Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan kategori Ancaman Linux

Didukung di:

Google secops SIEM

Dokumen ini memberikan ringkasan set aturan dalam kategori Ancaman Linux, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh set aturan ini.

Kumpulan aturan dalam kategori Ancaman Linux membantu mengidentifikasi ancaman di lingkungan Linux menggunakan CrowdStrike Falcon, Sistem Audit Linux (AuditD), dan log sistem Unix. Kategori ini mencakup set aturan berikut:

Alat Eskalasi Akses OS: Mendeteksi perilaku yang umumnya terlihat di alat eskalasi akses Linux open source.
Mekanisme Persistensi: Aktivitas yang digunakan oleh musuh untuk membuat dan mempertahankan akses persisten di host Linux.
Modifikasi Hak Istimewa: Aktivitas yang terkait dengan upaya dan tindakan autentikasi istimewa, yang biasanya digunakan untuk eskalasi hak istimewa atau tetap ada di host Linux.
Sinyal Malware - Aktivitas Biner LOTL Mencurigakan: Mendeteksi skenario penggunaan alat bawaan yang mencurigakan (Living Off the Land) berdasarkan aktivitas malware Linux yang diamati di lingkungan dunia nyata.
Sinyal Malware - Aktivitas Download Mencurigakan: Mendeteksi perilaku yang terlihat terkait dengan aktivitas download berbahaya di Linux dalam lingkungan dunia nyata.
Sinyal Malware - Eksekusi Mencurigakan: Mendeteksi sinyal yang dihasilkan dari perilaku malware Linux yang teramati dan terdeteksi di lingkungan dunia nyata dengan fokus pada perilaku Eksekusi (TA0002).
Ancaman Garis Depan Mandiant - Kumpulan aturan ini berisi aturan yang berasal dari investigasi dan respons Mandiant terhadap insiden aktif di seluruh dunia. Aturan ini mencakup TTP yang sering terlihat seperti eksekusi menggunakan interpreter skrip (T1059), penggunaan layanan web untuk command and control (T1102), dan penggunaan tugas terjadwal untuk mempertahankan persistensi (T1053).
Mandiant Intel Emerging Threats - Kumpulan aturan ini berisi aturan yang berasal dari Kampanye Intelijen dan Peristiwa Penting Mandiant, yang mencakup aktivitas geopolitik dan ancaman yang sangat berdampak, sebagaimana dinilai oleh Mandiant. Aktivitas ini dapat mencakup konflik geopolitik, eksploitasi, phishing, malvertising, ransomware, dan kompromi supply chain.

Perangkat dan jenis log yang didukung

Set aturan dalam kategori Ancaman Linux telah diuji dan didukung dengan sumber data berikut yang didukung Google Security Operations:

Sistem Audit Linux (AUDITD)
Sistem Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Mengonfigurasi perangkat untuk membuat data log yang benar

Agar aturan dalam kategori Ancaman Linux berfungsi seperti yang dirancang, perangkat harus membuat data log dalam format yang diharapkan. Konfigurasi aturan audit persisten berikut untuk Daemon Audit Linux di setiap perangkat tempat Anda akan mengumpulkan log dan mengirimkannya ke SecOps Google.

Untuk mengetahui detail cara menerapkan aturan audit persisten untuk Linux Audit Daemon, lihat dokumentasi khusus sistem operasi.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Kolom yang diperlukan oleh kategori Ancaman Linux

Bagian berikut menjelaskan data spesifik yang diperlukan oleh set aturan dalam kategori Ancaman Linux untuk mendapatkan manfaat terbesar. Pastikan perangkat Anda dikonfigurasi untuk merekam data berikut ke log peristiwa perangkat.

Set data	Kolom UDM (tempat data disimpan)	Definisi
Jalur Proses Utama	`principal.process.file.full_path`	Lokasi di disk dari proses yang sedang berjalan, jika tersedia.
Command Line Proses Utama	`principal.process.command_line`	Parameter command line proses, jika tersedia.
Jalur Proses Target	`target.process.file.full_path`	Lokasi proses target di disk, jika tersedia.
Command Line Target Proses	`target.process.command_line`	Command line
Domain Kueri DNS Jaringan	`network.dns.questions.name`	Nama domain kueri DNS, jika tersedia.

Menyesuaikan pemberitahuan yang ditampilkan oleh kategori Ancaman Linux

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan.

Dalam pengecualian aturan, Anda menentukan kriteria peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh set aturan.

Buat satu atau beberapa pengecualian aturan untuk mengidentifikasi kriteria dalam peristiwa UDM yang mengecualikan peristiwa agar tidak dievaluasi oleh set aturan ini atau oleh aturan tertentu dalam set aturan. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom UDM berikut:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.