Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Kategorie „Linux-Bedrohungen“

Unterstützt in:

Google SecOps SIEM

In diesem Dokument finden Sie einen Überblick über die Regelsätze in der Kategorie „Linux-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Mit Regelsätzen in der Kategorie „Linux-Bedrohungen“ können Sie mithilfe von CrowdStrike Falcon, dem Linux Auditing System (AuditD) und Unix-Systemprotokollen Bedrohungen in Linux-Umgebungen erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

Tools zur Rechteausweitung des Betriebssystems: Hiermit werden Verhaltensweisen erkannt, die häufig bei Open-Source-Tools zur Rechteausweitung unter Linux auftreten.
Persistenzmechanismen: Aktivitäten, mit denen Angreifer dauerhaften Zugriff auf Linux-Hosts herstellen und aufrechterhalten.
Berechtigungsänderungen: Aktivität, die mit Authentifizierungsversuchen und Aktionen mit erhöhten Berechtigungen verbunden ist, die häufig zur Eskalierung von Berechtigungen oder zur dauerhaften Speicherung auf Linux-Hosts verwendet werden.
Malware-Signale – Verdächtige LOTL-Binäraktivitäten: Hier werden verdächtige Szenarien zur Verwendung von integrierten Tools (Living Off the Land) erkannt, die auf der beobachteten Aktivität von Linux-Malware in realen Umgebungen basieren.
Malware-Signale – Verdächtige Downloadaktivitäten: Hiermit werden Verhaltensweisen erkannt, die in Verbindung mit schädlichen Downloadaktivitäten unter Linux in realen Umgebungen beobachtet wurden.
Malware-Signale – Verdächtige Ausführung: Erkennt Signale, die aus beobachteten Verhaltensweisen von Linux-Malware stammen, die in realen Umgebungen erkannt wurden, mit Schwerpunkt auf Ausführungsverhalten (TA0002).
Mandiant Front-Line Threats: Dieser Regelsatz enthält Regeln, die aus den Untersuchungen und Reaktionen von Mandiant auf aktive Vorfälle auf der ganzen Welt abgeleitet wurden. Diese Regeln decken häufig verwendete TTPs ab, z. B. die Ausführung mit Script-Interpretern (T1059), die Verwendung von Webdiensten für Befehl und Kontrolle (T1102) und die Verwendung geplanter Aufgaben zur Aufrechterhaltung der Persistenz (T1053).
Mandiant Intel Emerging Threats: Dieser Regelsatz enthält Regeln, die aus Mandiant Intelligence-Kampagnen und wichtigen Ereignissen abgeleitet wurden. Sie decken geopolitische und Bedrohungsaktivitäten mit hoher Auswirkung ab, die von Mandiant bewertet wurden. Dazu gehören geopolitische Konflikte, Ausbeutung, Phishing, Malvertising, Ransomware und Manipulationen der Lieferkette.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Linux-Bedrohungen“ wurden getestet und werden von den folgenden Datenquellen von Google Security Operations unterstützt:

Linux Auditing System (AUDITD)
Unix-System (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Geräte so konfigurieren, dass korrekte Protokolldaten generiert werden

Damit die Regeln in der Kategorie „Linux-Bedrohungen“ wie vorgesehen funktionieren, müssen Geräte Protokolldaten im erwarteten Format generieren. Konfigurieren Sie die folgenden dauerhaften Prüfregeln für den Linux Audit Daemon auf jedem Gerät, auf dem Sie Protokolle erfassen und an Google Security Operations senden.

Ausführliche Informationen zum Implementieren persistenter Prüfregeln für den Linux Audit Daemon finden Sie in der betriebssystemspezifischen Dokumentation.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Für die Kategorie „Linux-Bedrohungen“ erforderliche Felder

Im folgenden Abschnitt werden bestimmte Daten beschrieben, die für Regelsätze in der Kategorie „Linux-Bedrohungen“ erforderlich sind, um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokollen aufgezeichnet werden.

Dataset	UDM-Feld (Speicherort der Daten)	Definition
Hauptprozesspfad	`principal.process.file.full_path`	Speicherort des aktuell laufenden Prozesses auf dem Laufwerk, sofern verfügbar.
Befehlszeile für Hauptprozess	`principal.process.command_line`	Befehlszeilenparameter des Prozesses, falls verfügbar.
Zielprozesspfad	`target.process.file.full_path`	Speicherort des Zielprozesses auf dem Laufwerk, falls verfügbar.
Befehlszeile für Zielprozess	`target.process.command_line`	Befehlszeile
DNS-Abfragedomain des Netzwerks	`network.dns.questions.name`	Domainname von DNS-Abfragen, sofern verfügbar.

Optimierungswarnungen, die von der Kategorie „Linux-Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Im Regelausschluss definieren Sie die Kriterien eines UDM-Ereignisses, das vom Regelsatz ausgeschlossen werden soll.

Erstellen Sie eine oder mehrere Regelausschlüsse, um Kriterien in einem UDM-Ereignis anzugeben, die verhindern, dass das Ereignis von diesem Regelsatz oder von bestimmten Regeln in diesem Regelsatz ausgewertet wird. Weitere Informationen dazu finden Sie unter Ausschlüsse für Regeln konfigurieren.

Sie können beispielsweise Ereignisse basierend auf den folgenden UDM-Feldern ausschließen:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten