Panoramica della categoria Minacce Linux

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce Linux, le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi insiemi di regole.

I set di regole nella categoria Minacce Linux consentono di identificare le minacce negli ambienti Linux utilizzando CrowdStrike Falcon, il sistema di controllo Linux (AuditD) e i log di sistema Unix. Questa categoria include i seguenti insiemi di regole:

  • Strumenti di escalation dei privilegi del sistema operativo: rileva il comportamento comunemente riscontrato negli strumenti di escalation dei privilegi di Linux open source.
  • Meccanismi di persistenza: attività utilizzate dagli avversari per stabilire e mantenere l'accesso persistente sugli host Linux.
  • Modifiche dei privilegi: attività associate a tentativi e azioni di autenticazione con privilegi, comunemente utilizzate per eseguire la riassegnazione dei privilegi o per eseguire la persistenza su host Linux.
  • Indicatori di malware - Attività binaria LOTL sospetta: rileva scenari di utilizzo sospetto di strumenti nativi (Living Off The Land) in base all'attività osservata dei malware Linux in ambienti reali.
  • Indicatori di malware - Attività di download sospette: rileva il comportamento rilevato in relazione all'attività di download dannosa su Linux in ambienti reali.
  • Indicatori di malware - Esecuzione sospetta: rileva gli indicatori generati dai comportamenti osservati dei malware Linux rilevati in ambienti reali, con particolare attenzione ai comportamenti di esecuzione (TA0002).

Dispositivi e tipi di log supportati

Gli insiemi di regole nella categoria Minacce Linux sono stati testati e sono supportati con le seguenti origini dati supportate da Google Security Operations:

  • Linux Auditing System (AUDITD)
  • Sistema Unix (NIX_SYSTEM)
  • CrowdStrike Falcon (CS_EDR)

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati

Configurare i dispositivi in modo da generare dati log corretti

Affinché le regole della categoria Minacce Linux funzionino come progettate, i dispositivi devono generare i dati dei log nel formato previsto. Configura le seguenti regole di controllo permanenti per il daemon di controllo di Linux su ogni dispositivo in cui raccoglierai i log e li invierai a Google Security Operations.

Per informazioni dettagliate su come implementare regole di controllo permanenti per il daemon di controllo di Linux, consulta la documentazione specifica del sistema operativo.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod


# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Avvisi di ottimizzazione restituiti dalla categoria Minacce Linux

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che ne impediscono la valutazione dall'insieme di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo insieme di regole o da regole specifiche nell'insieme di regole. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Ad esempio, puoi escludere gli eventi in base ai seguenti campi UDM:

  • principal.hostname
  • target.user.userid