SysFlow
IBM Security QRadar Content Extension añade nuevas propiedades personalizadas, reglas personalizadas y conjunto de referencia para SysFlow.
En la tabla siguiente se muestran las propiedades personalizadas en SysFlow Content Extension V1.0.1.
| Nombre | Optimizada | Expresión JSON |
|---|---|---|
| BytesReceived | No | /"flow"/"rbytes" |
| BytesSent | No | /"flow"/"wbytes" |
| Entrada de contenedor | Sí | /"proc"/"entry" |
| ID de contenedor | Sí | /"container"/"id" |
| Imagen de contenedor | Sí | /"container"/"image" |
| ID de imagen de contenedor | Sí | /"container"/"imageid" |
| Nombre de contenedor | No | /"container"/"name" |
| Tipo de contenedor | No | /"container"/"type" |
| Directorio de archivos | Sí | /"file"/"directory" |
| Nombre de archivo | Sí | /"archivo"/"nombre" |
| Distintivos de apertura de archivo | No | /"file"/"openflags"[] |
| Archivo abierto con permiso de lectura | No | /"file"/"is_open_read" |
| Abrir archivo con permiso de escritura | Sí | /"file"/"is_open_write" |
| Vía de acceso del archivo | Sí | /"file"/"path" |
| Tipo de archivo | No | /"file"/"type" |
| GroupID | Sí | /"proc"/"gid" |
| Nombre de grupo | Sí | /"proc"/"group" |
| Nombre de host | Sí | /"node"/"id" |
| Nuevo directorio de archivos | No | /"file"/"newdirectory" |
| Nombre de archivo nuevo | Sí | /"file"/"newname" |
| Nueva vía de acceso de archivo | Sí | /"file"/"newpath" |
| ID de proceso padre | No | /"pproc"/"pid" |
| Nombre de proceso padre | Sí | /"pproc"/"name" |
| Ruta del proceso padre | Sí | /"pproc"/"exe" |
| ID de usuario de proceso padre | No | /"pproc"/"uid" |
| Nombre de usuario de proceso padre | No | /"pproc"/"user" |
| Contenedor privilegiado | Sí | /"container"/"privileged" |
| Línea de comandos de proceso | Sí | /"proc"/"cmdline" |
| ID de proceso | Sí | /"proc"/"pid" |
| Nombre de proceso | Sí | /"proc"/"name" |
| Vía de acceso de proceso | Sí | /"proc"/"exe" |
| ID de usuario | Sí | /"proc"/"uid" |
En la tabla siguiente se muestran las propiedades personalizadas en SysFlow Content Extension V1.0.1.
| Tipo | Nombre | Descripción |
|---|---|---|
| Regla | Ejecución de mandato para instalar o modificar módulo de kernel | Detecta la ejecución de mandatos para instalar o modificar módulos de kernel. Un adversario puede añadir un módulo de kernel para lograr una persistencia sigilosa o ejecutar mandatos en la modalidad de kernel. |
| Regla | Ejecución de mandato para buscar enlaces de SUID o SGID | Detecta la ejecución de un mandato para buscar archivos binarios de SUID o SGID y es posible que explote los privilegios de usuario. |
| Regla | Ejecución de mandato para actualizar RootCA | Detecta cuando un usuario ejecuta el mandato update-ca-certificates para actualizar la lista de entidades emisoras de certificados. |
| Regla | Contenedor de acceso o modificación de reglas de cortafuegos | Detecta cuando un contenedor accede o modifica reglas de cortafuegos. Un adversario puede añadir o suprimir reglas de cortafuegos para permitir actos maliciosos. Nota: No se almacena nada en el disco para iptables hasta que el usuario guarda las reglas ejecutando mandatos iptables-save y luego iptables-restore. |
| Regla | Container que accede al archivo relacionado con SSH | Detecta cuando un contenedor accede a los archivos relacionados con SSH en /$HOME/.ssh o /etc/ssh. |
| Regla | Contenedor en comunicación con servidores de metadatos de nube | Detecta cuando un contenedor se comunica con el servidor de metadatos de nube. El servidor de metadatos de nube devuelve metadatos que normalmente incluyen el token. La ip de metadatos de nube es estática y cambiada por varios proveedores de nube diferentes. Cambie la dirección IP para que se ajuste al entorno. |
| Regla | Contenedor que se comunica con direcciones IP maliciosas | Detecta cuando un contenedor se comunica con direcciones IP maliciosas. |
| Regla | Contenedor creado con los privilegios más altos | Detecta cuando se crea un contenedor con distintivo de privilegio. La creación de un contenedor que tiene el valor de reglas de hash de imagen autorizada es válida, pero la creación de un contenedor que desencadena el suceso de contenedor y el suceso de creación de procesos es sospechosa. |
| Regla | Creación de contenedor o modificación de tarea planificada | Detecta cuando un contenedor que tiene sucesos de modificación de archivos crea o actualiza cualquier tarea planificada. |
| Regla | Contenedor que crea o actualiza archivos en directorios del sistema inusualmente críticos | Detecta cuando un contenedor crea o actualiza un archivo en un directorio de sistema crítico inusual, como por ejemplo/, /root, /proc, /bin, /sbin, /usr/bin, /usr/sbin, /lib, /usr/lib o /dev. |
| Regla | Archivo de autenticación crítica de modificación de contenedor | Detecta cuando un contenedor modifica los archivos relacionados con la autenticación crítica independientemente del proceso utilizado, como por ejemplo adduser o cualquier otro proceso. |
| Regla | Container modificando la configuración de SELinux | Detecta cuando un contenedor modifica las configuraciones de SELinux. Un adversario puede inhabilitar SELinux o cambiar su modalidad operativa. |
| Regla | Contenedor que ejecuta programas de utilidad de descubrimiento o gestión de red | Detecta cuando un contenedor ejecuta un comportamiento de descubrimiento o gestión de red sospechoso, como nc, namp y tcpdump |
| Regla | Contenedor que ejecuta programas de utilidad de gestión de paquetes | Detecta cuando un contenedor ejecuta programas de utilidad de gestión de paquetes durante su tiempo de ejecución. Los contenedores son objetos inmutables y la ejecución de una gestión de paquetes es sospechosa, porque un adversario puede instalar herramientas adicionales en el contenedor comprometido. |
| Regla | Contenedor que ejecuta una utilidad de transferencia de archivos remota | Detecta cuando un contenedor ejecuta un programa de utilidad de transferencia de archivos remoto, como por ejemplo wget, curl y sftp. |
| Regla | Contenedor que ejecuta programas de utilidad de gestión o enumeración de usuarios | Detecta cuando un contenedor ejecuta un comportamiento sospechoso de enumeración de usuarios o comportamiento de gestión, como por ejemplo id, groups y useradd |
| Regla | Contenedor que ejecuta claves privadas o tokens de seguridad | Detecta cuando un usuario busca archivos de contraseña o claves privadas en el contenedor. |
| Regla | Contenedor que envía o recibe datos a través de SSH | Detecta cuando un contenedor envía o recibe datos a través de SSH. Un adversario puede utilizar el contenedor comprometido para moverse lateralmente a otro contenedor o para exfiltrar datos sobre el puerto SSH 22. |
| Regla | Creación de enlaces variables o fijos a través de archivos confidenciales o críticos | Detecta la creación de un enlace variable o fijo a través de archivos confidenciales o críticos como /etc/passwd, /etc/group, /etc/shadow, /etc/gshadow, /etc/sudoers. |
| Regla | Actividades de archivo para instalar o modificar módulo de kernel | Detecta cuando se crea o modifica un módulo de kernel mediante la inspección de modificaciones de archivo en un archivo .ko bajo /lib/modules. |
| Regla | Vuelco de hash: Un proceso inusual ha accedido al archivo de duplicación de Linux | Detecta la actividad de volcado de hash en sistemas basados en Linux, donde se accede al archivo /etc/shadow mediante un proceso inusual. |
| Regla | Shell de vinculación o inverso detectado: Linux Shell ha creado una conexión de red | Detecta cuando se inicia una conexión de red para un shell Linux, lo que puede dar como resultado un shell invertido o de enlace. |
| Regla | RootCA creado o cargado | Detecta cuando un usuario crea archivos en o sube archivos en una carpeta utilizada para la entidad emisora de certificados. |
| Regla | Proceso inusual creando conexiones de red de salida utilizando el puerto SSH | Detecta cuando se inicia un proceso inusual para crear conexiones de red de salida utilizando el puerto SSH 22. Un adversario puede utilizar esta técnica para eludir los mecanismos de defensa y exfiltrar datos utilizando un puerto conocido. |
| Regla | Proceso no habitual que modifica el archivo de autenticación crítica | Detecta cuando un proceso inusual modifica los archivos relacionados con la autenticación crítica como /etc/passwd. |
| Bloque de construcción | BB:CategoryDefinition: Suceso de contenedor | Define sucesos de contenedor. |
| Bloque de construcción | BB:CategoryDefinition: Evento de modificación de archivo | Define los sucesos de modificación de archivos. |
| Bloque de construcción | BB:CategoryDefinition: Evento de creación de procesos | Define sucesos de creación de proceso |
En la tabla siguiente se muestran los conjuntos de referencia y los datos de referencia en SysFlow Content Extension V1.0.1.
| Tipo | Nombre | Descripción |
|---|---|---|
| Conjunto de referencia | Procesos de Linux autorizados que pueden modificar archivos de autenticación críticos | Las listas identifican los procesos de Linux en la lista blanca que pueden modificar los archivos de autenticación críticos, como: /etc/passwd, /etc/group o /etc/shadow, por ejemplo. |
| Conjunto de referencia | Búsqueda de binarios | Lista los procesos identificados que se pueden utilizar para buscar archivos, como find, por ejemplo. |
| Conjunto de referencia | Utilidades de gestión de paquetes | Lista los procesos identificados que se pueden utilizar para instalar, actualizar, desinstalar, gestionar paquetes Linux, como: apt-get, por ejemplo. |
| Conjunto de referencia | Procesos autorizados que pueden acceder a /etc/shadow | Lista los procesos de Linux autorizados identificados que pueden abrir o leer el archivo de duplicación de Linux /etc/shadow |
| Conjunto de referencia | Archivos confidenciales/críticos | Lista las vías de acceso de archivo identificadas para archivos confidenciales o críticos. |
| Conjunto de referencia | Archivos binarios de copia de archivos remotos | Lista los procesos identificados que se pueden utilizar para realizar operadores de transferencia de archivos remotos, como: scp, por ejemplo. |
| Conjunto de referencia | Programa de utilidad de descubrimiento o gestión de red | Lista los procesos identificados que se pueden utilizar para descubrir o gestionar la red, como nmap o tcpdump, por ejemplo. |
| Conjunto de referencia | Linux Conchas | Lista los procesos de shell linux identificados, como: bash, sh... |
| Conjunto de referencia | Archivos binarios de enumeración de usuarios y gestión | Lista los procesos identificados que se pueden utilizar para enumerar o gestionar los usuarios/grupos, como: adduser, deluser o addgroup, por ejemplo. |
| Conjunto de referencia | Carpetas TLS | Lista las vías de acceso de archivo identificadas para certificados raíz de tls. |
| Conjunto de referencia | Lista autorizada de imágenes de contenedor | Lista las imágenes de contenedor que se pueden autorizar. |
| Datos de referencia | pulse_imports | Parte del panel de control de Pulse. |