Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della categoria Minacce Linux

Supportato in:

Google secops SIEM

Questo documento fornisce una panoramica dei set di regole nella categoria Minacce Linux, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi set di regole.

I set di regole nella categoria Minacce Linux aiutano a identificare le minacce negli ambienti Linux utilizzando CrowdStrike Falcon, Linux Auditing System (AuditD) e i log di sistema Unix. Questa categoria include i seguenti insiemi di regole:

Strumenti di escalation dei privilegi del sistema operativo: rileva il comportamento comunemente osservato negli strumenti di escalation dei privilegi Linux open source.
Meccanismi di persistenza: attività utilizzata dagli avversari per stabilire e mantenere l'accesso persistente sugli host Linux.
Modifiche dei privilegi: attività associata a tentativi di autenticazione e azioni privilegiate, comunemente utilizzate per l'escalation dei privilegi o per la persistenza sugli host Linux.
Segnali di malware - Attività binaria LOTL sospetta: rileva scenari di utilizzo di strumenti integrati sospetti (Living Off the Land) in base all'attività osservata di malware Linux in ambienti reali.
Malware Signals - Suspicious Download Activity: rileva il comportamento osservato in relazione all'attività di download dannoso su Linux in ambienti reali.
Segnali di malware - Esecuzione sospetta: rileva i segnali generati dai comportamenti osservati del malware Linux rilevato in ambienti reali, con particolare attenzione ai comportamenti di esecuzione (TA0002).
Mandiant Front-Line Threats: questo insieme di regole contiene regole derivate dalle indagini e dalla risposta di Mandiant agli incidenti attivi in tutto il mondo. Queste regole coprono TTP comunemente osservate, come l'esecuzione utilizzando interpreti di script (T1059), l'utilizzo di servizi web per il comando e il controllo (T1102) e l'utilizzo di attività pianificate per mantenere la persistenza (T1053).
Mandiant Intel Emerging Threats: questo insieme di regole contiene regole derivate da campagne ed eventi significativi di Mandiant Intelligence, che coprono attività geopolitiche e di minacce di grande impatto, come valutato da Mandiant. Questa attività può includere conflitti geopolitici, sfruttamento, phishing, malvertising, ransomware e compromissioni della supply chain.

Dispositivi e tipi di log supportati

I set di regole nella categoria Minacce Linux sono stati testati e sono supportati con le seguenti origini dati supportate da Google Security Operations:

Linux Auditing System (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Analizzatori predefiniti supportati.

Configurare i dispositivi per generare dati di log corretti

Affinché le regole nella categoria Minacce Linux funzionino come previsto, i dispositivi devono generare dati di log nel formato previsto. Configura le seguenti regole di controllo permanenti per il daemon di controllo Linux su ogni dispositivo in cui raccoglierai i log e li invierai a Google SecOps.

Per informazioni dettagliate su come implementare regole di controllo permanenti per Linux Audit Daemon, consulta la documentazione specifica del sistema operativo.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Campi necessari per la categoria Minacce Linux

La seguente sezione descrive i dati specifici necessari ai set di regole nella categoria Minacce Linux per ottenere il massimo vantaggio. Assicurati che i tuoi dispositivi siano configurati per registrare i seguenti dati nei log eventi del dispositivo.

Set di dati	Campo UDM (dove vengono archiviati i dati)	Definizione
Percorso principale del processo	`principal.process.file.full_path`	Posizione su disco del processo in esecuzione corrente, se disponibile.
Riga di comando del processo principale	`principal.process.command_line`	Parametri della riga di comando del processo, se disponibili.
Percorso del processo di destinazione	`target.process.file.full_path`	Posizione sul disco del processo di destinazione, se disponibile.
Riga di comando del processo di destinazione	`target.process.command_line`	Riga di comando
Dominio di query DNS di rete	`network.dns.questions.name`	Nome di dominio delle query DNS, se disponibile.

Ottimizzazione degli avvisi restituiti dalla categoria Minacce Linux

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che escludono l'evento dalla valutazione da parte del set di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo insieme di regole o di regole specifiche dell'insieme di regole. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Ad esempio, puoi escludere gli eventi in base ai seguenti campi UDM:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.