Esta página foi traduzida pela API Cloud Translation.

Visão geral da categoria Ameaças no Linux

Neste documento, você encontra uma visão geral dos conjuntos de regras na categoria "Ameaças do Linux", das origens de dados necessárias e da configuração usada para ajustar os alertas gerados por esses conjuntos.

Os conjuntos de regras na categoria "Ameaças do Linux" ajudam a identificar ameaças em ambientes Linux usando os registros do CrowdStrike Falcon, do Linux Auditing System (AuditD) e do sistema Unix. Essa categoria inclui os seguintes grupos de regras:

Ferramentas de escalonamento de privilégios do SO: detecta o comportamento comumente visto nas ferramentas de escalonamento de privilégios do Linux de código aberto.
Mecanismos de persistência: atividade usada por invasores para estabelecer e manter acesso persistente em hosts Linux.
Modificações de privilégios: atividade associada a tentativas e ações de autenticação privilegiadas, geralmente usadas para aumentar os privilégios ou persistir em hosts do Linux.
Sinais de malware: atividade binária LOTL suspeita: detecta cenários suspeitos de ferramentas nativas (Living Off the Land) com base na atividade observada de malware do Linux em ambientes reais.
Indicadores de malware: atividade de download suspeita: detecta comportamento observado em relação a atividades de download maliciosas no Linux em ambientes reais.
Indicadores de malware — execução suspeita: detecta sinais gerados por comportamentos observados de malware do Linux detectados em ambientes reais com foco nos comportamentos de execução (TA0002).

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria "Ameaças do Linux" foram testados e têm suporte com as seguintes fontes de dados compatíveis com as Operações de segurança do Google:

Sistema de auditoria do Linux (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis

Configurar dispositivos para gerar dados de registro corretos

Para que as regras na categoria "Ameaças do Linux" funcionem conforme projetado, os dispositivos precisam gerar dados de registro no formato esperado. Configure as seguintes regras de auditoria persistentes para o Linux Audit Daemon em cada dispositivo em que você coletará registros e enviará para as Operações de segurança do Google.

Para detalhes sobre como implementar regras de auditoria persistentes para o Daemon de auditoria do Linux, consulte a documentação específica do sistema operacional.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod


# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Ajustar alertas retornados pela categoria de ameaças do Linux

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regra, você define os critérios de um evento de UDM que exclui o evento de ser avaliado pelo conjunto de regras.

Crie uma ou mais exclusões de regras para identificar critérios em um evento de UDM que impeçam o evento de ser avaliado por esse conjunto de regras ou por regras específicas no conjunto de regras. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

Por exemplo, é possível excluir eventos com base nos seguintes campos do UDM:

principal.hostname
target.user.userid