Только что установили OSSEC, что дальше?

Мой вопрос сейчас: какие общие задачи я должен попробовать дальше?

В OSSEC есть правила по умолчанию для анализа журналов, проверки целостности файлов, обнаружения руткитов, ...

Вы можете попробовать некоторые общие задачи, такие как:

• мониторинг журнала ядра, добавив приведенный ниже конфиг в ossec.conf:

<localfile>
    <log_format>syslog</log_format>
    <location>/var/log/kern.log</location>
</localfile>

• Добавление некоторых исключающих слов, которые вы не хотите получать оповещения /var/ossec/rules/local_rules.xml:

RRD_update | getaddrinfo | не представляет число в строке |error.class.php| Привязать к порту |errorsign.jpg|error.gif| Ошибка при получении информации о пользователе

и переписать некоторые правила:

  <rule id="5703" level="10" frequency="4" timeframe="360" overwrite="yes">
    <if_matched_sid>5702</if_matched_sid>
    <options>no_email_alert</options>
    <description>Possible breakin attempt </description>
    <description>(high number of reverse lookup errors).</description>
  </rule>

• написать несколько сценариев оболочки для активного ответа
• интегрировать OSSEC с Splunk

Я хотел бы зайти и изменить какой-то файл, который отслеживает OSSEC, чтобы увидеть, предупреждает ли он об этом, но я не знаю, какие правила контролируют по умолчанию.

Вы можете искать ключевое слово integrity в rules папка:

# grep -lir "integrity" /var/ossec/rules/
/var/ossec/rules/msauth_rules.xml
/var/ossec/rules/syslog_rules.xml
/var/ossec/rules/ossec_rules.xml

Это правило ID 550:

  <rule id="550" level="7">
    <category>ossec</category>
    <decoded_as>syscheck_integrity_changed</decoded_as>
    <description>Integrity checksum changed.</description>
    <group>syscheck,</group>
  </rule>