# Настройка актива ГИС для проведения аудита с помощью SIEM в Linux подобных ОС
###### tags: `Инструкции по SIEM`
Данная инструкция предназначена для ОС семейства Linux (протестирована на ОС Ubuntu 20.04).
*Настройку актива нужно выполнять от имени учетной записи root либо с использованием sudo*
**При использовании межсетевого экрана и других средств для контроля трафика требуется настроить в них правила, разрещающие трафик от SIEM к информационной системе**
Обращаем внимание, что на удаленной машине должен быть открыт 22 TCP порт (или иной ssh). Также, на различных средствах контроля трафика должны быть установлены правила, разрешающие трафик от узлов SIEM (172.28.100.2, 172.28.100.3) к узлам информационной системы по порту 22 TCP/UDP (или другой соответствующий SSH)
***
**ПРЕЖДЕ ЧЕМ ПРИСТУПАТЬ К НАСТРОЙКЕ, ЗАГРУЗИТЕ [СЛЕДУЮЩИЙ](https://disk.yandex.ru/d/fm9qo-OTrJ82FQ) ПАКЕТ ФАЙЛОВ НА СВОЮ МАШИНУ**
## Автоматизированная настройка (Для систем Ubuntu, Debian, CentOS)
1. Распакуйте скачанный архив, в полученной папке найдите каталог соответствующей ОС на компьютере информационной системы.
2. Из соответстующей папки загрузите на сервер ИС (**!!в домашнюю директорию пользователя, например /home/sysadmin/!!**) следующие файлы:
- **bin.tar**
- **.bash_profile**
- **create_user.sh**
3. Подготовьте имя пользователя и пароль (пароль лучше выбрать как можно длиннее и сложнее) для учетной записи, которую будет использовать SIEM для аудита.
4. Запустите скрипт create_user.sh с привелигированными правами (sudo):
```sudo bash create_user.sh```
5. Скрипт запросит данные для новой учетной записи. Вводим подготовленные учетные данные на 3 шаге.
6. Затем скрипт предоставит найденные файлы для настройки, необходимо подтвердить нужный найденный файл (ввести для верного найденного файла 1, если скрипт нашел сторонний файл введите 0).
Отдельно для архива tar.gz
Отдельно для файл .bash_profile
7. Настройка скриптом завершена, удалите загруженные (на 2 шаге) на сервер файлы. Внесите учетные данные с 3 шага в [SIEM](#Добавление-учетной-записи-в-MaxPatrol-SIEM) систему. (Ручную настройку пропускаем, если всё отработало корректно, без ошибок)
## Ручная настройка
### Создание учетной записи и настройка прав доступа
1. Создание УЗ:
<pre><code>
useradd -m -g users -s /bin/bash <логин>
passwd <логин>
<Введите пароль>
</pre></code>
2. Настройка права доступа к домашнему каталогу:
<pre><code>
chmod 700 /home/<логин>
</pre></code>
3. Авторизуйтесь под именем созданной УЗ:
<pre><code>
su - <логин>
<Введите пароль>
</pre></code>
4. Создание каталога /home/<логин>/bin:
<pre><code>
mkdir ~/bin
</pre></code>
5. Настройка прав доступа к каталогу:
<pre><code>
chmod 700 -R ~/bin
</pre></code>
Готово!
***
### Подготовка сценариев для аудита
[Вами получен пакет с различными сценариями](https://disk.yandex.ru/d/fm9qo-OTrJ82FQ) под определенную ОС (если нет, то запросите данный пакет у специалиста SOC). Перенесите архив bin.tar, в домашний каталог созданной учетной записи.
Перейдите в домашний каталог `cd /home/<логин>` и распакуйте полученный архив `tar -xf bin.tar`, а затем удалите его командой `rm bin.tar`
Файл `.bash_profile` (из распакованного архива) переместите в домашний каталог.
### Настройка sudo
1. Внесите изменения в файл:
<pre><code>
visudo
</pre></code>
2. Добавить в файл строки с псевдонимами для сценария
**Для Ubuntu и Debian**
<pre><code>
Cmnd_Alias MPROOTCMD = /usr/bin/at -l, /usr/bin/crontab * -l, /sbin/fdisk -l, \
/sbin/iptables-save, /bin/netstat, /bin/ss, /usr/sbin/dmidecode, \
/sbin/vgdisplay, /sbin/lvdisplay, /sbin/auditctl -[vl]
Cmnd_Alias MPFILECMD = /bin/cat, /usr/bin/find *, /bin/ls, /usr/bin/getfacl, /usr/bin/test
Cmnd_Alias MPEXCPTNSCMD = !/usr/bin/find *-exec*, !/usr/bin/find *-fprint*, !/usr/bin/find *-ok*, \
!/usr/bin/find *-delete*, !/usr/bin/find *-fls*, !/bin/ss *--diag*, !/bin/ss *-D*, \
!/usr/sbin/dmidecode *-dump*
</pre></code>
**Для CentOS**
<pre><code>
Cmnd_Alias MPROOTCMD = /usr/bin/at -l, /usr/bin/crontab * -l, /sbin/fdisk -l, \
/sbin/iptables-save, /bin/netstat, /usr/sbin/ss, /usr/sbin/dmidecode, \
/sbin/vgdisplay, /sbin/lvdisplay, /sbin/auditctl -[lv], /sbin/grubby --info ALL
Cmnd_Alias MPFILECMD = /bin/egrep, /bin/cat, /usr/bin/find *, /bin/ls, \
/usr/bin/getfacl, /usr/bin/test
Cmnd_Alias MPEXCPTNSCMD = !/usr/bin/find *-exec*, !/usr/bin/find *-fprint*, \
!/usr/bin/find *-ok*, !/usr/bin/find *-delete*, !/usr/bin/find *-fls*, !/usr/sbin/ss *--diag*, \
!/usr/sbin/ss *-D*, !/usr/sbin/dmidecode *-dump*
</pre></code>
**Если вам потребуются параметры для других ОС запросите их у специалиста SOC.**
3. Добавление в файл строки, предоставляющей УЗ права на выполнение команд для запуска сценариев:
<pre><code>
<логин> ALL = (ALL) NOPASSWD: MPROOTCMD
<логин> ALL = (ALL) NOPASSWD: MPFILECMD
<логин> ALL = (ALL) NOPASSWD: MPEXCPTNSCMD
</pre></code>
4. Если в файле отсутствует строка с директивой Defaults env_reset, то ее необходимо добавить:
<pre><code>
Defaults env_reset
</pre></code>
5. Если в файле есть строка с директивой Defaults env_keep и она содержит
переменную окружения PATH, удалите эту переменную из строки (или всю строку,
если переменная единственная). Сохраните изменения и закройте файл.
Готово!
***
## Добавление учетной записи в MaxPatrol SIEM
Для аудита актива в MaxPatrol SIEM нужно добавить созданную учетную запись для доступа к активу
Для возможности входа администраторам в систему мониторинга SIEM (любой компьютер, с которого будет осуществляться вход в систему) необходимо на **АРМ администратора** в файл hosts добавить следующие адреса (альтернативный вариант, настройка вашего DNS-сервера, если не используется DNS-правительства):
***Пути до файлов***
**Linux: /etc/hosts
Windows C:\Windows\System32\drivers\etc\hosts**
<pre><code>
172.28.100.11 mp10-core.gossopka.local
</pre></code>
*Обращаем внимание, даже если раннее производились настройки файла hosts, необходимо перезаписать его, добавив именно эти адреса!*
Добавление в MaxPatrol SIEM УЗ для доступа к активу:
*Доступ к добавление учетной записи необходимо зараннее запросить у специалистов SOC*
Вход в MaxPatrol SIEM по ссылке - https://mp10-core.gossopka.local
1. В главном меню в разделе Сбор данных выберите пункт Учетные записи.
2. В панели инструментов нажмите кнопку Добавить учетную запись и в
раскрывшемся меню выберите пункт логин-пароль.
3. В открывшемся окне Добавление учетной записи необходимо указать Название (рекомендуется указывать названия позволяющее идентифицировать информационную систему, к которой относиться учетная запись, например «ГИС портал Оренбургской области-audit»), Транспорты (Terminal), логин, Пароль и Подтверждение пароля (Домен указывать не нужно). Затем нажать кнопку сохранить.
Готово!
***
**Пожалуйста, сообщите специалистам SOC о внесенных настройках.**
Sign in with Wallet
Connect another wallet