Cette page a été traduite par l'API Cloud Translation.

Présentation de la catégorie "Menaces Linux"

Compatible avec :

Google SecOps SIEM

Ce document présente les ensembles de règles de la catégorie "Menaces Linux", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par ces ensembles de règles.

Les ensembles de règles de la catégorie "Menaces Linux" permettent d'identifier les menaces dans les environnements Linux à l'aide de CrowdStrike Falcon, du système d'audit Linux (AuditD) et des journaux système Unix. Cette catégorie comprend les ensembles de règles suivants :

Outils d'élévation des privilèges de l'OS : détecte les comportements couramment observés dans les outils d'élévation des privilèges Linux Open Source.
Mécanismes de persistance : activité utilisée par les pirates informatiques pour établir et maintenir un accès persistant sur les hôtes Linux.
Modifications des privilèges : activité associée aux tentatives et actions d'authentification privilégiées, couramment utilisées pour élever les privilèges ou persister sur les hôtes Linux.
Signaux de logiciel malveillant : activité binaire LOTL suspecte : détecte les scénarios d'utilisation d'outils intégrés suspects (Living Off the Land) en fonction de l'activité observée des logiciels malveillants Linux dans des environnements réels.
Signaux de logiciel malveillant : activité de téléchargement suspecte : détecte les comportements observés en lien avec une activité de téléchargement malveillante sur Linux dans des environnements réels.
Signaux de logiciels malveillants : exécution suspecte : détecte les signaux générés à partir des comportements observés des logiciels malveillants Linux détectés dans des environnements réels, en se concentrant sur les comportements d'exécution (TA0002).
Menaces de première ligne Mandiant : cet ensemble de règles contient des règles dérivées des enquêtes et des réponses de Mandiant aux incidents actifs dans le monde entier. Ces règles couvrent les TTP couramment observés, tels que l'exécution à l'aide d'interprètes de script (T1059), l'utilisation de services Web pour le contrôle et la commande (T1102) et l'utilisation de tâches planifiées pour maintenir la persistance (T1053).
Menaces émergentes Mandiant Intel : cet ensemble de règles contient des règles dérivées des campagnes et des événements importants de Mandiant Intelligence, qui couvrent les activités géopolitiques et les menaces à fort impact, telles qu'évaluées par Mandiant. Cette activité peut inclure des conflits géopolitiques, de l'exploitation, de l'hameçonnage, du malvertising, des rançongiciels et des compromissions de la chaîne d'approvisionnement.

Appareils et types de journaux compatibles

Les ensembles de règles de la catégorie "Menaces Linux" ont été testés et sont compatibles avec les sources de données Google Security Operations suivantes :

Système d'audit Linux (AUDITD)
Système Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Configurer les appareils pour générer des données de journaux correctes

Pour que les règles de la catégorie "Menaces Linux" fonctionnent comme prévu, les appareils doivent générer des données de journaux au format attendu. Configurez les règles d'audit persistantes suivantes pour le daemon d'audit Linux sur chaque appareil sur lequel vous collecterez des journaux et les enverrez à Google SecOps.

Pour savoir comment implémenter des règles d'audit persistantes pour le démon d'audit Linux, consultez la documentation spécifique au système d'exploitation.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Champs nécessaires pour la catégorie "Menaces Linux"

La section suivante décrit les données spécifiques dont les ensembles de règles de la catégorie "Menaces Linux" ont besoin pour être les plus efficaces possible. Assurez-vous que vos appareils sont configurés pour enregistrer les données suivantes dans les journaux d'événements des appareils.

Ensemble de données	Champ UDM (emplacement de stockage des données)	Définition
Chemin de traitement principal	`principal.process.file.full_path`	Emplacement sur le disque du processus en cours d'exécution, le cas échéant.
Ligne de commande du processus principal	`principal.process.command_line`	Paramètres de ligne de commande du processus, le cas échéant.
Chemin du processus cible	`target.process.file.full_path`	Emplacement sur le disque du processus cible, le cas échéant.
Ligne de commande Target Process	`target.process.command_line`	Ligne de commande
Domaine de requête DNS du réseau	`network.dns.questions.name`	Nom de domaine des requêtes DNS, le cas échéant.

Ajuster les alertes renvoyées par la catégorie "Menaces Linux"

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide des exclusions de règles.

Dans l'exclusion de règle, vous définissez les critères d'un événement UDM qui empêchent l'ensemble de règles d'évaluer l'événement.

Créez une ou plusieurs exclusions de règles pour identifier les critères d'un événement UDM qui empêchent l'évaluation de l'événement par cet ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Pour en savoir plus, consultez Configurer des exclusions de règles.

Par exemple, vous pouvez exclure des événements en fonction des champs UDM suivants :

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.