Comments 7
Бро, очень круто. От души благодарен
Пропустили veryfy-conf перед рестартом сервера, кривой синтаксис может сломать как менеджер, так и агентов. А remote.sca.commands - очень опасная штука, позволяет запускать любые команды от рута, для использования на проде нужно очень хорошо ограничивать доступ к менеджеру и веб интерфейсу.
Пропустили veryfy-conf перед рестартом сервера.
Абсолютно с этим согласен, особенно если настройка идёт череp CLI или как MR в gitlab, спасибо что заметили, но если настройка происходит через GUI этого можно и не делать, так как не даст сохранить кривой конфиг.remote.sca.commands тоже согласен с этим. Впринципе любой антивирус или EDR система пофакту это backdoor, тот же ansible/AD в не умелых руках может превратиться из добра во зло. Поэтому стоит ко всему подходить с умом и принимать риски где это возможно. Также в видео я акцентрировал на этом внимание, к чему может привести remote.sca.commands=1. В продакшене включаем только когда менеджер за MFA + IP-whitelisting + корректно настроеный RBAC что на уровне GUI, что на уровне CLI.
Как раз новая идея для видео/статьи, чтобы это реализовать. Спасибо!!!
Ну только, если сканирование портов идёт с одного хоста, т.е. настраиваем, чтобы писались логи файервола писались в файл, забираем их через агента, ну и пишем правила, если память не изменяет мне, похожий пример есть тут https://youtu.be/SzSdqIJlLso
Подскажите, как можно настроить детектирование сканирования портов на линукс в local_rules.xml. Каким методом, именно по UFW logs.
Ну только, если сканирование портов идёт с одного хоста, т.е. настраиваем, чтобы писались логи файервола писались в файл, забираем их через агента, ну и пишем правила, если память не изменяет мне, похожий пример есть тут https://youtu.be/SzSdqIJlLso
Wazuh SCA: от CIS Benchmarks до кастомных политик. Закрываем дыры в конфигах