Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica della categoria Minacce per Linux

Supportato in:

Google secops SIEM

Questo documento fornisce una panoramica dei set di regole nella categoria Minacce Linux, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da questi set di regole.

I set di regole nella categoria Minacce Linux aiutano a identificare le minacce negli ambienti Linux utilizzando CrowdStrike Falcon, Linux Auditing System (AuditD) e i log di sistema Unix. Questa categoria include i seguenti insiemi di regole:

Strumenti di escalation dei privilegi del sistema operativo: rileva il comportamento comunemente osservato negli strumenti di escalation dei privilegi Linux open source.
Meccanismi di persistenza: attività utilizzata dagli avversari per stabilire e mantenere l'accesso persistente sugli host Linux.
Modifiche dei privilegi: attività associata a tentativi e azioni di autenticazione privilegiati, comunemente utilizzata per l'escalation dei privilegi o per la persistenza sugli host Linux.
Segnali di malware - Attività binaria LOTL sospetta: rileva scenari di utilizzo di strumenti integrati sospetti (Living Off the Land) in base all'attività osservata di malware Linux in ambienti reali.
Malware Signals - Suspicious Download Activity: rileva il comportamento osservato in relazione all'attività di download dannoso su Linux in ambienti reali.
Indicatori di malware - Esecuzione sospetta: rileva gli indicatori generati dai comportamenti osservati del malware Linux rilevato in ambienti reali, con particolare attenzione ai comportamenti di esecuzione (TA0002).
Mandiant Front-Line Threats: questo insieme di regole contiene regole derivate da indagini e risposte di Mandiant a incidenti attivi in tutto il mondo. Queste regole coprono TTP comunemente osservate, come l'esecuzione utilizzando interpreti di script (T1059), l'utilizzo di servizi web per il comando e il controllo (T1102) e l'utilizzo di attività pianificate per mantenere la persistenza (T1053).
Mandiant Intel Emerging Threats: questo insieme di regole contiene regole derivate da campagne ed eventi significativi di Mandiant Intelligence, che coprono attività geopolitiche e di minacce di grande impatto, valutate da Mandiant. Questa attività può includere conflitti geopolitici, sfruttamento, phishing, malvertising, ransomware e compromissioni della supply chain.

Dispositivi e tipi di log supportati

I set di regole nella categoria Minacce Linux sono stati testati e sono supportati con le seguenti origini dati supportate da Google Security Operations:

Linux Auditing System (AUDITD)
Sistema Unix (NIX_SYSTEM)
CrowdStrike Falcon (CS_EDR)

Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Parser predefiniti supportati.

Configurare i dispositivi per generare dati di log corretti

Affinché le regole della categoria Minacce Linux funzionino come previsto, i dispositivi devono generare dati di log nel formato previsto. Configura le seguenti regole di controllo permanenti per il daemon di controllo Linux su ogni dispositivo in cui raccoglierai i log e li invierai a Google SecOps.

Per informazioni dettagliate su come implementare regole di controllo permanenti per Linux Audit Daemon, consulta la documentazione specifica del sistema operativo.

# Inserts the machine hostname into each log event
name_format = hostname

# Process creation (32 and 64-bit)

-a exit,always -F arch=b32 -S execve
-a exit,always -F arch=b64 -S execve

# Persistence: Cron

-w /etc/cron.allow -p wa -k cron
-w /etc/cron.d/ -p wa -k cron
-w /etc/cron.daily/ -p wa -k cron
-w /etc/cron.deny -p wa -k cron
-w /etc/cron.hourly/ -p wa -k cron
-w /etc/cron.monthly/ -p wa -k cron
-w /etc/cron.weekly/ -p wa -k cron
-w /etc/crontab -p wa -k cron
-w /var/spool/cron/ -p wa -k cron

# Persistence: System Startup

-w /etc/init/ -p wa -k init
-w /etc/init.d/ -p wa -k init
-w /etc/inittab -p wa -k init

# Persistence: Systemd Units and Generators

-w /etc/systemd/user -p wa -k systemd
-w /usr/lib/systemd/user -p wa -k systemd
-w /var/lib/systemd/linger -p wa -k systemd
-w /root/.config/systemd/user -pa wa -k systemd

-w /etc/systemd/system -p wa -k systemd
-w /usr/lib/systemd/system -p wa -k systemd

-w /run/systemd/system-generators -p wa -k systemd
-w /etc/systemd/system-generators -p wa -k systemd
-w /usr/local/lib/systemd/system-generators -p wa -k systemd
-w /usr/lib/systemd/system-generators -p wa -k systemd

-w /run/systemd/user-generators -pa wa -k systemd
-w /etc/systemd/user-generators -pa wa -k systemd
-w /usr/local/lib/systemd/user-generators -pa wa -k systemd
-w /usr/lib/systemd/user-generators -pa wa -k systemd

# Persistence: IAM

-w /etc/group -p wa -k iam_etcgroup
-w /etc/passwd -p wa -k iam_etcpasswd
-w /etc/gshadow -k iam_etcgroup
-w /etc/shadow -k iam_etcpasswd

-w /etc/sudoers -p wa -k iam_sudoers
-w /etc/sudoers.d/ -p wa -k iam_sudoers_d

-w /usr/bin/passwd -p x -k iam_passwd

-w /usr/sbin/groupadd -p x -k iam_groupmod
-w /usr/sbin/groupmod -p x -k iam_groupmod
-w /usr/sbin/addgroup -p x -k iam_groupmod
-w /usr/sbin/useradd -p x -k iam_usermod
-w /usr/sbin/userdel -p x -k iam_usermod
-w /usr/sbin/usermod -p x -k iam_usermod
-w /usr/sbin/adduser -p x -k iam_usermod

# Privilege Escalation

-w /bin/su -p x -k privesc
-w /usr/bin/sudo -p x -k privesc

# Persistence: Libraries

-w /etc/ld.so.conf -p wa -k libmod
-w /etc/ld.so.conf.d -p wa -k libmod
-w /etc/ld.so.preload -p wa -k libmod

# Persistence: PAM

-w /etc/pam.d/ -p wa -k pam
-w /etc/security/ -p wa  -k pam

# Persistence: SSH

-w /etc/ssh/ -p wa -k sshconfig
-w /root/.ssh/ -p wa -k sshconfig

# Persistence: Shell Configuration

-w /etc/bashrc -p wa -k shellconfig
-w /etc/csh.cshrc -p wa -k shellconfig
-w /etc/csh.login -p wa -k shellconfig
-w /etc/fish/ -p wa -k shellconfig
-w /etc/profile -p wa -k shellconfig
-w /etc/profile.d/ -p wa -k shellconfig
-w /etc/shells -p wa -k shellconfig
-w /etc/zsh/ -p wa -k shellconfig

# Injection

-a always,exit -F arch=b32 -S ptrace
-a always,exit -F arch=b64 -S ptrace

# Failed Access Attempts

-a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k file_err
-a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k file_err

# Network connections

-a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -k net_v4
-a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -k net_v6
-a always,exit -F arch=b32 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b64 -S socket -F a0=2 -k sock_v4
-a always,exit -F arch=b32 -S socket -F a0=10 -k sock_v6
-a always,exit -F arch=b64 -S socket -F a0=10 -k sock_v6

Campi necessari per la categoria Minacce Linux

La sezione seguente descrive i dati specifici necessari ai set di regole nella categoria Minacce Linux per ottenere il massimo vantaggio. Assicurati che i tuoi dispositivi siano configurati per registrare i seguenti dati nei log eventi del dispositivo.

Set di dati	Campo UDM (dove vengono archiviati i dati)	Definizione
Percorso principale del processo	`principal.process.file.full_path`	Posizione sul disco del processo in esecuzione corrente, se disponibile.
Riga di comando del processo principale	`principal.process.command_line`	Parametri della riga di comando del processo, se disponibili.
Percorso del processo di destinazione	`target.process.file.full_path`	Posizione sul disco del processo di destinazione, se disponibile.
Riga di comando del processo di destinazione	`target.process.command_line`	Riga di comando
Dominio di query DNS di rete	`network.dns.questions.name`	Nome di dominio delle query DNS, se disponibile.

Ottimizzazione degli avvisi restituiti dalla categoria Minacce Linux

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole.

Nell'esclusione della regola, definisci i criteri di un evento UDM che escludono l'evento dalla valutazione da parte del set di regole.

Crea una o più esclusioni di regole per identificare i criteri in un evento UDM che escludono l'evento dalla valutazione da parte di questo insieme di regole o di regole specifiche dell'insieme di regole. Per informazioni su come eseguire questa operazione, vedi Configurare le esclusioni delle regole.

Ad esempio, puoi escludere gli eventi in base ai seguenti campi UDM:

principal.hostname
target.user.userid
principal.process.command_line
target.domain.name
target.process.command_line

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.