Informações gerais sobre a categoria "Ameaças do Linux"

Compatível com:

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Linux, das fontes de dados necessárias e da configuração que pode ser usada para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do Linux ajudam a identificar ameaças em ambientes Linux usando o CrowdStrike Falcon, o sistema de auditoria do Linux (AuditD) e os registros do sistema Unix. Esta categoria inclui os seguintes conjuntos de regras:

  • Ferramentas de escalonamento de privilégios do SO: detecta o comportamento comumente encontrado em ferramentas de escalonamento de privilégios do Linux de código aberto.
  • Mecanismos de persistência:atividade usada por adversários para estabelecer e manter acesso persistente em hosts Linux.
  • Modificações de privilégio: atividade associada a tentativas e ações de autenticação privilegiada, comumente usadas para privilégio de escalonamento ou persistência em hosts Linux.
  • Sinais de malware: atividade binária LOTL suspeita: detecta cenários de uso de ferramentas nativas suspeitas (Living Off the Land) com base na atividade observada de malwares do Linux em ambientes reais.
  • Sinais de malware: atividade de download suspeita: detecta o comportamento observado em relação à atividade de download maliciosa no Linux em ambientes reais.
  • Sinais de malware: execução suspeita: detecta sinais gerados a partir de comportamentos observados de malware do Linux detectados em ambientes reais com foco em comportamentos de execução (TA0002).

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria "Ameaças do Linux" foram testados e são compatíveis com as seguintes fontes de dados aceitas pelas Operações de segurança do Google:

  • Sistema de auditoria do Linux (AUDITD)
  • Sistema Unix (NIX_SYSTEM)
  • CrowdStrike Falcon (CS_EDR)

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Configurar dispositivos para gerar dados de registro corretos

Para que as regras na categoria "Threats" do Linux funcionem conforme o esperado, os dispositivos precisam gerar dados de registro no formato esperado. Configure as seguintes regras de auditoria persistente para o daemon de auditoria do Linux em cada dispositivo em que você vai coletar registros e enviar para o Google Security Operations.

Para saber como implementar regras de auditoria persistentes para o daemon de auditoria do Linux, consulte a documentação específica do sistema operacional.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod


# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Como ajustar os alertas retornados pela categoria "Ameaças do Linux"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regras, você define os critérios de um evento da UDM que impede que o evento seja avaliado pelo conjunto de regras.

Crie uma ou mais exclusões de regras para identificar critérios em um evento do UDM que impedem que o evento seja avaliado por esse conjunto de regras ou por regras específicas no conjunto. Consulte Configurar exclusões de regras para saber como fazer isso.

Por exemplo, você pode excluir eventos com base nos seguintes campos da UDM:

  • principal.hostname
  • target.user.userid