新版本3.1.0。
开发CIS- cat wodle的目的是将CIS基准评估集成到Wazuh代理中。
一、什么是CIS-CAT
CIS(互联网安全中心,Center for Internet Security)是一个致力于保护私人和公共组织免受网络威胁的实体。该实体提供CIS基准准则,这是一个公认的全球标准和最佳实践,用于保护IT系统和数据免受网络攻击。
此外,CIS- cat Pro是一款“跨平台Java app”工具,用于扫描目标系统并生成一份报告,将系统设置与CIS基准进行比较。几乎覆盖所有OSs的CIS基准测试有80多个,根据具体需要提供不同的配置文件。
二、怎样工作
这种集成需要专有软件CIS-CAT Pro。您可以在CIS官方网站上了解更多关于这个工具以及如何下载它的信息。
CIS- cat Wazuh模块将CIS基准评估集成到Wazuh代理中,并以警报的形式报告每次扫描的结果。
CIS-CAT Pro是用Java编写的,因此它需要一个Java运行时环境来执行它。目前,CIS-CAT中支持的JRE版本有JRE 6、7、8。按照以下步骤安装OpenJDK平台:
对于CentOS/RHEL/Fedora:
#yum install java-1.8.0-openjdk
对于Debian/Ubuntu:
#apt-get update&&apt-get install openjdk-8-jre
要运行此集成,CIS-CAT工具必须驻留在运行扫描的本地代理上。但是,为了在多个代理之间共享,JRE可以位于可移动磁盘或网络驱动器上。
此外,在Unix系统中,可能需要授予CIS-CAT脚本执行权限。为此,从CIS-CAT目录运行以下命令:
#chmod +x CIS-CAT.sh
一旦您有了运行CIS评估的需求,您就可以配置wodle来在您选择的时间间隔内检查特定的基准测试。这些检查的扫描结果被发送到管理器,并可以包含在可视化中。
三、用例:运行CIS评估
下面是如何部署CIS-CAT集成的示例:
在配置文件ossec.conf中,设置了如下部分:
1.1如果您使用UNIX环境:
1.2如果你使用的是Windows环境:
确保路径对于Java和CIS-CAT工具的位置是正确的。对于这两种情况,您都可以指定完整路径,或者Wazuh安装文件夹的相对路径。此外,在配置内容部分时,请考虑以下提示:
所选基准测试文件的位置必须由完整路径或CIS-CAT安装文件夹的相对路径指示。
如果没有指定配置文件,则将选择第一个配置文件(通常是最宽松的配置文件)。
在重新启动Wazuh代理之后,将在指定的时间间隔执行基准测试检查,触发警报,如下所示。
有关已执行扫描和报告概述的信息
由于Wazuh v3.5.0,报告摘要存储在代理数据库中,目的是通过API查询它。这允许每次用户想要知道最后一次扫描。
关于特定结果的信息
四、用例:调度CIS-CAT执行
新版本3.5.0。
为CIS- cat模块添加了新的调度选项,允许用户决定何时在每个代理中启动CIS扫描。
正如参考文档的CIS-CAT部分所描述的那样,有一些新的选项可供我们混合使用,以达到所需的行为。
以下wodle配置的示例块展示了在模块启动时调度的新可能性。所有这些选项都独立于scan-on-start选项,后者总是在服务启动时运行扫描。
按照自服务启动以来的时间间隔调度执行
按每天的时间安排执行
按星期的天数安排执行
按月的天数安排执行
