ossec-security

Supported OS Linux Windows Mac OS

Versión de la integración2.0.0

Información general

OSSEC es un sistema de detección de intrusiones de código abierto basado en host. Realiza análisis de logs, comprobación de integridad, monitorización de registros de Windows, detección de rootkits, alertas en tiempo real y respuesta activa. Ayuda a monitorizar y gestionar los eventos de seguridad en varias infraestructuras de TI.

Esta integración ingiere los siguientes tipos de logs:

  • FTPD
  • Firewall
  • Sistema
  • Syslog
  • SSHD
  • PAM
  • Windows
  • Acceso web

Visualiza información detallada de estos logs a través de dashboards predefinidos.

Configuración

Instalación

Para instalar la integración de OSSEC Security, ejecuta el siguiente comando de instalación del Agent y los pasos que se indican a continuación. Para más información, consulta la documentación Gestión de integraciones.

Nota: Este paso no es necesario para el Agent versión >= 7.57.0.

Comando de Linux

sudo -u dd-agent -- datadog-agent integration install datadog-ossec_security==1.0.0

Configuración

Recopilación de logs

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en datadog.yaml:

    logs_enabled: true
    
  2. Añade este bloque de configuración a tu archivo ossec_security.d/conf.yaml para empezar a recopilar tus logs.

    Utiliza el método UDP para recopilar los datos de las alertas OSSEC. Consulta el ossec_security.d/conf.yaml de ejemplo para ver las opciones disponibles de configuración.

      logs:
      - type: udp
        port: <PORT>
        source: ossec-security
        service: ossec-security
    

    Nota: Es recomendado no cambiar los valores de servicio y fuente, ya que estos parámetros son parte integral de la operación del pipeline.

  3. Reinicia el Agent.

Configurar reenvío de mensajes de syslog desde OSSEC

  1. Añade la siguiente configuración en /var/ossec/etc/ossec.conf.

    En este ejemplo, todas las alertas se envían a 1.1.1.1 en el puerto 8080 en formato JSON.

      <syslog_output>
        <server>1.1.1.1</server>
        <port>8080</port>
        <format>json</format>
      </syslog_output>
    
    • La etiqueta server debe contener la dirección IP donde se está ejecutando tu Datadog Agent.

    • La etiqueta port debe contener el puerto en el que tu Datadog Agent está escuchando.

    Nota: Es necesario utilizar el formato JSON, ya que el pipeline de OSSEC Security sólo analiza logs en formato JSON.

  2. Activar el proceso client-syslog:

    /var/ossec/bin/ossec-control enable client-syslog
    
  3. Reiniciar el servicio de OSSEC :

    /var/ossec/bin/ossec-control restart
    

Activar la recopilación de logs de firewall (opcional):

Por defecto, el servidor de OSSEC no reenvía los logs de alerta de firewall. Para reenviar los logs de alerta de firewall a través del servidor de OSSEC, sigue estos pasos.

  1. Localiza el archivo firewall_rules.xml en /var/ossec/rules/firewall_rules.xml.

  2. Edita firewall_rules.xml para eliminar todas las apariciones de la siguiente línea del archivo:

<options>no_log</options>
  1. Reiniciar tu servidor de OSSEC:
/var/ossec/bin/ossec-control restart

Especificar una zona horaria distinta de UTC en el pipeline de log de OSSEC Security Datadog

Datadog espera que todos los logs estén en la zona horaria UTC por defecto. Si la zona horaria de tus logs de OSSEC no es UTC, especifica la zona horaria correcta en el pipeline de OSSEC Security Datadog.

Para cambiar la zona horaria en el pipeline de OSSEC Security:

  1. Ve a la página Pipelines de la aplicación de Datadog.

  2. Introduce “OSSEC Security” en la casilla de búsqueda Filter Pipelines (Filtrar pipelines).

  3. Pasa el ratón por encima del pipeline de OSSEC Security y haz clic en el botón clone (clonar). Esto creará un clon editable del pipeline de OSSEC Security.

  4. Edita el Grok Parser siguiendo los siguientes pasos:

    • En el pipeline clonado, busca un procesador con el nombre “Grok Parser: Parsing OSSEC alerts” y haz clic en el botón Edit pasando el ratón por encima del pipeline.
    • EnDefine parsing rules (Definir reglas de parseo):
      • Cambia la cadena UTC por el identificador TZ de la zona horaria de tu servidor de OSSEC. Por ejemplo, si tu zona horaria es IST, cambiarías el valor aAsia/Calcutta.
    • Pulsa el botón update (actualizar).

Validación

[Ejecuta el subcomando de estado de Agent7 y busca ossec_security en la sección Checks.

Datos recopilados

Log

FormatoTipos de evento
JSONsyslog, sshd, pam, ossec, windows, firewall, ftpd, web_access

Métricas

La integración de OSSEC Security no incluye ninguna métrica.

Eventos

La integración de OSSEC Security no incluye ningún evento.

Checks de servicio

La integración de OSSEC Security no incluye ningún check de servicio.

Solucionar problemas

Permission denied while port binding (Permiso denegado en la vinculación de puertos):

Si aparece un error de Permission denied (Permiso denegado) al vincular puertos en los logs del Agent:

  1. La vinculación a un número de puerto inferior a 1024 requiere permisos elevados. Concede acceso al puerto mediante el comando setcap:

    sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
    
  2. Comprueba que la configuración es correcta ejecutando el comando getcap:

    sudo getcap /opt/datadog-agent/bin/agent/agent
    

    Con el resultado esperado:

    /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
    

    Nota: Vuelve a ejecutar este comando setcap cada vez que actualices el Agent.

  3. Reinicia el Agent.

Data is not being collected (No se están recopilando datos):

Asegúrate de que se evita el tráfico del puerto configurado si el firewall está activado.

Port already in use (Puerto ya en uso):

  • Si aparece el error Port <PORT_NUMBER> Already in Use (Puerto n.° ya en uso), consulta las siguientes instrucciones. El ejemplo siguiente es para el puerto 514:

  • En los sistemas que utilizan Syslog, si el Agent escucha logs de OSSEC en el puerto 514, puede aparecer el siguiente error en los logs del Agent: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use. Este error se produce porque, por defecto, Syslog escucha en el puerto 514. Para resolver este error, sigue uno de los pasos siguientes:

    • Desactiva Syslog.
    • Configura el Agent para escuchar en un puerto diferente, disponible.

Para obtener más ayuda, ponte en contacto con el soporte de Datadog.