SysFlow
IBM Security QRadar コンテンツ拡張は、SysFlow 用の新しいカスタム・プロパティー、カスタム・ルール、およびリファレンス・セットを追加します。
次の表では、SysFlow コンテンツ拡張 V1.0.1 のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | JSON 式 |
|---|---|---|
| BytesReceived | いいえ | /"flow"/"rbytes" |
| BytesSent | いいえ | /"flow"/"wbytes" |
| コンテナー・エントリー | はい | /"proc"/"entry" |
| コンテナー ID | はい | /"container"/"id" |
| コンテナー・イメージ | はい | /"container"/"image" |
| コンテナー・イメージ ID | はい | /"container"/"imageid" |
| コンテナー名 | いいえ | /"container"/"name" |
| コンテナー・タイプ | いいえ | /"container"/"type" |
| ファイル・ディレクトリー | はい | /"file"/"directory" |
| ファイル名 | はい | /"ファイル"/"名前" |
| ファイル・オープン・フラグ | いいえ | /"file"/"openflags"[] |
| 読み取り権限でファイルを開く | いいえ | /"file"/"is_open_read" |
| 書き込み許可でファイルを開く | はい | /"file"/"is_open_write" |
| ファイル・パス | はい | /"file"/"path" |
| ファイル・タイプ | いいえ | /"file"/"type" |
| GroupID | はい | /"proc"/"gid" |
| Group Name | はい | /"proc"/"group" |
| ホスト名 | はい | /"node"/"id" |
| 新規ファイル・ディレクトリー | いいえ | /"file"/"newdirectory" |
| 新規ファイル名 | はい | /"file"/"newname" |
| 新規ファイル・パス | はい | /"file"/"newpath" |
| 親プロセス ID | いいえ | /"pproc"/"pid" |
| 親プロセスの名前 | はい | /"pproc"/"name" |
| 親プロセス・パス | はい | /"pproc"/"exe" |
| 親プロセス・ユーザー ID | いいえ | /"pproc"/"uid" |
| 親プロセス・ユーザー名 | いいえ | /"pproc"/"user" |
| 特権コンテナー | はい | /"container"/"privileged" |
| プロセス・コマンド行 | はい | /"proc"/"cmdline" |
| プロセス ID | はい | /"proc"/"pid" |
| プロセス名 | はい | /"proc"/"name" |
| プロセス・パス | はい | /"proc"/"exe" |
| ユーザー ID | はい | /"proc"/"uid" |
次の表では、SysFlow コンテンツ拡張 V1.0.1 のカスタム・ルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | カーネル・モジュールをインストールまたは変更するためのコマンド実行 | カーネル・モジュールをインストールまたは変更するコマンドの実行を検出します。 攻撃者が、知らないうちに持続性を達成したり、カーネル・モードでコマンドを実行したりするために、カーネル・モジュールを追加している可能性があります。 |
| ルール | SUID または SGID バイナリーを検索するためのコマンド実行 | SUID バイナリーまたは SGID バイナリーを検索して、ユーザー特権をエスカレートさせるために利用する可能性があるコマンドの実行を検出します。 |
| ルール | RootCAを更新するためのコマンド実行 | ユーザーが update-ca-certificates コマンドを実行して、認証局リストを更新したときにそのことを検出します。 |
| ルール | ファイアウォール・ルールにアクセスまたは変更するコンテナー | コンテナーがファイアウォール・ルールにアクセスしたり、ファイアウォール・ルールを変更したりしたときにそのことを検出します。 攻撃者は、悪意のある操作が許可されるようにファイアウォール・ルールの追加または削除を行う可能性があります。 注: ユーザーがコマンド iptables-save を実行してから、コマンド iptables-restore を実行することによってルールを保存するまで、iptables のディスクには何も保管されません。 |
| ルール | SSH 関連ファイルにアクセスするコンテナー | コンテナーが /$HOME/.ssh または /etc/ssh にある SSH 関連のファイルにアクセスしたときにそのことを検出します。 |
| ルール | クラウド・メタデータ・サーバーとのコンテナー通信 | コンテナーがクラウド・メタデータ・サーバーと通信したときにそのことを検出します。 クラウド・メタデータ・サーバーは、通常はトークンが含まれるメタデータを返します。 クラウド・メタデータ IP は、静的であり、複数の異なるクラウド・ベンダーによって変更されます。 ご使用の環境に合わせて IP アドレスを変更してください。 |
| ルール | 悪意のある IP アドレスを使用したコンテナー通信 | コンテナーが悪意のある IP アドレスと通信したときにそのことを検出します。 |
| ルール | 最高特権で作成されたコンテナー | コンテナーが特権フラグを指定して作成されたときにそのことを検出します。 許可リスト・イメージ・ハッシュ・ルール値を指定してコンテナーを作成することは有効ですが、コンテナー・イベントおよびプロセス作成イベントをトリガーするコンテナーを作成することは疑わしい振る舞いです。 |
| ルール | スケジュールされたタスクのコンテナー作成または変更 | ファイル変更イベントがあるコンテナーがスケジュール済みタスクを作成または更新したときにそのことを検出します。 |
| ルール | コンテナーによる、異常に重要なシステム・ディレクトリー内のファイルの作成または更新 | コンテナーが通常とは異なる重要なシステム・ディレクトリー (例えば、/、/root、/proc、/bin、/sbin、/usr/bin、/usr/sbin、/lib、/usr/lib、/dev) にあるファイルを作成または更新したときにそのことを検出します。 |
| ルール | コンテナーによる重要な認証ファイルの変更 | adduser やその他のプロセスなど、使用されたプロセスに関係なく、コンテナーが重要な認証関連ファイルを変更したときにそのことを検出します。 |
| ルール | SELinux 構成を変更するコンテナー | コンテナーが SELinux 構成を変更したときにそのことを検出します。 攻撃者が SELinux を無効にしたり、動作モードを変更したりする可能性があります。 |
| ルール | ネットワーク管理ユーティリティーまたはディスカバリー・ユーティリティーを実行するコンテナー | コンテナーが疑わしいネットワーク管理またはディスカバリーの振る舞い (例えば、nc、namp、tcpdump) を実行したときにそのことを検出します。 |
| ルール | コンテナー実行パッケージ管理ユーティリティー | コンテナーが実行時にパッケージ管理ユーティリティーを実行したときにそのことを検出します。 コンテナーは変更不可能なオブジェクトであり、パッケージ管理の実行は疑わしい振る舞いです。攻撃者が、危険にさらされたコンテナーに追加のツールをインストールしている可能性があるためです。 |
| ルール | リモート・ファイル転送ユーティリティーを実行するコンテナー | コンテナーがリモート・ファイル転送ユーティリティー (例えば、wget、curl、sftp) を実行したときにそのことを検出します。 |
| ルール | ユーザー列挙型または管理ユーティリティーを実行するコンテナー | コンテナーが疑わしいユーザーの列挙または管理の振る舞い (例えば、id、groups、useradd) を実行したときにそのことを検出します。 |
| ルール | 秘密鍵またはセキュリティー・トークンのコンテナー検索 | ユーザーがコンテナー内のパスワード・ファイルまたは秘密鍵を検索したときにそのことを検出します。 |
| ルール | SSH を介してデータを送信または受信するコンテナー | コンテナーが SSH 経由でデータを送信または受信したときにそのことを検出します。 攻撃者は、危険にさらされたコンテナーを使用して、別のコンテナーに側方移動したり、SSH ポート 22 を介してデータを引き出したりする可能性があります。 |
| ルール | 機密ファイルまたは重要ファイルに対するソフト・リンクまたはハード・リンクの作成 | 機密ファイルまたは重要ファイルを介したソフト・リンクまたはハード・リンク (例えば、/etc/passwd、/etc/group、/etc/shadow、/etc/gshadow、/etc/sudoers) の作成を検出します。 |
| ルール | カーネル・モジュールをインストールまたは変更するためのファイル・アクティビティー | /lib/modules の下にある .ko ファイルに対するファイル変更を検査することにより、カーネル・モジュールが作成または変更されたときにそのことを検出します。 |
| ルール | ハッシュ・ダンプ: Linux シャドー・ファイルにアクセスした異常なプロセス | /etc/shadow ファイルが通常とは異なるプロセスによってアクセスされている Linux ベース・システムのハッシュ・ダンプ・アクティビティーを検出します。 |
| ルール | リバース・シェルまたはバインド・シェルの検出: Linux シェルがネットワーク接続を作成しました | ネットワーク接続が Linux シェルに対して開始されたときにそのことを検出します。これは、リバース・シェルまたはバインド・シェルの原因となる可能性があります。 |
| ルール | RootCA 作成またはアップロード | ユーザーが認証局に使用されているフォルダーでファイルを作成したり、そのフォルダーにファイルをアップロードしたりしたときにそのことを検出します。 |
| ルール | SSH ポートを使用してアウトバウンド・ネットワーク接続を作成する異常なプロセス | 通常とは異なるプロセスが SSH ポート 22 を使用してアウトバウンド・ネットワーク接続の作成を開始したときにそのことを検出します。 攻撃者は、防御メカニズムをバイパスしたり、ウェルノウン・ポートを使用してデータを引き出したりするために、この手法を使用する場合があります。 |
| ルール | 重要な認証ファイルを変更する異常なプロセス | 通常とは異なるプロセスが重要な認証関連ファイル (例えば、/etc/passwd) を変更したときにそのことを検出します。 |
| ビルディング・ブロック | BB:CategoryDefinition: コンテナイベント | コンテナー・イベントを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: ファイル変更イベント | ファイル変更イベントを定義します。 |
| ビルディング・ブロック | BB:CategoryDefinition: プロセス作成イベント | プロセス作成イベントを定義します。 |
次の表では、SysFlow コンテンツ拡張 V1.0.1 のリファレンス・セットおよびリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | 重要な認証ファイルを変更できるホワイトリストにある Linux プロセス | 重要な認証ファイル (例えば、/etc/passwd、/etc/group、/etc/shadow) を作成できる、識別されたホワイトリストに登録されている Linux プロセスをリストします。 |
| リファレンス・セット | バイナリーの検索 | ファイルの検索 (例えば、find) に使用できる、識別されたプロセスをリストします。 |
| リファレンス・セット | パッケージ管理ユーティリティー | Linux パッケージのインストール、アップグレード、アンインストール、管理 (例えば、apt-get) に使用できる、識別されたプロセスをリストします。 |
| リファレンス・セット | /etc/shadowにアクセスできるホワイトリストにあるプロセス | Linux シャドー・ファイル /etc/shadow を開いたり、読み取ったりすることができる、識別されたホワイトリストに登録されている Linux プロセスをリストします。 |
| リファレンス・セット | Sensitive/Critical Files (機密/重要ファイル) | 機密ファイルまたは重要ファイルの識別されたファイル・パスをリストします。 |
| リファレンス・セット | リモート・ファイル・コピー・バイナリー | リモート・ファイル転送オペレーター (例えば、scp) の実行に使用できる、識別されたプロセスをリストします。 |
| リファレンス・セット | ネットワーク管理またはディスカバリー・ユーティリティー | ネットワークのディスカバーまたは管理 (例えば、nmap、tcpdump) に使用できる、識別されたプロセスをリストします。 |
| リファレンス・セット | Linux シェル | 識別された Linux シェル・プロセス (例えば、bash、sh) をリストします。 |
| リファレンス・セット | User Enum And Mgmt Binaries (ユーザーの列挙および管理バイナリー) | ユーザー/グループの列挙または管理 (例えば、adduser、deluser、addgroup) に使用できる、識別されたプロセスをリストします。 |
| リファレンス・セット | TLS フォルダー | ルート証明書の識別されたファイル・パスをリストします。 |
| リファレンス・セット | コンテナー・イメージのホワイト・リスト | ホワイトリストに登録できるコンテナー・イメージをリストします。 |
| リファレンス・データ | pulse_imports | Pulse ダッシュボードの一部。 |