilen-Tool agent_control die Systemprüfung auf allen Agenten. Nach ein paar Minuten erschien in der Ossec-Web-Konsole die Warnmeldung, dass die hosts-Datei verändert wurde. Der Administrator kann auch direkt auf dem Ossec-Server das Kommandozeilen-Tool syscheck_control ausführen, um sich veränderte Dateien und Registry-Einträge anzeigen zu lassen. Auf dem Windows-2019-Server änderten wir die Startart des Printspooler-Dienstes von Automatic auf Disabled. Dann starteten wir über die Ossec-Kommandozeile eine Systemprüfung dieser Windows-VM. In der Web-Konsole wurde nach kurzer Zeit die Warnmeldung angezeigt, dass die Konfiguration des Printspooler-Dienstes geändert wurde.
Komplexe Regelwerke
Eine Ossec-Lösung so aufzusetzen, dass sie Endpunkte umfassend überwacht, erfordert sehr viel Konfigurationsarbeit. Der Systemverwalter muss die verschiedenen Monitoring-Funktionen einrichten, Alarmierungswege inklusive automatischer Gegenmaßnahmen konfigurieren und eigene Reporting-Vorlagen erstellen. Wazuhs Lösung ist einfacher zu bedienen als die Standard-Ossec-Software, weil die Web-Konsole zahlreiche grafische Oberflächen für die Konfiguration und Auswertung der sicherheitsrelevanten Bereiche bietet. Die Einrichtung wirksamer EDR-Regelwerke erfordert aber auch mit Wazuh eine sehr gute Kenntnis der Materie und ist mit hohem Zeitaufwand verbunden. Wer schneller ans Ziel kommen will, für den könnte sich ein Blick auf die kommerziellen (SaaS-)Ossec-Angebote von Atomicorp oder Wazuh lohnen.
- Türsteher am Endpunkt
- Installation der Wazuh-Software
Lesen Sie mehr zum Thema
