1. Zuhause
  2. Frage und Antwort
  3. OSSEC Slack Integration

OSSEC Slack Integration

2016-05-04 10 views
1

Ich möchte, dass alle OSSEC-Benachrichtigungen zu einem Slack-Raum statt E-Mail weitergeleitet werden. 2.9.Beta5 hat ein aktives Antwortskript ossec-slack.sh. Die relevanten Teile meines ossec.conf sind:OSSEC Slack Integration

<command> 
    <name>ossec-slack</name> 
    <executable>ossec-slack.sh</executable> 
    <expect>srcip</expect> 
    <timeout_allowed>no</timeout_allowed> 
</command> 


<active-response> 
    <command>ossec-slack</command> 
    <location>local</location> 
    <level>1</level> 
</active-response>

Das für SSH-Logins arbeitet (gescheitert und erfolgreich), aber soweit ich kann nicht sagen, nichts anderes auslösen. Was mache ich falsch/wie machen andere das? Ist das nur Beta-Software Beta-Software?

Quelle

2016-05-04 Mark Fletcher

Antwort

2

Zuerst stellen Sie sicher, Ihre ossec-slack.sh Datei die richtigen Informationen in der Spitze hat:

# FILE: /var/ossec/active-response/bin/ossec-slack.sh 

SLACKUSER="ossec" 
CHANNEL="#slack_chanel" # include the hash "#" 
SITE="https://hooks.slack.com/services/TOKEN" 
SOURCE="ossec2slack"

Ihre "SLACKUSER" ist das gleiche wie das „Anpassen Name“, die Sie in Ihrem Slack Set Webhook Seite Integrationen.

SLACKUSER Integration Example

Nun, da Ihr ossec-slack.sh Datei eingerichtet ist, Sie Ihre Slack Integration manuell testen können:

/var/ossec/active-response/bin/ossec-slack.sh

Ausführen des Skripts manuell letzten Einträge aus der Benachrichtigung Protokolldatei schreiben wird:

/var/ossec/logs/alerts/alerts.log

Wenn dieses Skript als aktive Antwort ausgelöst wird, werden nur die Informationen für die aktuelle Warnung, ra, veröffentlicht als das Posten von Ihrer Protokolldatei.

Wenn Sie überprüft haben, dass Sie manuell Slack Nachrichten veröffentlichen können, fügen Sie die folgenden XML-Blöcke zu Ihrem ossec.conf Datei:

<!-- FILE: /var/ossec/etc/ossec.conf --> 

<ossec_config> 
    <command> 
     <name>ossec-slack</name> 
     <executable>ossec-slack.sh</executable> 
     <expect></expect> <!-- no expect args required --> 
     <timeout_allowed>no</timeout_allowed> 
    </command> 

    <active-response> 
     <command>ossec-slack</command> 
     <location>local</location> 
     <level>3</level> 
    </active-response> 
</ossec_config>

Die obigen Einstellungen werden Ihrem Slack Kanal veröffentlichen, wenn eine Stufe 3 oder höher Alarm ist Ausgelöst.

Hinweis: Innerhalb des Tags <expect> sind keine Argumente erforderlich. Aber das <expect> Tag selbst ist erforderlich. Weitere Informationen finden Sie in OSSECs active-response documentation.

diese Integration testen, starten Sie Ihren OSSEC Server:

/var/ossec/bin/ossec-control restart

Sie sollten sehr schnell die "OSSEC Started" Alarm sehen:

OSSEC Message posted to Slack

Wenn Sie die Warnung nicht angezeigt wird, überprüfen Sie die Protokolle für irgendwelche Fehlkonfigurationen:

tail /var/ossec/etc/logs/ossec.log 
tail /var/ossec/logs/active-responses.log

Quelle

2016-09-20 15:58:39 f1lt3r

+1

Etwas zu awa Wenn Sie dies in einer Standardumgebung mit einem Master und mehreren Agenten ausführen, müssen Sie den Speicherort in active-response to server ändern oder der Befehl active-response wird auf dem Agenten ausgeführt, der die Warnung auslöst . –

Verwandte Themen

 Verwandte Themen