跳到主內容

Wazuh 設定警告發電子郵件

  BUBU 架設完之後現在比較空閒可研究該服務是怎麼設定發信通知管理者異常的訊息。未來有機會在來研究怎麼通知到 TG 或者 RC 服務來接收訊息。

運行環境

  環境都是在 「Proxmox VE 」 虛擬系統上架設,都是以 「 LXC 」模式為主,除非有特殊狀況會告知使用 「 VM 」 模式

  • 系統環境: Ubuntu

設定過程

  BUBU 查看官方的設定方式來進行設定官方是採用 postfix 方式來發送信件服務,那 BUBU 是在 Ubuntu 環境上運行

設定 Postfix 服務

  • 安裝 postfix 必要套件
apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules
  • 設定 vim /etc/postfix/main.cf,注意一下 relayhost 先查看這個是否沒有被註解到,如果看到是沒有註解請先在該行前面填上 # 註解起來這樣子才會正常啟動服務
relayhost = smtp.gmail.com:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes
  • 設定要登入發信帳號 vim /etc/postfix/sasl_passwd 
郵件伺服器:587  [email protected]:password
  • 執行 sasl_passwd 
postmap /etc/postfix/sasl_passwd
  • 設定 sasl_passwd 權限
chmod 400 /etc/postfix/sasl_passwd
  • 設定 sasl_passwd.db 權限
chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
  • 重載 Postfix 服務
systemctl reload postfix
  • 測試發信是否正常
echo "Test mail from postfix" | mail -s "Test Postfix" -r "[email protected]" [email protected]
設定 Wazuh 服務

  • 編輯 vim /var/ossec/etc/ossec.conf 
<global>
  <logall_json>yes</logall_json>
  <email_notification>yes</email_notification>
  <smtp_server>localhost</smtp_server>
  <email_from>[email protected]</email_from>
  <email_to>[email protected]</email_to>
</global>
設定 Wazuh 規則通知

  Wazuh本身已有設定好一些預設的規則,那您也可以自己自訂規則。

  • 自訂規則是在 /var/ossec/etc/rules 此目錄下,然後編輯 vim local_rules.xml ,之後有機會在來測試怎麼定義系統沒有預設到的規則。

  • 預設好的規則位置是在 /var/ossec/ruleset/rules 此目錄下,裡面已有定義好預設規則,可以在這裡規則裡面挑選您想要設定成通知方式就即可

  • 例如我想要收到的通知希望是用遠端登入時失敗的訊息要通知管理者,那規則檔是在 0095-sshd_rules.xml 編輯此檔

<rule id="5760" level="5">
    <if_sid>5700,5716</if_sid>
    <match>Failed password|Failed keyboard|authentication error</match>
    <description>sshd: authentication failed.</description>
    <mitre>
      <id>T1110.001</id>
      <id>T1021.004</id>
    </mitre>
  <!--在這裡增加這一段-->
    <options>alert_by_email</options> <group>authentication_failed,gdpr_IV_35.7.d,gdpr_IV_32.2,gpg13_7.1,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,pci_dss_10.2.4,pci_dss_10.2.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
  • 設定完之後重啟 wazuh 服務
systemctl restart wazuh-manager.service
  • 您在測試登入失敗之後看是否會收到信件

補充說明

備註




參考相關網頁

回到頂端