Использование OpenSCAP - ESGuardian/LittleBeat GitHub Wiki

По умолчанию агент Wazuh выполняет некоторые проверки конфигурации машины, и сообщает о несоответствии рекомендациям CIS или требованиям PCI DSS, но если вы хотите чего-нибудь еще, вы можете использовать OpenSCAP.

SCAP предоставляет набор стандартов, определяющий критерии для оценки безопасности инфраструктуры Linux. Разработан институтом NIST (National Institute of Standards and Technology). OpenSCAP - это сканер, который проверяет локальную систему на соответствие этим стандартам. Имеется во всех версиях Linux и может быть установлен из стандартных репозиториев. Wazuh агент устанавливаемый из пакета уже содержит в конфигурационном файле настройки обработки отчетов OpenSCAP для соответствующей операционной системы. Но по умолчанию эта обработка отключена. Как включить?

Для начала установите на хосте OpenSCAP (на том хосте, где установлен агент). Для Ubuntu и Debian так:

    sudo apt-get install libopenscap8 xsltproc

Для RHEL, CentOS, Fedora:

    sudo yum install openscap-scanner

Теперь надо поправить конфигурацию агента:

    sudo nano /var/ossec/etc/ossec.conf

Найдите секцию:

      <wodle name="open-scap">
        <disabled>yes</disabled>
        <timeout>1800</timeout>
        <interval>1d</interval>
        <scan-on-start>yes</scan-on-start>

        <content type="xccdf" path="ssg-ubuntu-1604-ds.xml">
          <profile>xccdf_org.ssgproject.content_profile_common</profile>
        </content>
      </wodle>

Это не далеко от начала файла. Исправьте <disabled>yes</disabled> на <disabled>no</disabled>. Сохраните файл и выполните команду:

    sudo /var/ossec/bin/ossec-control restart

Вот и всё.

Home
Wazuh HostIDS Addon
Зачем нужен Wazuh
Установка агентов Wazuh