監視代理Capsule8和ClamAV審計日誌模式

Capsule8審計日誌行模式

審計日誌的總體模式,看到審計日誌模式。

審計日誌字段Capsule8很重要:

• 名:這是永遠capsule8-alerts-dataplane。

• 時間戳:時間Capsule8代理創建這個事件。

• workspaceId:工作區與這個事件有關。

• requestId為原Capsule8事件:獨特的UUID。

• requestParams:這個JSON對象總是隻有一個請求參數instanceId場,這是實例id(主機)的ID發出這個審核日誌條目。

• 響應:一個JSON對象。

  • 這總是一個statusCode屬性設置為200。

  • 一個結果字段包含原始JSON Capsule8事件的價值。JSON可以隨檢測觸發它。為完整的模式參考,看看Capsule8的文章警惕JSON模式。JSON值編碼為一個字符串對象,而不是一個嵌套的JSON值,所以期待逃引用標誌如下:

    “響應”:{“statusCode”:200年,“結果”:“{\“actionName \”, \“Wget計劃黑名單\“}”}

• accountId這個工作區:磚帳戶ID。

• auditLevel:這是永遠WORKSPACE_LEVEL。

• actionName:動作名稱。下列值之一:

  • 心跳:一個常規事件確認監控。目前每10分鍾運行一次,但這在未來可能會改變。

  • 內存標誌著可執行的通常為:內存執行為了讓惡意代碼執行當應用程序被剝削。警報當一個程序集堆或堆棧內存可執行權限。這可能會導致假陽性對某些應用程序服務器。

  • 文件完整性監控:監控重要的係統文件的完整性。警報在任何未經授權的更改這些文件。磚定義特定的係統路徑集的圖像,和這組路徑可能隨時間改變。

  • Systemd單位文件修改:改變systemd單位可能導致安全控製放鬆或禁用,或惡意的安裝服務。警報時systemd文件修改的程序以外的單位systemctl。

  • 重複程序崩潰:重複程序崩潰可能表明攻擊者正試圖利用內存腐敗漏洞,或者有一個受影響的應用程序的穩定問題。警報當超過5個人的實例程序崩潰通過段錯誤。

  • Userfaultfd使用:某些Linux功能幾乎完全利用時使用內核漏洞,通常與特權升級的目標。警報當一個二進製執行userfaultfd係統調用。

  • 新文件執行在容器:容器通常是靜態的工作負載,這個警報可能意味著,攻擊者破壞容器,並試圖安裝和運行一個後門。警報當文件被創建或修改在30分鍾內執行一個容器。

  • 可疑的互動殼牌:交互式shell是罕見的出現在現代生產的基礎設施。警報當交互式shell啟動參數通常用於反向貝殼。

  • 用戶命令日誌記錄逃避:逃避命令日誌對攻擊者是常見的做法,但也可能表明一個合法的用戶執行未經授權的操作或試圖逃避政策。警報當改變用戶命令曆史記錄發現,表明用戶試圖逃避命令日誌記錄。

  • 帶通濾波器程序執行:檢測某些類型的內核後門。加載一個新的伯克利包過濾(瘺)計劃可能意味著,攻擊者是加載BPF-based rootkit獲得持久性和避免檢測。警報當進程加載一個新的特權帶通濾波器程序,如果過程已經進行的一個事件。

  • 內核模塊加載:攻擊者通常加載惡意內核模塊(rootkit)逃避檢測和維護持久性妥協節點上。提醒一個內核模塊加載時,如果程序已經持續事件的一部分。

  • 可疑的程序的名字Executed-Space後文件:攻擊者可以創建或重命名惡意二進製文件包括一個空間的名稱以偽裝成合法的係統程序或服務。警報當程序執行程序名後的空間。

  • 非法海拔高度的特權:內核特權升級利用通常允許非特權用戶獲得根權限沒有通過標準蓋茨權限更改。警報當一個程序試圖通過不尋常的手段提升特權。這可以假陽性問題警報與重要節點的工作負載。

  • 內核利用:內部不定期訪問內核函數程序,如果,是一個強大的內核開發執行指標,攻擊者可以完全控製節點。警報當內核函數出人意料地返回用戶空間。

  • 處理器保護禁用:SMEP和SMAP處理器內核利用成功的保護,增加困難,和禁用這些限製是一種常見的內核利用早期的一步。警報當程序篡改內核SMEP / SMAP配置。

  • 容器逃避通過內核剝削警報:當一個程序使用內核函數中常用容器逃脫利用,表明攻擊者從container-access特權升級到節點訪問。

  • 享有特權的容器推出了:特權容器直接訪問主機資源,導致受損時影響更大。警報特權容器啟動時,如果容器不是一個已知的特權kube-proxy等形象。這可以為合法特權容器問題不必要的警報。

  • 用戶態容器逃避:許多容器逃強迫主機執行二次容器內,導致攻擊者獲得完全控製受影響的節點。警報當container-created文件執行以外的一個容器。

  • AppArmor對禁用在內核:修改某些AppArmor對屬性隻能發生內核,表明AppArmor對已禁用內核開發或rootkit。AppArmor對狀態改變時警報從AppArmor對配置傳感器啟動時檢測到。

  • AppArmor對配置文件修改:攻擊者可以嚐試禁用執行AppArmor對配置文件作為逃避檢測的一部分。警報執行命令修改AppArmor對概要文件時,如果它不是由用戶執行SSH會話。

  • 引導文件修改:如果不是由一個可信的源(如包管理器或配置管理工具),修改啟動文件可以表明攻擊者修改內核或它的選項,以獲得持續訪問主機。更改文件時警報/ boot,表明安裝一個新內核或啟動配置。

  • 日誌文件刪除:日誌刪除不是由一個日誌管理工具可能表明攻擊者正試圖刪除指標的妥協。警報在刪除係統日誌文件。

  • 新文件執行:新創建的文件係統更新程序以外的來源可能是後門,內核利用或開發鏈的一部分。警報,當一個文件被創建或修改在30分鍾內就執行,不包括文件由係統更新程序。

  • 根證書商店修改:修改根證書存儲可以表明一個流氓證書頒發機構的安裝,使攔截網絡流量或繞過代碼簽名驗證。警報係統CA證書存儲時改變。

  • Setuid / Setgid位集在文件:設置setuid/setgid位可以用來提供一個持久的方法為特權升級節點。警報時setuid或setgid設置在一個文件修改文件權限係統調用的家庭。

  • 隱藏的文件創建:攻擊者經常創建隱藏文件的模糊工具和有效載荷破壞主機上。警報當創建一個隱藏的文件的過程與一個正在進行的事件。

  • 修改的常見的係統公用事業公司:攻擊者可能會修改係統實用程序,以執行惡意載荷時這些實用程序正在運行。警報時,一個常見的係統實用程序是由未經授權的修改過程。

  • 網絡服務掃描儀執行:攻擊者或惡意用戶可能使用或安裝這些程序調查連接網絡的附加節點妥協。警報當常見的網絡掃描程序執行的工具。

  • 網絡服務創建:攻擊者可能會啟動一個新的網絡服務提供方便地訪問主機後妥協。警報程序啟動一個新的網絡服務時,如果程序已經持續事件的一部分。

  • 網絡嗅探程序執行:攻擊者或流氓用戶可以執行網絡嗅探命令獲取證書,個人身份信息(PII),或其他敏感信息。警報當程序執行,允許網絡捕獲。

  • 遠程文件複製檢測到:文件傳輸工具的使用可能表明攻擊者正試圖工具集移動到其他主機或漏出數據到遠程係統。警報當一個程序與執行遠程文件複製,如果程序已經持續事件的一部分。

  • 不尋常的出站連接檢測到:命令和控製通道和cryptocoin礦工經常創建新的出站端口上的網絡連接。警報當程序啟動一個新的連接在一個不常見的端口,如果程序已經持續事件的一部分。

  • 數據存檔通過程序:進入係統後,攻擊者可以創建一個壓縮的檔案文件的文件,以減少漏出的數據的大小。警報當執行數據壓縮程序,如果程序已經持續事件的一部分。

  • 過程注射:使用過程注入技術通常表明用戶調試一個程序,但也可能表明攻擊者是閱讀秘密或向其他進程注入代碼。當一個程序使用警報ptrace(調試)機製與另一個進程進行交互。

  • 賬戶枚舉通過程序:攻擊者往往會利用賬戶枚舉程序確定的訪問級別,看看其他用戶正在登錄節點。警報當程序執行與賬戶相關的枚舉,如果程序已經持續事件的一部分。

  • 文件和目錄發現通過程序:探索文件係統是常見的post-exploitation行為攻擊者尋找感興趣的憑證和數據。警報當一個程序與文件和目錄執行枚舉,如果程序已經持續事件的一部分。

  • 網絡配置枚舉通過程序:攻擊者可以詢問當地網絡和路由信息來確定相鄰的主機和網絡的橫向運動。警報當一個程序與執行網絡配置枚舉,如果程序已經持續事件的一部分。

  • 過程枚舉通過程序:攻擊者經常運行程序列表以確定節點的目的和是否安全或監視工具。警報當一個程序與流程執行枚舉,如果程序已經持續事件的一部分。

  • 係統信息枚舉通過程序:攻擊者通常執行係統枚舉命令確定Linux內核和發行版本和特性,通常確定如果節點是受特定的漏洞。警報當一個程序與係統信息執行枚舉,如果程序已經持續事件的一部分。

  • 計劃任務修改通過程序:修改預定的任務是一種常見的方法建立持久性妥協節點上。警報時定時任務,在,或批處理命令用來修改計劃任務配置。

  • Systemctl使用檢測到:改變systemd單位可能導致安全控製放鬆或禁用,或惡意的安裝服務。警報時systemctl命令是用來修改systemd單位。

  • 用戶執行的蘇命令:明確升級根用戶減少的能力相關聯的特權活動到一個特定的用戶。警報時蘇命令執行。

  • 用戶執行的sudo命令:警報時sudo命令執行。

  • 用戶命令曆史清除:刪除曆史文件是不尋常的,通常由攻擊者隱藏活動,或通過合法用戶有意規避審計控製。警報當命令行曆史文件刪除。

  • 新係統用戶添加:攻擊者可能會添加一個新用戶主機提供一個可靠的訪問方法。警告如果一個新用戶實體添加到本地帳戶管理文件/ etc / passwd如果實體沒有補充說,係統更新程序。

  • 密碼數據庫修改:攻擊者可以直接修改標誌文件係統添加一個新用戶。警報當文件與用戶密碼修改的程序與更新現有用戶信息無關。

  • SSH授權鍵修改:添加一個新的SSH公鑰是一種常見的方法,獲得持續訪問主機。警報當試圖寫入用戶的SSHauthorized_keys文件被觀察到,如果程序已經持續事件的一部分。

  • 用戶賬戶創建通過CLI:添加一個新用戶是一種常見的一步攻擊者在建立持久性妥協節點。警報當一個身份管理程序執行一個程序包管理器。

  • 用戶配置變化:用戶配置文件和配置文件經常修改的方法堅持以用戶登錄時執行一個程序。警報當. bash_profile bashrc(以及相關文件)(一個程序修改係統更新工具。

下麵是一個示例Capsule8審核日誌條目:

{“版本”:“2.0”,“時間戳”:1625959170109,“workspaceId”:“2417130538620110”,“名”:“capsule8-alerts-dataplane”,“actionName”:“Wget程序黑名單”,“requestId”:“318 a87db - 4 cfe - 4532 - 9110 - 09 - edc262275e”,“requestParams”:{“instanceId”:“i-0a3c9d63bb295eb4f”},“響應”:{“statusCode”:200年,“結果”:“< original_alert_json >”},“accountId”:“82 d65820 b5e4 - 4 - ab0 96 - e6 0 - cba825a5687”,“auditLevel”:“WORKSPACE_LEVEL”}

ClamAV審計日誌行模式

審計日誌的總體模式,看到審計日誌模式。

審計日誌字段ClamAV很重要:

• 名:這是永遠clamAVScanService-dataplane。

• actionName:這是永遠clamAVScanAction。

• 時間戳:當ClamAV生成此日誌行。

• workspaceId:工作區ID與此相關日誌。

• requestId:獨特的UUID為原始clamAV掃描事件。

• requestParams:這個JSON對象總是隻有一個請求參數instanceId場,這是實例id(主機)的ID發出這個審核日誌條目。

• 響應:這是反應總是有一個JSON對象statusCode200年和一個結果場,包括一行的原始掃描結果clamAV cron作業。每個clamAV掃描結果通常是由多個審計日誌記錄、原始掃描的每一行輸出。可能出現在這個文件的詳情,查看ClamAV文檔。

• accountId:磚帳戶ID與此相關的日誌。

• auditLevel:這是永遠WORKSPACE_LEVEL。

下麵是一個例子ClamAV審核日誌條目顯示的掃描的開始response.result字段:

{“版本”:“2.0”,“時間戳”:1625959170109,“workspaceId”:“2417130538620110”,“名”:“clamAVScanService-dataplane”,“actionName”:“clamAVScanAction”,“requestId”:“318 a87db - 4 cfe - 4532 - 9110 - 09 - edc262275e”,“requestParams”:{“instanceId”:“i-0a3c9d63bb295eb4f”},“響應”:{“statusCode”:200年,“結果”:“開始每日clamav掃描:我2021年10月25日06:25:01 UTC \ \ n”},“accountId”:“82 d65820 b5e4 - 4 - ab0 96 - e6 0 - cba825a5687”,“auditLevel”:“WORKSPACE_LEVEL”}

一個例子ClamAV日誌文件:

- - - - - - - - - - - -總結- - - - - - - - - - - -已知的病毒掃描:8556227引擎版本:0.103.2掃描目錄:6掃描文件:446被感染文件:0數據掃描:74.50 MB數據讀:164.43 MB(比0.45:1)時間:37.874秒(0米37秒)開始日期:2021:07:27 21:47:36結束日期:2021:07:27 21:48:14