Présentation de la catégorie "Linux Threats" (Menaces Linux)

Compatible avec :

Ce document présente les ensembles de règles de la catégorie "Menaces Linux", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Les ensembles de règles de la catégorie "Menaces Linux" permettent d'identifier les menaces sous Linux à l'aide des journaux CrowdStrike Falcon, Linux Auditing System (AuditD) et Unix. Cette catégorie comprend les jeux de règles suivants:

  • Outils d'élévation des privilèges du système d'exploitation: détecte les comportements couramment observés dans les environnements ouverts. les outils d'élévation des privilèges Linux sources.
  • Mécanismes de persistance : activité utilisée par les pirates informatiques pour établir et maintenir un accès persistant sur les hôtes Linux.
  • Modifications des droits d'accès : activité associée aux tentatives et actions d'authentification privilégiées, couramment utilisées pour élever les droits d'accès ou persister sur les hôtes Linux.
  • Signaux de logiciels malveillants : activité binaire LOTL suspecte : détecte les scénarios d'utilisation suspecte d'outils natifs (Living Off The Land) en fonction de l'activité observée des logiciels malveillants Linux dans des environnements réels.
  • Signaux liés aux logiciels malveillants – Activité de téléchargement suspecte: détecte les comportements détectés. par rapport à l’activité de téléchargement malveillant sous Linux dans des environnements réels.
  • Signaux de logiciel malveillant - Exécution suspecte : détecte les signaux générés à partir des comportements observés des logiciels malveillants Linux détectés dans des environnements réels, en particulier les comportements d'exécution (TA0002).

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Linux" ont été testés et sont compatibles avec Google Security Operations compatible sources de données:

  • Linux Auditing System (AUDITD)
  • Système Unix (NIX_SYSTEM)
  • CrowdStrike Falcon (CS_EDR)

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Configurer les appareils pour générer les données de journalisation appropriées

Pour que les règles de la catégorie "Menaces Linux" fonctionnent comme prévu, les appareils générer des données de journal au format attendu. Configurez les règles d'audit persistantes suivantes pour le daemon d'audit Linux sur chaque appareil où vous allez collecter les journaux et les envoyer à Google Security Operations.

Pour savoir comment implémenter des règles d'audit persistantes pour le daemon d'audit Linux, consultez la documentation spécifique au système d’exploitation.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod


# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Réglage des alertes renvoyées par la catégorie "Menaces Linux"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Dans l'exclusion de règle, vous définissez les critères d'un événement UDM qui empêche l'événement d'être évalué par l'ensemble de règles.

Créez une ou plusieurs exclusions de règles pour identifier les critères d'un événement UDM qui : exclure l'événement d'être évalué par cet ensemble de règles ou par des règles spécifiques dans le jeu de règles. Pour en savoir plus, consultez la section Configurer des exclusions de règles.

Par exemple, vous pouvez exclure des événements en fonction des champs UDM suivants :

  • principal.hostname
  • target.user.userid