Análisis de Vulnerabilidad

En cada agente, syscollector puede escanear el sistema para detectar la presencia y la versión de todos los paquetes de software. Esta información se envía al administrador de Wazuh, donde se almacena en una base de datos específica del agente para su evaluación posterior. En el administrador de Wazuh, vulnerability-detectormantiene una copia actualizada de las fuentes CVE deseadas de datos de vulnerabilidad y compara periódicamente los paquetes de agentes con la base de datos CVE relevante y genera alertas sobre las coincidencias.

Configurar syscollector para todos los agentes:

Para sistemas Linux:

<!-- System inventory -->
<wodle name="syscollector">
  <disabled>no</disabled>
  <interval>1h</interval>
  <scan_on_start>yes</scan_on_start>
  <hardware>yes</hardware>
  <os>yes</os>
  <network>yes</network>
  <packages>yes</packages>
  <ports all="no">yes</ports>
  <processes>yes</processes>

  <!-- Database synchronization settings -->
  <synchronization>
    <max_eps>10</max_eps>
  </synchronization>
</wodle>

Para Windows, debe habilitar la hotfixesopción para informar las actualizaciones de Windows instaladas:

<!-- System inventory -->
<wodle name="syscollector">
  <disabled>no</disabled>
  <interval>1h</interval>
  <scan_on_start>yes</scan_on_start>
  <hardware>yes</hardware>
  <os>yes</os>
  <network>yes</network>
  <packages>yes</packages>
  <ports all="no">yes</ports>
  <processes>yes</processes>
  <hotfixes>yes</hotfixes>

  <!-- Database synchronization settings -->
  <synchronization>
    <max_eps>10</max_eps>
  </synchronization>
</wodle>


De forma predeterminada, recopilará información de inventario para hardware, sistema operativo, interfaces de red, paquetes instalados, puertos abiertos y procesos en ejecución cada hora.

En adminsitrador Wazuh
Configurar vulnerability-detectoren el administrador de Wazuh
En el /var/ossec/etc/ossec.confarchivo del administrador de Wazuh, desplácese hacia abajo hasta el vulnerability-detectorwodle (módulo de Wazuh) y habilite tanto el servicio como los feeds que desee utilizar.

<vulnerability-detector>
  <enabled>yes</enabled>
  <interval>5m</interval>
  <min_full_scan_interval>6h</min_full_scan_interval>
  <run_on_start>yes</run_on_start>

  <!-- Ubuntu OS vulnerabilities -->
  <provider name="canonical">
    <enabled>no</enabled>
    <os>trusty</os>
    <os>xenial</os>
    <os>bionic</os>
    <os>focal</os>
    <os>jammy</os>
    <update_interval>1h</update_interval>
  </provider>

  <!-- Debian OS vulnerabilities -->
  <provider name="debian">
    <enabled>no</enabled>
    <os>stretch</os>
    <os>buster</os>
    <os>bullseye</os>
    <update_interval>1h</update_interval>
  </provider>

  <!-- RedHat OS vulnerabilities -->
  <provider name="redhat">
    <enabled>yes</enabled>
    <os>5</os>
    <os>6</os>
    <os>7</os>
    <os>8</os>
    <os>9</os>
    <update_interval>1h</update_interval>
  </provider>

  <!-- Amazon Linux OS vulnerabilities -->
  <provider name="alas">
    <enabled>no</enabled>
    <os>amazon-linux</os>
    <os>amazon-linux-2</os>
    <update_interval>1h</update_interval>
  </provider>

  <!-- Arch OS vulnerabilities -->
  <provider name="arch">
    <enabled>no</enabled>
    <update_interval>1h</update_interval>
  </provider>

  <!-- Windows OS vulnerabilities -->
  <provider name="msu">
    <enabled>yes</enabled>
    <update_interval>1h</update_interval>
  </provider>

  <!-- Aggregate vulnerabilities -->
  <provider name="nvd">
    <enabled>yes</enabled>
    <update_from_year>2010</update_from_year>
    <update_interval>1h</update_interval>
  </provider>

</vulnerability-detector>
Reinicie el administrador de Wazuh:
systemctl restart wazuh-manager



No hay comentarios.:

Publicar un comentario

Suscribirse a: Entradas (Atom)