Heute mussten Änderungen an bestimmten Dateien auf dem Server überwacht werden. Es gibt viele verschiedene Möglichkeiten, z. B. Osquery von Facebook . Da ich jedoch kürzlich Open Distro für Elasticsearch verwendet habe, habe ich beschlossen, Dateien mit einem Gummiband zu überwachen, einem seiner Beat'ov .
Ich werde die Installation von Elastics Stack und Auditbeat nicht beschreiben, alles gemäß den Handbüchern. Nach der Installation müssen Sie nur die Datei auditbeat.yml bearbeiten und den Pfad zur überwachten Datei zum Modul file_integrity hinzufügen .
Nach dem Einrichten und Starten zeigt kibana den auditbeat- * Index an
Erstellen Sie als Nächstes eine Überwachung, geben Sie den Namen der Überwachung, das Scanintervall sowie den Typ der Überwachungs- und Indexdatei an:
Schreiben Sie in die Abfrage Extraktion definieren Folgendes:
Extraktionsabfrage definieren{ "query": { "bool": { "must": [ { "match_phrase": { "file.path": { "query": "</ >" } } } ], "filter": [ { "term": { "event.action": { "value": "attributes_modified" # , created deleted } } }, { "range": { "@timestamp": { "from": "now-1m" # } } } ], "adjust_pure_negative": true, "boost": 1 } } }
Nachdem wir auf die Schaltfläche Ausführen geklickt und die Anforderung überprüft haben, sollte Folgendes angezeigt werden:
Wir versuchen, die Zieldatei zu ändern und die Anforderung erneut auszuführen:
Wie Sie sehen können, hat sich die Anzahl der Treffer um 2 geändert. Klicken Sie auf Aktualisieren und erstellen Sie einen Auslöser, um den Wert zu ändern:
Wir lassen alles wie auf dem Bild.
Als Nächstes können Sie Benachrichtigungen in Slack oder einem anderen Messenger konfigurieren.