Visão geral da categoria "Ameaças do Linux"

Neste documento, você encontra uma visão geral dos conjuntos de regras na categoria "Ameaças do Linux", das fontes de dados necessárias e da configuração usada para ajustar os alertas gerados por eles.

Os conjuntos de regras na categoria "Ameaças do Linux" ajudam a identificar ameaças em ambientes Linux usando o CrowdStrike Falcon, o Linux Auditing System (AuditD) e os registros do sistema Unix. Essa categoria inclui os seguintes grupos de regras:

  • Ferramentas de escalonamento de privilégios do SO: detectam comportamentos comumente vistos nas ferramentas de escalonamento de privilégios do Linux de código aberto.
  • Mecanismos de persistência: atividade usada por adversários para estabelecer e manter o acesso persistente em hosts do Linux.
  • Modificações de privilégios: atividade associada a tentativas e ações de autenticação privilegiada, normalmente usada para transferir privilégios ou persistir em hosts do Linux.
  • Sinais de malware: atividade binária suspeita LOTL: detecta cenários suspeitos de uso de ferramentas nativas (Living Off the Land) com base na atividade observada de malware Linux em ambientes reais.
  • Sinais de malware: atividade de download suspeita: detecta o comportamento observado em relação a atividades de download maliciosas no Linux em ambientes reais.
  • Sinais de malware: execução suspeita: detecta sinais gerados a partir de comportamentos observados de malware Linux detectados em ambientes reais, com foco nos comportamentos de execução (TA0002).

Dispositivos e tipos de registro compatíveis

Os conjuntos de regras na categoria "Ameaças do Linux" foram testados e têm suporte às seguintes fontes de dados com suporte do Chronicle:

  • Sistema de auditoria do Linux (AUDITD)
  • Sistema Unix (NIX_SYSTEM)
  • CrowdStrike Falcon (CS_EDR)

Para conferir uma lista de todas as fontes de dados compatíveis com o Chronicle, consulte analisadores padrão compatíveis.

Configurar os dispositivos para gerar dados de registro corretos

Para que as regras na categoria "Ameaças do Linux" funcionem como planejado, os dispositivos precisam gerar dados de registro no formato esperado. Configure as seguintes regras de auditoria persistentes para o Linux Audit Daemon em cada dispositivo em que você coletará registros e os enviará ao Chronicle.

Para detalhes sobre como implementar regras de auditoria persistentes para o Linux Audit Daemon, consulte a documentação específica do sistema operacional.

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Ajustar alertas retornados pela categoria de ameaças do Linux

É possível reduzir o número de detecções geradas por uma regra ou um grupo de regras usando exclusões de regras.

Na exclusão da regra, você define os critérios de um evento de UDM que exclui o evento de ser avaliado pelo conjunto de regras.

Crie uma ou mais exclusões de regras para identificar critérios em um evento de UDM que impeçam a avaliação do evento por esse grupo de regras ou por regras específicas no grupo. Consulte Configurar exclusões de regras para saber como fazer isso.

Por exemplo, você pode excluir eventos com base nos seguintes campos de UDM:

  • principal.hostname
  • target.user.userid