Versión de la integración2.0.0
OSSEC: información general
OSSEC es un sistema de detección de intrusiones de código abierto basado en host. Realiza análisis de logs, comprobación de integridad, monitorización de registros de Windows, detección de rootkits, alertas en tiempo real y respuesta activa. Ayuda a monitorizar y gestionar los eventos de seguridad en varias infraestructuras de TI.
Esta integración ingiere los siguientes tipos de logs:
- FTPD
- Firewall
- Sistema
- Syslog
- SSHD
- PAM
- Windows
- Acceso web
Visualiza información detallada de estos logs a través de dashboards predefinidos.
Configuración
Instalación
Para instalar la integración de OSSEC Security, ejecuta el siguiente comando de instalación del Agent y los pasos que se indican a continuación. Para más información, consulta la documentación Gestión de integraciones.
Nota: Este paso no es necesario para el Agent versión >= 7.57.0.
Comando de Linux
sudo -u dd-agent -- datadog-agent integration install datadog-ossec_security==1.0.0
Configuración
Recopilación de logs
La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en datadog.yaml:
Añade este bloque de configuración a tu archivo ossec_security.d/conf.yaml para empezar a recopilar tus logs.
Utiliza el método UDP para recopilar los datos de las alertas OSSEC.
Consulta el ossec_security.d/conf.yaml de ejemplo para ver las opciones disponibles de configuración.
logs:
- type: udp
port: <PORT>
source: ossec-security
service: ossec-security
Nota: Es recomendado no cambiar los valores de servicio y fuente, ya que estos parámetros son parte integral de la operación del pipeline.
Reinicia el Agent.
Configurar reenvío de mensajes de syslog desde OSSEC
Añade la siguiente configuración en /var/ossec/etc/ossec.conf.
En este ejemplo, todas las alertas se envían a 1.1.1.1 en el puerto 8080 en formato JSON.
<syslog_output>
<server>1.1.1.1</server>
<port>8080</port>
<format>json</format>
</syslog_output>
Nota: Es necesario utilizar el formato JSON, ya que el pipeline de OSSEC Security sólo analiza logs en formato JSON.
Activar el proceso client-syslog:
/var/ossec/bin/ossec-control enable client-syslog
Reiniciar el servicio de OSSEC :
/var/ossec/bin/ossec-control restart
Activar la recopilación de logs de firewall (opcional):
Por defecto, el servidor de OSSEC no reenvía los logs de alerta de firewall. Para reenviar los logs de alerta de firewall a través del servidor de OSSEC, sigue estos pasos.
Localiza el archivo firewall_rules.xml en /var/ossec/rules/firewall_rules.xml.
Edita firewall_rules.xml para eliminar todas las apariciones de la siguiente línea del archivo:
<options>no_log</options>
- Reiniciar tu servidor de OSSEC:
/var/ossec/bin/ossec-control restart
Especificar una zona horaria distinta de UTC en el pipeline de log de OSSEC Security Datadog
Datadog espera que todos los logs estén en la zona horaria UTC por defecto. Si la zona horaria de tus logs de OSSEC no es UTC, especifica la zona horaria correcta en el pipeline de OSSEC Security Datadog.
Para cambiar la zona horaria en el pipeline de OSSEC Security:
Ve a la página Pipelines de la aplicación de Datadog.
Introduce “OSSEC Security” en la casilla de búsqueda Filter Pipelines (Filtrar pipelines).
Pasa el ratón por encima del pipeline de OSSEC Security y haz clic en el botón clone (clonar). Esto creará un clon editable del pipeline de OSSEC Security.
Edita el Grok Parser siguiendo los siguientes pasos:
- En el pipeline clonado, busca un procesador con el nombre “Grok Parser: Parsing OSSEC alerts” y haz clic en el botón
Edit pasando el ratón por encima del pipeline. - EnDefine parsing rules (Definir reglas de parseo):
- Cambia la cadena
UTC por el identificador TZ de la zona horaria de tu servidor de OSSEC. Por ejemplo, si tu zona horaria es IST, cambiarías el valor aAsia/Calcutta.
- Pulsa el botón update (actualizar).
Validación
[Ejecuta el subcomando de estado de Agent7 y busca ossec_security en la sección Checks.
Datos recopilados
Log
| Formato | Tipos de evento |
|---|
| JSON | syslog, sshd, pam, ossec, windows, firewall, ftpd, web_access |
Métricas
La integración de OSSEC Security no incluye ninguna métrica.
Eventos
La integración de OSSEC Security no incluye ningún evento.
Checks de servicio
La integración de OSSEC Security no incluye ningún check de servicio.
Solucionar problemas
Permission denied while port binding (Permiso denegado en la vinculación de puertos):
Si aparece un error de Permission denied (Permiso denegado) al vincular puertos en los logs del Agent:
La vinculación a un número de puerto inferior a 1024 requiere permisos elevados. Concede acceso al puerto mediante el comando setcap:
sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
Comprueba que la configuración es correcta ejecutando el comando getcap:
sudo getcap /opt/datadog-agent/bin/agent/agent
Con el resultado esperado:
/opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
Nota: Vuelve a ejecutar este comando setcap cada vez que actualices el Agent.
Reinicia el Agent.
Data is not being collected (No se están recopilando datos):
Asegúrate de que se evita el tráfico del puerto configurado si el firewall está activado.
Port already in use (Puerto ya en uso):
Si aparece el error Port <PORT_NUMBER> Already in Use (Puerto n.° ya en uso), consulta las siguientes instrucciones. El ejemplo siguiente es para el puerto 514:
En los sistemas que utilizan Syslog, si el Agent escucha logs de OSSEC en el puerto 514, puede aparecer el siguiente error en los logs del Agent: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use. Este error se produce porque, por defecto, Syslog escucha en el puerto 514. Para resolver este error, sigue uno de los pasos siguientes:
- Desactiva Syslog.
- Configura el Agent para escuchar en un puerto diferente, disponible.
Para obtener más ayuda, ponte en contacto con el soporte de Datadog.
