Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Kategorie „Linux-Bedrohungen“

Unterstützt in:

Google SecOps SIEM

In diesem Dokument finden Sie einen Überblick über die Regelsätze in der Kategorie „Linux-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Mit Regelsätzen in der Kategorie „Linux-Bedrohungen“ können Sie mithilfe von CrowdStrike Falcon, dem Linux Auditing System (AuditD) und Unix-Systemprotokollen Bedrohungen in Linux-Umgebungen erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

Tools zur Rechteausweitung des Betriebssystems: Hiermit werden Verhaltensweisen erkannt, die häufig bei Open-Source-Tools zur Rechteausweitung unter Linux auftreten.
Persistenzmechanismen: Aktivitäten, mit denen Angreifer dauerhaften Zugriff auf Linux-Hosts herstellen und aufrechterhalten.
Berechtigungsänderungen: Aktivitäten im Zusammenhang mit Authentifizierungsversuchen und Aktionen mit erhöhten Berechtigungen, die häufig zur Eskalierung von Berechtigungen oder zur dauerhaften Speicherung auf Linux-Hosts verwendet werden.
Malware-Signale – Verdächtige LOTL-Binäraktivitäten: Erkennt verdächtige Szenarien zur Nutzung von nativen Tools (Living Off the Land) basierend auf der beobachteten Aktivität von Linux-Malware in realen Umgebungen.
Malware-Signale – Verdächtige Downloadaktivitäten: Hiermit werden Verhaltensweisen erkannt, die in Verbindung mit schädlichen Downloadaktivitäten unter Linux in realen Umgebungen beobachtet wurden.
Malware-Signale – Verdächtige Ausführung: Erkennt Signale, die durch beobachtete Verhaltensweisen von Linux-Malware in realen Umgebungen generiert wurden, mit Schwerpunkt auf Ausführungsverhalten (TA0002).

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Linux-Bedrohungen“ wurden getestet und werden von den folgenden Datenquellen von Google Security Operations unterstützt:

Linux Auditing System (AUDITD)
Unix-System (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Geräte so konfigurieren, dass korrekte Protokolldaten generiert werden

Damit die Regeln in der Kategorie „Linux-Bedrohungen“ wie vorgesehen funktionieren, müssen Geräte Protokolldaten im erwarteten Format generieren. Konfigurieren Sie die folgenden dauerhaften Prüfregeln für den Linux Audit Daemon auf jedem Gerät, auf dem Sie Protokolle erfassen und an Google Security Operations senden.

Ausführliche Informationen zum Implementieren persistenter Prüfregeln für den Linux Audit Daemon finden Sie in der betriebssystemspezifischen Dokumentation.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod


# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Optimierungswarnungen, die von der Kategorie „Linux-Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Im Regelausschluss definieren Sie die Kriterien eines UDM-Ereignisses, das vom Regelsatz ausgeschlossen werden soll.

Erstellen Sie eine oder mehrere Regelausschlüsse, um Kriterien in einem UDM-Ereignis anzugeben, die verhindern, dass das Ereignis von diesem Regelsatz oder von bestimmten Regeln in diesem Regelsatz ausgewertet wird. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Sie können beispielsweise Ereignisse basierend auf den folgenden UDM-Feldern ausschließen:

principal.hostname
target.user.userid