Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Kategorie „Linux-Bedrohungen“

Unterstützt in:

Google SecOps SIEM

In diesem Dokument finden Sie eine Übersicht über die Regelsätze in der Kategorie „Linux Threats“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von diesen Regelsätzen generierten Benachrichtigungen optimieren können.

Regelsätze in der Kategorie „Linux Threats“ (Linux-Bedrohungen) helfen dabei, Bedrohungen in Linux-Umgebungen mithilfe von CrowdStrike Falcon, dem Linux Auditing System (AuditD) und Unix-Systemlogs zu erkennen. Diese Kategorie umfasst die folgenden Regelsätze:

Tools zur Rechteausweitung im Betriebssystem: Erkennt Verhaltensweisen, die häufig in Open-Source-Tools zur Rechteausweitung unter Linux zu beobachten sind.
Persistenzmechanismen:Aktivitäten, die von Angreifern verwendet werden, um dauerhaften Zugriff auf Linux-Hosts zu erhalten und aufrechtzuerhalten.
Änderungen an Berechtigungen: Aktivitäten im Zusammenhang mit privilegierten Authentifizierungsversuchen und Aktionen, die häufig verwendet werden, um Berechtigungen zu eskalieren oder auf Linux-Hosts zu bleiben.
Malware Signals – Suspicious LOTL Binary Activity: Erkennt verdächtige Szenarien für die Verwendung integrierter Tools („Living Off the Land“) basierend auf der beobachteten Aktivität von Linux-Malware in realen Umgebungen.
Malware-Signale – Verdächtige Downloadaktivitäten: Erkennt Verhaltensweisen, die in realen Umgebungen im Zusammenhang mit schädlichen Downloadaktivitäten unter Linux beobachtet werden.
Malware-Signale – Verdächtige Ausführung: Erkennt Signale, die aus beobachteten Verhaltensweisen von Linux-Malware generiert werden, die in realen Umgebungen erkannt wurde, mit Schwerpunkt auf Ausführungsverhalten (TA0002).
Mandiant Front-Line Threats: Dieses Regelset enthält Regeln, die aus den Untersuchungen und Reaktionen von Mandiant auf aktive Vorfälle weltweit abgeleitet wurden. Diese Regeln decken häufig verwendete TTPs ab, z. B. die Ausführung mit Scripting-Interpretern (T1059), die Verwendung von Webdiensten für Command-and-Control (T1102) und die Verwendung geplanter Aufgaben, um die Persistenz aufrechtzuerhalten (T1053).
Mandiant Intel Emerging Threats: Dieser Regelsatz enthält Regeln, die aus Mandiant Intelligence Campaigns und Significant Events abgeleitet wurden. Er deckt hochwirksame geopolitische und Bedrohungsaktivitäten ab, die von Mandiant bewertet wurden. Diese Aktivitäten können geopolitische Konflikte, Ausnutzung, Phishing, Malvertising, Ransomware und Kompromittierungen der Lieferkette umfassen.

Unterstützte Geräte und Protokolltypen

Regelsätze in der Kategorie „Linux Threats“ wurden getestet und werden mit den folgenden von Google Security Operations unterstützten Datenquellen unterstützt:

Linux Auditing System (AUDITD)
Unix-System (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Geräte so konfigurieren, dass korrekte Logdaten generiert werden

Damit die Regeln in der Kategorie „Linux Threats“ wie vorgesehen funktionieren, müssen Geräte Protokolldaten im erwarteten Format generieren. Konfigurieren Sie die folgenden persistenten Audit-Regeln für den Linux Audit Daemon auf jedem Gerät, auf dem Sie Logs erfassen und an Google SecOps senden.

Informationen zum Implementieren von persistenten Audit-Regeln für den Linux Audit Daemon finden Sie in der Dokumentation für das jeweilige Betriebssystem.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Felder, die für die Kategorie „Linux-Bedrohungen“ erforderlich sind

Im folgenden Abschnitt werden spezifische Daten beschrieben, die von Regelsätzen in der Kategorie „Linux Threats“ benötigt werden, um den größtmöglichen Nutzen zu erzielen. Achten Sie darauf, dass Ihre Geräte so konfiguriert sind, dass die folgenden Daten in Geräteereignisprotokolle aufgezeichnet werden.

Dataset	UDM-Feld (Speicherort der Daten)	Definition
Hauptprozesspfad	`principal.process.file.full_path`	Speicherort des aktuell ausgeführten Prozesses auf der Festplatte, falls verfügbar.
Befehlszeile für Hauptprozess	`principal.process.command_line`	Befehlszeilenparameter des Prozesses, sofern verfügbar.
Zielprozesspfad	`target.process.file.full_path`	Speicherort des Zielprozesses auf der Festplatte, falls verfügbar.
Befehlszeile für Zielprozess	`target.process.command_line`	Befehlszeile
Netzwerk-DNS-Abfragedomain	`network.dns.questions.name`	Domainname von DNS-Abfragen, sofern verfügbar.

Benachrichtigungen der Kategorie „Linux-Bedrohungen“ optimieren

Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Im Regelausschluss definieren Sie die Kriterien eines UDM-Ereignisses, das verhindert, dass das Ereignis vom Regelsatz ausgewertet wird.

Erstellen Sie einen oder mehrere Regelausschlüsse, um Kriterien in einem UDM-Ereignis zu identifizieren, die verhindern, dass das Ereignis von diesem Regelsatz oder von bestimmten Regeln im Regelsatz ausgewertet wird. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Sie können beispielsweise Ereignisse basierend auf den folgenden UDM-Feldern ausschließen:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten