Esta página foi traduzida pela API Cloud Translation.

Visão geral da categoria "Ameaças do Linux"

Compatível com:

Google SecOps SIEM

Este documento oferece uma visão geral dos conjuntos de regras na categoria "Ameaças do Linux", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por esses conjuntos de regras.

Os conjuntos de regras na categoria "Ameaças do Linux" ajudam a identificar ameaças em ambientes Linux usando o CrowdStrike Falcon, o sistema de auditoria do Linux (AuditD) e os registros do sistema Unix. Essa categoria inclui os seguintes conjuntos de regras:

Ferramentas de escalonamento de privilégios do SO: detecta comportamentos comuns em ferramentas de escalonamento de privilégios do Linux de código aberto.
Mecanismos de persistência:atividade usada por adversários para estabelecer e manter o acesso persistente em hosts Linux.
Modificações de privilégios: atividade associada a tentativas e ações de autenticação privilegiada, comumente usadas para escalonamento de privilégios ou persistência em hosts Linux.
Sinais de malware: atividade binária suspeita de LOTL: detecta cenários suspeitos de uso de ferramentas integradas (Living Off the Land) com base na atividade observada de malware Linux em ambientes reais.
Indicadores de malware: atividade de download suspeita: detecta comportamentos relacionados a atividades de download maliciosas no Linux em ambientes reais.
Indicadores de malware: execução suspeita: detecta indicadores gerados por comportamentos observados de malware Linux detectados em ambientes reais com foco em comportamentos de execução (TA0002).
Ameaças da linha de frente da Mandiant: esse conjunto de regras contém regras derivadas da investigação e resposta da Mandiant a incidentes ativos em todo o mundo. Essas regras abrangem TTPs comuns, como execução usando intérpretes de script (T1059), uso de serviços da Web para comando e controle (T1102) e uso de tarefas programadas para manter a persistência (T1053).
Ameaças emergentes da Mandiant Intel: esse conjunto de regras contém regras derivadas de campanhas de inteligência e eventos significativos da Mandiant, que abrangem atividades geopolíticas e de ameaças de alto impacto, conforme avaliado pela Mandiant. Essa atividade pode incluir conflitos geopolíticos, exploração, phishing, malvertising, ransomware e comprometimentos da cadeia de suprimentos.

Dispositivos e tipos de registros aceitos

Os conjuntos de regras na categoria "Ameaças do Linux" foram testados e são compatíveis com as seguintes fontes de dados do Google Security Operations:

Sistema de auditoria do Linux (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis.

Configurar dispositivos para gerar dados de registro corretos

Para que as regras na categoria "Ameaças do Linux" funcionem conforme o esperado, os dispositivos precisam gerar dados de registro no formato esperado. Configure as seguintes regras de auditoria persistentes para o daemon de auditoria do Linux em cada dispositivo em que você vai coletar registros e enviar para o Google SecOps.

Para detalhes sobre como implementar regras de auditoria permanentes para o daemon de auditoria do Linux, consulte a documentação específica do sistema operacional.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Campos necessários para a categoria "Ameaças do Linux"

A seção a seguir descreve os dados específicos necessários pelos conjuntos de regras na categoria "Ameaças do Linux" para oferecer o maior benefício. Verifique se os dispositivos estão configurados para registrar os seguintes dados nos registros de eventos do dispositivo.

Conjunto de dados	Campo do UDM (onde os dados são armazenados)	Definição
Principal Process Path	`principal.process.file.full_path`	Localização no disco do processo em execução atual, se disponível.
Linha de comando do processo principal	`principal.process.command_line`	Parâmetros de linha de comando do processo, se disponíveis.
Caminho do processo de destino	`target.process.file.full_path`	Localização no disco do processo de destino, se disponível.
Linha de comando do Target Process	`target.process.command_line`	Linha de comando
Domínio de consulta de DNS da rede	`network.dns.questions.name`	Nome de domínio das consultas DNS, se disponível.

Ajustar alertas retornados pela categoria "Ameaças do Linux"

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Na exclusão de regra, você define os critérios de um evento da UDM que o exclui da avaliação pelo conjunto de regras.

Crie uma ou mais exclusões de regra para identificar critérios em um evento da UDM que impedem que ele seja avaliado por esse conjunto de regras ou por regras específicas do conjunto. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

Por exemplo, é possível excluir eventos com base nos seguintes campos de UDM:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.