Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan kategori Linux Threats

Didukung di:

Google SecOps SIEM

Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Linux Threats, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh kumpulan aturan ini.

Kumpulan aturan dalam kategori Ancaman Linux membantu mengidentifikasi ancaman di lingkungan Linux menggunakan log sistem CrowdStrike Falcon, Linux Auditing System (AuditD), dan Unix. Kategori ini mencakup kumpulan aturan berikut:

Alat Eskalasi Akses OS: Mendeteksi perilaku yang biasa terlihat di alat eskalasi akses Linux open source.
Mekanisme Persisten: Aktivitas yang digunakan oleh penyerang untuk membuat dan mempertahankan akses persisten di host Linux.
Perubahan Hak Istimewa: Aktivitas yang terkait dengan upaya dan tindakan autentikasi hak istimewa, yang biasanya digunakan untuk mengeskalasikan hak istimewa atau bertahan di host Linux.
Sinyal Malware - Aktivitas Biner LOTL yang Mencurigakan: Mendeteksi skenario penggunaan alat bawaan (Living Off the Land) yang mencurigakan berdasarkan aktivitas malware Linux yang diamati di lingkungan dunia nyata.
Sinyal Malware - Aktivitas Download yang Mencurigakan: Mendeteksi perilaku yang terlihat sehubungan dengan aktivitas download berbahaya di Linux di lingkungan dunia nyata.
Sinyal Malware - Eksekusi yang Mencurigakan: Mendeteksi sinyal yang dihasilkan dari perilaku yang diamati dari malware Linux yang terdeteksi di lingkungan dunia nyata dengan fokus pada perilaku Eksekusi (TA0002).
Mandiant Front-Line Threats - Kumpulan aturan ini berisi aturan yang berasal dari investigasi dan respons Mandiant terhadap insiden aktif di seluruh dunia. Aturan ini mencakup TTP yang biasa terlihat seperti eksekusi menggunakan interpretor skrip (T1059), penggunaan layanan web untuk perintah dan kontrol (T1102), dan penggunaan tugas terjadwal untuk mempertahankan persistensi (T1053).
Mandiant Intel Emerging Threats - Kumpulan aturan ini berisi aturan yang berasal dari Kampanye Intelijen dan Peristiwa Penting Mandiant, yang mencakup aktivitas ancaman dan geopolitik yang sangat berdampak, seperti yang dinilai oleh Mandiant. Aktivitas ini dapat mencakup konflik geopolitik, eksploitasi, phishing, malvertising, ransomware, dan kompromi supply chain.

Perangkat dan jenis log yang didukung

Kumpulan aturan dalam kategori Ancaman Linux telah diuji dan didukung dengan sumber data yang didukung Google Security Operations berikut:

Sistem Audit Linux (AUDITD)
Sistem Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Untuk daftar semua sumber data yang didukung Google Security Operations, lihat Parser default yang didukung.

Mengonfigurasi perangkat untuk menghasilkan data log yang benar

Agar aturan dalam kategori Linux Threats berfungsi seperti yang dirancang, perangkat harus menghasilkan data log dalam format yang diharapkan. Konfigurasikan aturan audit persisten berikut untuk Linux Audit Daemon di setiap perangkat tempat Anda akan mengumpulkan log dan dikirim ke Google Security Operations.

Untuk mengetahui detail tentang cara menerapkan aturan audit persisten untuk Linux Audit Daemon, lihat dokumentasi khusus untuk sistem operasi.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Kolom yang diperlukan oleh kategori Linux Threats

Bagian berikut menjelaskan data spesifik yang diperlukan oleh kumpulan aturan dalam kategori Linux Threats untuk mendapatkan manfaat terbesar. Pastikan perangkat Anda dikonfigurasi untuk mencatat data berikut ke log peristiwa perangkat.

Set data	Kolom UDM (tempat data disimpan)	Definisi
Jalur Proses Utama	`principal.process.file.full_path`	Lokasi di disk dari proses yang sedang berjalan saat ini, jika tersedia.
Command Line Proses Utama	`principal.process.command_line`	Parameter command line proses, jika tersedia.
Jalur Proses Target	`target.process.file.full_path`	Lokasi proses target di disk, jika tersedia.
Command Line Proses Target	`target.process.command_line`	Command line
Domain Kueri DNS Jaringan	`network.dns.questions.name`	Nama domain kueri DNS, jika tersedia.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Linux Threats

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, Anda menentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan.

Buat satu atau beberapa pengecualian aturan untuk mengidentifikasi kriteria dalam peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan ini atau oleh aturan tertentu dalam kumpulan aturan. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom UDM berikut:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.