Ringkasan kategori Ancaman Linux

Dokumen ini memberikan ringkasan tentang kumpulan aturan dalam kategori Ancaman Linux, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh kumpulan aturan ini.

Kumpulan aturan dalam kategori Ancaman Linux membantu mengidentifikasi ancaman di lingkungan Linux menggunakan log sistem CrowdStrike Falcon, Sistem Audit Linux (AuditD), dan Unix. Kategori ini mencakup kumpulan aturan berikut:

  • Alat Eskalasi Hak Istimewa OS: Mendeteksi perilaku yang sering terlihat di alat eskalasi hak istimewa Linux open source.
  • Mekanisme Persistensi: Aktivitas yang digunakan oleh penyerang untuk membangun dan mempertahankan akses persisten di host Linux.
  • Modifikasi Hak Istimewa: Aktivitas yang terkait dengan upaya dan tindakan autentikasi dengan hak istimewa, biasanya digunakan untuk mengeskalasikan atau mempertahankan hak istimewa di host Linux.
  • Sinyal Malware - Aktivitas Biner LOTL yang Mencurigakan: Mendeteksi skenario penggunaan alat native yang mencurigakan (Living Off the Land) berdasarkan aktivitas malware Linux yang diamati di lingkungan dunia nyata.
  • Sinyal Malware - Aktivitas Download Mencurigakan: Mendeteksi perilaku yang terlihat terkait dengan aktivitas download berbahaya di Linux dalam lingkungan dunia nyata.
  • Sinyal Malware - Eksekusi Mencurigakan: Mendeteksi sinyal yang dihasilkan dari perilaku malware Linux yang terdeteksi di lingkungan nyata dengan fokus pada perilaku Eksekusi (TA0002).

Perangkat dan jenis log yang didukung

Kumpulan aturan dalam kategori Ancaman Linux telah diuji dan didukung dengan sumber data yang didukung Chronicle berikut:

  • Sistem Audit Linux (AUDITD)
  • Sistem Unix (NIX_SYSTEM)
  • CrowdStrike Falcon (CS_EDR)

Untuk mengetahui daftar semua sumber data yang didukung Chronicle, lihat Parser default yang didukung

Mengonfigurasi perangkat untuk menghasilkan data log yang benar

Agar aturan dalam kategori Ancaman Linux berfungsi seperti yang dirancang, perangkat harus menghasilkan data log dalam format yang diharapkan. Konfigurasikan aturan audit persisten berikut untuk Linux Audit Daemon di setiap perangkat tempat Anda akan mengumpulkan log dan dikirim ke Chronicle.

Guna mengetahui detail cara mengimplementasikan aturan audit persisten untuk Linux Audit Daemon, lihat dokumentasi khusus untuk sistem operasi.

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Ancaman Linux

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh suatu aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, Anda menentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan.

Buat satu atau beberapa pengecualian aturan untuk mengidentifikasi kriteria dalam peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan ini atau aturan tertentu dalam kumpulan aturan. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom UDM berikut:

  • principal.hostname
  • target.user.userid