Abbiamo riorganizzato la struttura di navigazione per allinearla direttamente ai tuoi workflow operativi. Per saperne di più, consulta le note di rilascio di Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Minacce Linux

Supportato in:

Google secops SIEM

Questo documento fornisce una panoramica dei set di regole nella categoria Minacce Linux, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi set di regole.

I set di regole nella categoria Minacce Linux aiutano a identificare le minacce negli ambienti Linux utilizzando CrowdStrike Falcon, Linux Auditing System (AuditD) e i log di sistema Unix. Questa categoria include i seguenti set di regole:

Strumenti di escalation dei privilegi del sistema operativo: rileva il comportamento comunemente osservato negli strumenti di escalation dei privilegi Linux open source.
Persistence Mechanisms:attività utilizzata dagli aggressori per stabilire e mantenere l'accesso persistente sugli host Linux.
Modifiche ai privilegi: attività associata ai tentativi e alle azioni di autenticazione con privilegi, di uso comune per l'escalation dei privilegi o la persistenza sugli host Linux.
Malware Signals - Suspicious LOTL Binary Activity: rileva scenari di utilizzo di strumenti integrati sospetti (Living Off the Land) in base all'attività osservata del malware Linux in ambienti reali.
Malware Signals - Suspicious Download Activity: rileva il comportamento osservato in relazione all'attività di download dannosa su Linux in ambienti reali.
Malware Signals - Suspicious Execution: rileva i segnali generati dai comportamenti osservati del malware Linux rilevato in ambienti reali , con un focus sui comportamenti di esecuzione (TA0002).
Mandiant Front-Line Threats : questo set di regole contiene regole derivate dalle indagini e dalla risposta di Mandiant agli incidenti attivi in tutto il mondo. Queste regole riguardano le TTP comunemente osservate, come l'esecuzione tramite interpreti di script (T1059), l'utilizzo di servizi web per il comando e il controllo (T1102), e l'utilizzo di attività pianificate per mantenere la persistenza (T1053).
Mandiant Intel Emerging Threats: questo set di regole contiene regole derivate dalle campagne di intelligence e dagli eventi significativi di Mandiant, che riguardano attività geopolitiche e di minaccia di grande impatto, come valutato da Mandiant. Questa attività può includere conflitti geopolitici, sfruttamento, phishing, malvertising, ransomware e compromissioni della catena di fornitura.

Tipi di log e dispositivi supportati

I set di regole nella categoria Minacce Linux sono stati testati e sono supportati con le seguenti origini dati supportate da Google Security Operations data sources:

Linux Auditing System (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Per un elenco di tutte le origini dati supportate da Google SecOps, vedi Parser predefiniti supportati.

Configurare i dispositivi per generare dati di log corretti

Affinché le regole nella categoria Minacce Linux funzionino come previsto, i dispositivi devono generare dati di log nel formato previsto. Configura le seguenti regole di audit persistenti per il daemon di audit Linux su ogni dispositivo su cui raccoglierai i log e li invierai a Google SecOps.

Per informazioni dettagliate su come implementare regole di audit persistenti per il daemon di audit Linux, consulta la documentazione specifica del sistema operativo.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Campi necessari per la categoria Minacce Linux

La seguente sezione descrive i dati specifici necessari ai set di regole nella categoria Minacce Linux per ottenere il massimo vantaggio. Assicurati che i dispositivi siano configurati per registrare i seguenti dati nei log degli eventi dei dispositivi.

Set di dati	Campo UDM (dove sono archiviati i dati)	Definizione
Percorso del processo principale	`principal.process.file.full_path`	Posizione su disco del processo in esecuzione corrente, se disponibile.
Riga di comando del processo principale	`principal.process.command_line`	Parametri della riga di comando del processo, se disponibili.
Percorso del processo di destinazione	`target.process.file.full_path`	Posizione su disco del processo di destinazione, se disponibile.
Riga di comando del processo di destinazione	`target.process.command_line`	Riga di comando
Dominio della query DNS di rete	`network.dns.questions.name`	Nome di dominio delle query DNS, se disponibile.

Ottimizzare gli avvisi restituiti dalla categoria Minacce Linux

Puoi ridurre il numero di rilevamenti generati da una regola o da un set di regole utilizzando le esclusioni di regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che esclude l'evento dalla valutazione da parte del set di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo set di regole o di regole specifiche nel set di regole. Per informazioni su come eseguire questa operazione, vedi Configurare le esclusioni di regole.

Ad esempio, puoi escludere gli eventi in base ai seguenti campi UDM:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.