Übersicht über die Kategorie „Linux-Bedrohungen“

Unterstützt in:

Dieses Dokument enthält einen Überblick über die Regelsätze in der Kategorie „Linux-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Mit Regelsätzen in der Kategorie „Linux-Bedrohungen“ können Sie Bedrohungen in Linux-Umgebungen mit CrowdStrike Falcon, dem Linux Auditing System (AuditD) und Unix-Systemprotokollen erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

  • Tools zur Rechteausweitung des Betriebssystems: Hiermit werden Verhaltensweisen erkannt, die häufig bei Open-Source-Tools zur Rechteausweitung unter Linux auftreten.
  • Persistenzmechanismen: Aktivitäten, mit denen Angreifer dauerhaften Zugriff auf Linux-Hosts herstellen und aufrechterhalten.
  • Berechtigungsänderungen: Aktivität, die mit Authentifizierungsversuchen und Aktionen mit erhöhten Berechtigungen verbunden ist, die häufig zur Eskalierung von Berechtigungen oder zur dauerhaften Speicherung auf Linux-Hosts verwendet werden.
  • Malware-Signale – Verdächtige LOTL-Binäraktivitäten: Hier werden verdächtige Szenarien zur Verwendung von integrierten Tools (Living Off the Land) erkannt, die auf der beobachteten Aktivität von Linux-Malware in realen Umgebungen basieren.
  • Malware-Signale – Verdächtige Downloadaktivitäten: Hiermit werden Verhaltensweisen erkannt, die in Verbindung mit schädlichen Downloadaktivitäten unter Linux in realen Umgebungen beobachtet wurden.
  • Malware-Signale – Verdächtige Ausführung: Erkennt Signale, die durch beobachtete Verhaltensweisen von Linux-Malware in realen Umgebungen generiert wurden, mit Schwerpunkt auf Ausführungsverhalten (TA0002).
  • Mandiant Front-Line Threats: Dieser Regelsatz enthält Regeln, die aus den Untersuchungen und Reaktionen von Mandiant auf aktive Vorfälle auf der ganzen Welt abgeleitet wurden. Diese Regeln decken häufig verwendete TTPs ab, z. B. die Ausführung mithilfe von Script-Interpretern (T1059), die Verwendung von Webdiensten für die Befehls- und Kontrollfunktion (T1102) und die Verwendung von geplanten Aufgaben zur Aufrechterhaltung der Persistenz (T1053).
  • Mandiant Intel Emerging Threats: Dieser Regelsatz enthält Regeln, die aus Mandiant Intelligence-Kampagnen und wichtigen Ereignissen abgeleitet wurden. Sie decken geopolitische und Bedrohungsaktivitäten mit hoher Auswirkung ab, die von Mandiant bewertet wurden. Dazu gehören geopolitische Konflikte, Ausbeutung, Phishing, Malvertising, Ransomware und Manipulationen der Lieferkette.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Linux-Bedrohungen“ wurden getestet und werden von den folgenden Datenquellen von Google Security Operations unterstützt:

  • Linux Auditing System (AUDITD)
  • Unix-System (NIX_SYSTEM)
  • CrowdStrike Falcon (CS_EDR)

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Geräte so konfigurieren, dass korrekte Protokolldaten generiert werden

Damit die Regeln in der Kategorie „Linux-Bedrohungen“ wie vorgesehen funktionieren, müssen Geräte Protokolldaten im erwarteten Format generieren. Konfigurieren Sie die folgenden dauerhaften Prüfregeln für den Linux Audit Daemon auf jedem Gerät, auf dem Sie Protokolle erfassen und an Google Security Operations senden.

Ausführliche Informationen zum Implementieren persistenter Prüfregeln für den Linux Audit Daemon finden Sie in der betriebssystemspezifischen Dokumentation.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Für die Kategorie „Linux-Bedrohungen“ erforderliche Felder

Im folgenden Abschnitt werden bestimmte Daten beschrieben, die für Regelsätze in der Kategorie „Linux-Bedrohungen“ erforderlich sind, um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokollen aufgezeichnet werden.

Dataset

UDM-Feld (Speicherort der Daten)

Definition

Hauptprozesspfad

principal.process.file.full_path

Speicherort des aktuell laufenden Prozesses auf dem Laufwerk, sofern verfügbar.

Befehlszeile für Hauptprozess

principal.process.command_line

Befehlszeilenparameter des Prozesses, falls verfügbar.

Zielprozesspfad

target.process.file.full_path

Speicherort des Zielprozesses auf dem Laufwerk, falls verfügbar.

Befehlszeile für Zielprozess

target.process.command_line

Befehlszeile

DNS-Abfragedomain des Netzwerks

network.dns.questions.name

Domainname von DNS-Abfragen, sofern verfügbar.

Optimierungswarnungen, die von der Kategorie „Linux-Bedrohungen“ zurückgegeben werden

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Im Regelausschluss definieren Sie die Kriterien eines UDM-Ereignisses, das vom Regelsatz ausgeschlossen werden soll.

Erstellen Sie eine oder mehrere Regelausschlüsse, um Kriterien in einem UDM-Ereignis anzugeben, die verhindern, dass das Ereignis von diesem Regelsatz oder von bestimmten Regeln in diesem Regelsatz ausgewertet wird. Weitere Informationen dazu finden Sie unter Ausschlüsse für Regeln konfigurieren.

Sie können beispielsweise Ereignisse basierend auf den folgenden UDM-Feldern ausschließen:

  • principal.hostname
  • target.user.userid
  • principal.process.command_line
  • target.domain.name
  • target.process.command_line