Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della categoria Minacce Linux

Supportato in:

Google SecOps SIEM

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce Linux, le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi insiemi di regole.

I set di regole nella categoria Minacce Linux consentono di identificare le minacce negli ambienti Linux utilizzando CrowdStrike Falcon, Linux Auditing System (AuditD) e i log di sistema Unix. Questa categoria include i seguenti insiemi di regole:

Strumenti di escalation dei privilegi del sistema operativo: rileva il comportamento comunemente riscontrato negli strumenti di escalation dei privilegi di Linux open source.
Meccanismi di persistenza: attività utilizzate dagli avversari per stabilire e mantenere l'accesso persistente sugli host Linux.
Modifiche dei privilegi: attività associate a tentativi e azioni di autenticazione con privilegi, comunemente utilizzate per eseguire la riassegnazione dei privilegi o per eseguire la persistenza su host Linux.
Indicatori di malware - Attività binaria LOTL sospetta: rileva scenari di utilizzo sospetto di strumenti integrati (living off the land) in base all'attività osservata dei malware Linux in ambienti reali.
Indicatori di malware - Attività di download sospette: rileva il comportamento rilevato in relazione all'attività di download dannosa su Linux in ambienti reali.
Indicatori di malware - Esecuzione sospetta: rileva gli indicatori generati dai comportamenti osservati dei malware Linux rilevati in ambienti reali, con particolare attenzione ai comportamenti di esecuzione (TA0002).
Minacce in prima linea di Mandiant: questo insieme di regole contiene regole derivate dall'indagine e dalla risposta di Mandiant agli incidenti attivi in tutto il mondo. Queste regole riguardano le TTP più comuni, come l'esecuzione tramite interpreti di script (T1059), l'utilizzo di servizi web per il comando e il controllo (T1102) e l'utilizzo di attività pianificate per mantenere la persistenza (T1053).
Minacce emergenti di Mandiant Intel: questo insieme di regole contiene regole ricavate da campagne e eventi significativi di Mandiant Intelligence, che coprono attività di minacce e geopolitiche ad alto impatto, come valutato da Mandiant. Queste attività possono includere conflitti geopolitici, sfruttamento, phishing, malware pubblicitario, ransomware e compromissioni della catena di approvvigionamento.

Dispositivi e tipi di log supportati

Gli insiemi di regole nella categoria Minacce Linux sono stati testati e sono supportati con le seguenti origini dati supportate da Google Security Operations:

Linux Auditing System (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Configurare i dispositivi per generare dati dei log corretti

Affinché le regole della categoria Minacce Linux funzionino come progettate, i dispositivi devono generare i dati dei log nel formato previsto. Configura le seguenti regole di controllo permanenti per il daemon di controllo di Linux su ogni dispositivo in cui raccoglierai i log e li invierai a Google Security Operations.

Per informazioni dettagliate su come implementare regole di controllo permanenti per il daemon di controllo di Linux, consulta la documentazione specifica del sistema operativo.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Campi necessari per la categoria Minacce Linux

La sezione seguente descrive i dati specifici necessari per gli insiemi di regole nella categoria Minacce Linux per ottenere il massimo vantaggio. Assicurati che i dispositivi siano configurati per registrare i seguenti dati nei log degli eventi del dispositivo.

Set di dati	Campo UDM (dove vengono archiviati i dati)	Definizione
Percorso del processo principale	`principal.process.file.full_path`	Posizione sul disco del processo in esecuzione corrente, se disponibile.
Riga di comando del processo principale	`principal.process.command_line`	Parametri della riga di comando del processo, se disponibili.
Percorso del processo di destinazione	`target.process.file.full_path`	Posizione sul disco del processo di destinazione, se disponibile.
Riga di comando del processo target	`target.process.command_line`	Riga di comando
Dominio di query DNS di rete	`network.dns.questions.name`	Nome di dominio delle query DNS, se disponibile.

Avvisi di ottimizzazione restituiti dalla categoria Minacce Linux

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che ne impediscono la valutazione dall'insieme di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo insieme di regole o da regole specifiche nell'insieme di regole. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Ad esempio, potresti escludere gli eventi in base ai seguenti campi UDM:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.