« 受污染的内核模块加载 Shell 命令行历史记录篡改 »
Elastic 文档 Elastic 安全解决方案 [8.14] 检测和警报 预构建规则参考

受污染的非树内核模块加载

编辑

受污染的非树内核模块加载编辑

此规则监控 syslog 日志文件以查找与非树内核模块加载实例相关的消息,表明内核受到污染。Rootkit 通常利用内核模块作为其主要的防御规避技术。检测受污染的内核模块加载对于确保系统安全性和完整性至关重要,因为恶意或未经授权的模块可能会损害内核并导致系统漏洞或未经授权的访问。

规则类型: 查询

规则索引:

  • logs-system.syslog-*

严重程度: 低

风险评分: 21

每隔多久运行一次: 5 分钟

搜索索引的范围: now-9m (日期数学格式,另请参见 其他回溯时间)

每次执行的警报最大数: 100

参考资料: 无

标签:

  • 域: 端点
  • 操作系统: Linux
  • 用例: 威胁检测
  • 战术: 持久性
  • 战术: 防御规避

版本: 2

规则作者:

  • Elastic

规则许可证: Elastic License v2

设置编辑

设置

此规则需要来自以下集成之一的数据: - Filebeat

Filebeat 设置

Filebeat 是一个轻量级转发程序,用于转发和集中日志数据。它作为代理安装在您的服务器上,Filebeat 会监控您指定的日志文件或位置,收集日志事件,并将它们转发到 Elasticsearch 或 Logstash 以进行索引。

为了添加适用于 Linux 系统的 Filebeat,应按顺序执行以下步骤。

  • Elastic 提供了适用于基于 APT 和 YUM 的发行版的存储库。请注意,我们提供二进制包,但不提供源代码包。
  • 若要安装 APT 和 YUM 存储库,请遵循此 帮助指南中的设置说明。
  • 若要在 Docker 上运行 Filebeat,请遵循此 帮助指南中的设置说明。
  • 若要在 Kubernetes 上运行 Filebeat,请遵循此 帮助指南中的设置说明。
  • 有关 Filebeat 的快速入门信息,请参阅此 帮助指南
  • 有关完整设置和运行 Filebeat 的信息,请参阅此 帮助指南

规则特定设置说明

  • 此规则要求启用 Filebeat 系统模块。
  • 系统模块收集并解析由常见 Unix/Linux 基于发行版的系统日志服务创建的日志。
  • 若要在 Linux 上运行 Filebeat 的系统模块,请遵循此 帮助指南中的设置说明。

规则查询编辑

host.os.type:linux and event.dataset:"system.syslog" and process.name:kernel and
message:"loading out-of-tree module taints kernel."

框架: MITRE ATT&CKTM

« 受污染的内核模块加载 Shell 命令行历史记录篡改 »