Visão geral da categoria Ameaças do Linux
Este documento fornece uma visão geral dos conjuntos de regras no as fontes de dados necessárias e a configuração que pode ser usada para ajustar o alertas gerados por esses grupos de regras.
Os conjuntos de regras na categoria de ameaças do Linux ajudam a identificar ameaças no Linux ambientes usando o CrowdStrike Falcon, o Linux Auditing System (AuditD) e os registros de sistema Unix. Essa categoria inclui os seguintes grupos de regras:
- Ferramentas de escalonamento de privilégios do SO: detecta um comportamento comumente visto em as ferramentas de escalonamento de privilégios do Linux de origem.
- Mecanismos de persistência:atividade usada por adversários para estabelecer e manter o acesso persistente nos hosts do Linux.
- Modificações de privilégios: atividade associada a usuários com privilégios de autenticação, geralmente usadas para escalonar privilégios que persistem nos hosts do Linux.
- Indicadores de malware: atividade binária LOTL suspeita: detecta atividade suspeita de uso de ferramentas nativas (Living Off the Land) com base nos dados observados atividade de malware do Linux em ambientes reais.
- Indicadores de malware: atividade de download suspeita: detecta o comportamento observado em relação a atividades maliciosas de download no Linux em ambientes reais.
- Indicadores de malware: execução suspeita: detecta sinais gerados por comportamentos reais de malware do Linux detectados em ambientes reais com foco nos comportamentos de execução (TA0002).
Dispositivos e tipos de registro compatíveis
Os conjuntos de regras da categoria "Ameaças do Linux" foram testados e são compatíveis com as seguintes Operações de segurança do Google com suporte fontes de dados:
- Sistema de auditoria do Linux (
AUDITD) - Sistema Unix (
NIX_SYSTEM) - CrowdStrike Falcon (
CS_EDR)
Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis
Configurar dispositivos para gerar dados de registro corretos
Para que as regras da categoria "Ameaças do Linux" funcionem como planejado, os dispositivos precisam gerar dados de registro no formato esperado. Configure as seguintes regras de auditoria persistentes para o Linux Audit Daemon em cada dispositivo em que os registros serão coletados e enviados às Operações de segurança do Google.
Para detalhes sobre como implementar regras de auditoria persistentes para o Linux Audit Daemon, consulte a documentação específica do sistema operacional.
# Inserts the machine hostname into each log event
name_format = hostname
# Process creation (32 and 64-bit)
-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve
# Persistence: Cron
-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron
# Persistence: System Startup
-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init
# Persistence: Systemd Units and Generators
-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd
-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd
-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd
-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd
# Persistence: IAM
-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd
-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d
-w /usr/bin/passwd -p x -k iam_passwd
-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod
# Privilege Escalation
-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc
# Persistence: Libraries
-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod
# Persistence: PAM
-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa -k pam
# Persistence: SSH
-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig
# Persistence: Shell Configuration
-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig
# Injection
-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace
# Failed Access Attempts
-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err
# Network connections
-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6
Ajustar alertas retornados pela categoria de ameaças do Linux
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando o exclusões de regras.
Na exclusão de regra, você define os critérios de um evento de UDM que exclui as seja avaliado pelo grupo de regras.
Crie uma ou mais exclusões de regras para identificar os critérios em um evento de UDM que excluir o evento de ser avaliado por esse conjunto de regras ou por regras específicas no do grupo de regras. Consulte Configurar exclusões de regras para saber como fazer isso.
Por exemplo, é possível excluir eventos com base nos seguintes campos do UDM:
principal.hostnametarget.user.userid