« 可疑PDF阅读器子进程 可疑的PowerShell脚本编码的可移植执行文件 »
Elastic文档 Elastic 安全解决方案 [8.16] 检测和告警 预构建规则参考

可疑passwd文件事件操作

编辑

可疑passwd文件事件操作

编辑

监控通过openssl生成passwd密码条目,随后对“/etc/passwd”文件进行文件写入活动。“/etc/passwd”文件在Linux系统中存储用户帐户信息,包括用户名、用户ID、组ID、主目录和默认shell路径。攻击者可能会利用“/etc/passwd”文件权限或其他权限的错误配置,以root权限向“/etc/passwd”文件添加新条目,并利用此新用户帐户以root身份登录。

规则类型: eql

规则索引:

  • logs-endpoint.events.*
  • logs-auditd_manager.auditd-*

严重性: 中等

风险评分: 47

: 5分钟运行一次

搜索索引自: now-9m (日期数学格式,另请参见 附加回溯时间)

每次执行的最大告警数: 100

参考文献: 无

标签:

  • 数据源:Auditd Manager
  • 域:端点
  • 操作系统:Linux
  • 用例:威胁检测
  • 策略:权限提升
  • 数据源:Elastic Defend

版本: 3

规则作者:

  • Elastic

规则许可证: Elastic License v2

设置

编辑

设置

此规则需要来自Elastic Defend和Auditd Manager的数据。

Elastic Defend集成设置

Elastic Defend通过Fleet集成到Elastic Agent中。配置后,集成允许Elastic Agent监控主机上的事件并将数据发送到Elastic Security应用程序。

先决条件

  • Elastic Defend需要Fleet。
  • 要配置Fleet服务器,请参阅文档

为了在Linux系统上添加Elastic Defend集成,应按顺序执行以下步骤

  • 转到Kibana主页并点击“添加集成”。
  • 在查询栏中,搜索“Elastic Defend”并选择集成以查看更多详细信息。
  • 点击“添加Elastic Defend”。
  • 配置集成名称,并可选择添加说明。
  • 选择要保护的环境类型,“传统端点”或“云工作负载”。
  • 选择配置预设。每个预设都带有Elastic Agent的不同默认设置,您可以稍后通过配置Elastic Defend集成策略进一步自定义这些设置。辅助指南
  • 我们建议选择“完整EDR(端点检测和响应)”作为配置设置,它提供“所有事件;所有防护”。
  • 在“新的Agent策略名称”中输入Agent策略的名称。如果其他Agent策略已存在,则可以点击“现有主机”选项卡并选择现有策略。有关Elastic Agent配置设置的更多详细信息,请参阅辅助指南
  • 点击“保存并继续”。
  • 要完成集成,请选择“将Elastic Agent添加到您的主机”,然后继续到下一部分,在您的主机上安装Elastic Agent。有关Elastic Defend的更多详细信息,请参阅辅助指南

Auditd Manager集成设置

Auditd Manager集成接收来自Linux审核框架(它是Linux内核的一部分)的审核事件,无需任何额外配置。Auditd Manager提供了一个用户友好的界面和自动化功能,用于通过auditd守护进程配置和监控系统审核。使用auditd_manager,管理员可以轻松定义审核规则、跟踪系统事件和生成全面的审核报告,从而提高系统的整体安全性和合规性。

为了在Linux系统上添加Elastic Agent系统集成“auditd_manager”,应按顺序执行以下步骤

  • 转到Kibana主页并点击“添加集成”。
  • 在查询栏中,搜索“Auditd Manager”并选择集成以查看更多详细信息。
  • 点击“添加Auditd Manager”。
  • 配置集成名称,并可选择添加说明。
  • 相应地查看可选和高级设置。
  • 将新安装的“auditd manager”添加到现有或新的Agent策略,并在需要auditd日志文件的Linux系统上部署Agent。
  • 点击“保存并继续”。
  • 有关集成的更多详细信息,请参阅辅助指南

规则特定设置说明

Auditd Manager订阅内核并在事件发生时接收事件,无需任何额外配置。但是,如果需要更高级的配置来检测特定行为,则可以通过在“审核规则”配置框或“auditd规则文件”框中指定要从中读取审核规则的文件来将审核规则添加到集成中。- 此检测规则需要将以下附加审核规则添加到集成中:  — "-w /etc/passwd -p wa -k etcpasswd"

规则查询

编辑
sequence by host.id, process.parent.pid with maxspan=1m
  [process where host.os.type == "linux" and event.type == "start" and event.action == "exec" and
   process.name == "openssl" and process.args == "passwd" and user.id != "0"]
  [file where host.os.type == "linux" and file.path == "/etc/passwd" and process.parent.pid != 1 and
   not auditd.data.a2 == "80000" and event.outcome == "success" and user.id != "0"]

框架: MITRE ATT&CKTM

« 可疑PDF阅读器子进程 可疑的PowerShell脚本编码的可移植执行文件 »