Esta página foi traduzida pela API Cloud Translation.

Vista geral da categoria Ameaças do Linux

Compatível com:

Google secops SIEM

Este documento apresenta uma vista geral dos conjuntos de regras na categoria Ameaças do Linux, as origens de dados necessárias e a configuração que pode usar para otimizar os alertas gerados por estes conjuntos de regras.

Os conjuntos de regras na categoria Ameaças do Linux ajudam a identificar ameaças em ambientes Linux através do CrowdStrike Falcon, do Linux Auditing System (AuditD) e dos registos do sistema Unix. Esta categoria inclui os seguintes conjuntos de regras:

Ferramentas de escalada de privilégios do SO: deteta comportamentos comuns em ferramentas de escalada de privilégios do Linux de código aberto.
Mecanismos de persistência: atividade usada por adversários para estabelecer e manter o acesso persistente em anfitriões Linux.
Modificações de privilégios: atividade associada a tentativas e ações de autenticação privilegiadas, usadas frequentemente para aumentar os privilégios ou persistir em anfitriões Linux.
Sinais de software malicioso: atividade binária suspeita de LOTL: deteta cenários de utilização de ferramentas incorporadas suspeitas (Living Off the Land) com base na atividade observada de software malicioso Linux em ambientes do mundo real.
Sinais de software malicioso – Atividade de transferência suspeita: deteta o comportamento observado em relação à atividade de transferência maliciosa no Linux em ambientes reais.
Sinais de software malicioso – Execução suspeita: deteta sinais gerados a partir de comportamentos observados de software malicioso Linux detetado em ambientes do mundo real com foco em comportamentos de execução (TA0002).
Ameaças na linha da frente da Mandiant: este conjunto de regras contém regras derivadas da investigação e resposta da Mandiant a incidentes ativos em todo o mundo. Estas regras abrangem TTPs observadas com frequência, como a execução através de intérpretes de scripts (T1059), a utilização de serviços Web para comando e controlo (T1102) e a utilização de tarefas agendadas para manter a persistência (T1053).
Mandiant Intel Emerging Threats: este conjunto de regras contém regras derivadas de campanhas de inteligência e eventos significativos da Mandiant Intelligence, que abrangem atividades geopolíticas e de ameaças de grande impacto, conforme avaliado pela Mandiant. Esta atividade pode incluir conflitos geopolíticos, exploração, phishing, malvertising, ransomware e compromissos da cadeia de fornecimento.

Dispositivos e tipos de registos suportados

Os conjuntos de regras na categoria Ameaças do Linux foram testados e são suportados com as seguintes origens de dados suportadas pelo Google Security Operations:

Sistema de auditoria do Linux (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados.

Configure os dispositivos para gerarem dados de registo corretos

Para que as regras na categoria Ameaças do Linux funcionem conforme previsto, os dispositivos têm de gerar dados de registo no formato esperado. Configure as seguintes regras de auditoria persistentes para o daemon de auditoria do Linux em cada dispositivo onde vai recolher registos e enviá-los para o Google SecOps.

Para ver detalhes sobre como implementar regras de auditoria persistentes para o daemon de auditoria do Linux, consulte a documentação específica do sistema operativo.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Campos necessários pela categoria Ameaças do Linux

A secção seguinte descreve os dados específicos necessários para os conjuntos de regras na categoria Ameaças do Linux para obter o maior benefício. Certifique-se de que os seus dispositivos estão configurados para registar os seguintes dados nos registos de eventos do dispositivo.

Conjunto de dados	Campo UDM (onde os dados são armazenados)	Definição
Caminho do processo principal	`principal.process.file.full_path`	Localização no disco do processo em execução atual, se disponível.
Linha de comandos do processo principal	`principal.process.command_line`	Parâmetros da linha de comandos do processo, se disponíveis.
Caminho do processo de destino	`target.process.file.full_path`	Localização no disco do processo de destino, se disponível.
Linha de comandos do processo de destino	`target.process.command_line`	Linha de comandos
Domínio de consulta DNS de rede	`network.dns.questions.name`	Nome de domínio das consultas DNS, se disponível.

Ajustar alertas devolvidos pela categoria Ameaças do Linux

Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras.

Na exclusão de regras, define os critérios de um evento da UDM que exclui o evento de ser avaliado pelo conjunto de regras.

Crie uma ou mais exclusões de regras para identificar critérios num evento de UDM que excluem a avaliação do evento por este conjunto de regras ou por regras específicas no conjunto de regras. Consulte o artigo Configure exclusões de regras para ver informações sobre como o fazer.

Por exemplo, pode excluir eventos com base nos seguintes campos da UDM:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.