Este documento tem como objetivo fornecer um guia detalhado para a instalação, configuração e coleta de logs do auditd no Linux, além de orientar sobre o envio desses logs para um SIEM usando o rsyslog.
O Auditd (Linux Auditing System) é uma ferramenta para rastreamento de eventos e auditoria de segurança no sistema Linux. Ele é usado para monitorar e registrar chamadas de sistema que podem representar atividades suspeitas ou potencialmente prejudiciais.
Esta seção do manual apresenta a instalação e configuração do auditd em distribuições Linux baseadas em Debian, como Ubuntu e seus derivados, bem como em distribuições baseadas em Red Hat. Serão abordadas a instalação do pacote e configuração das regras.
O primeiro passo é instalar os pacotes necessários para a auditoria do sistema: auditd e audispd-plugins.
Para Ubuntu/Debian:
sudo apt update
sudo apt install auditd audispd-plugins
Para Red Hat/CentOS:
O auditd já vem pré-instalado na maioria das distribuições Linux baseadas no Red Hat. No entanto, se necessário, é possível realizar a instalação manual dos pacotes.
sudo dnf install -y audit
Após a instalação dos pacotes do auditd, inicie o serviço auditd. Primeiro, verifique o status atual do serviço (Os mesmos comandos podem ser utilizados tanto para Ubuntu quanto para Red Hat).
sudo systemctl status auditd
Após a instalação os logs do auditd podem ser encontrados por padrão em: /var/log/audit/audit.log
As regras de auditoria estão localizadas em /etc/audit/audit.rules. No entanto, esse arquivo é gerado com base nos arquivos de regras localizados em /etc/audit/rules.d/.
Para configurar as regras de auditoria, é necessário sobrescrever o arquivo /etc/audit/rules.d/audit.rules com o arquivo de regras fornecido pelo SafeLabs ou outro arquivo de regras próprio.
Após a cópia do arquivo de configuração, você pode sobrescrever o arquivo original, ou editar manualmente usando um editor de texto, como nano ou vi/vim.
Após a configuração das regras é necessário reiniciar o serviço para atualização das novas regras.
sudo systemctl restart auditd
Após reiniciar, deve-se verificar se as regras foram atualizadas no arquivo /etc/audit/audit.rules
head -n 15 /etc/audit/audit.rules
A seguir, são apresentadas informações básicas para o entendimento das regras configuradas:
Validando os logs Como mencionado anteriormente os logs do auditd podem ser encontrados por padrão em:
/var/log/audit/audit.log
tail -f /var/log/audit/audit.log
O rsyslog é um sistema de registro de eventos eficiente e flexível para Unix e Linux. Ele centraliza e gerencia logs de várias fontes, facilitando o monitoramento e a segurança de sistemas distribuídos.
O rsyslog é pré-instalado na maioria das distribuições Linux por padrão. Seu arquivo de configuração principal está localizado em /etc/rsyslog.conf e /etc/rsyslog.d.
Para configurar, é necessário substituir o conteúdo do arquivo de configuração pela configuração abaixo. Recomenda-se fazer um backup do arquivo original antes de proceder com esta etapa. Exemplo: 50-default.conf
# Carrega o modulo imfile
module(load="imfile" PollingInterval="10")
# Rsyslog configuração para Auditd
input(type="imfile"
File="/var/log/audit/audit.log"
Tag="auditd"
Severity="info"
Facility="local7")
# Enviar logs para o servidor SIEM
*.* @servidor_siem:porta