Справочники для Ossec FIM

Question

Я новичок в Ossec, и недавно установил его на сервере для компании, в которой я сейчас работаю.

Этот сервер контролирует 80 агентов Windows 7. Основная цель настройки Ossec на этих агентских компьютерах заключалась в том, чтобы мы могли развернуть мониторинг целостности файлов.

Теперь к моему вопросу; Какие каталоги я должен контролировать? Пока у меня есть только каталоги по умолчанию, предоставленные по умолчанию из Ossec. Я также добавил FIM в каталоги System и System32. Есть ли еще каталоги или файлы, которые вы бы порекомендовали мне отслеживать?

С уважением,

Alex

Answer 1

Частично ответ зависит от того, почему вы установили OSSEC. Если вы установили его, чтобы он соответствовал нормативам (таким как GDPR), вам, вероятно, понадобится отслеживать любые файлы, которые относятся к политикам. Например, если у вас есть политика, что все пароли должны быть длиной 10 символов, и у вас есть файл настроек, который предписывает 10 символов, вы должны отслеживать этот файл.

OSSEC должен контролировать любые файлы конфигурации. Вы также можете захотеть контролировать пользовательские файлы и файлы данных.

Подумайте, что вам нужно защищать. Если бы плохой актер получил доступ к одному из этих компьютеров, что бы они изменили? С ответом на этот вопрос вы узнаете, что защищать.