SysFlow
O IBM Security QRadar Content Extension inclui novas propriedades customizadas, regras customizadas e conjunto de referência para o SysFlow.
A tabela a seguir mostra as propriedades customizadas no SysFlow Content Extension V1.0.1.
| Nome | Otimizada | Expressão JSON |
|---|---|---|
| BytesReceived | Não | /"flow"/"rbytes" |
| BytesSent | Não | /"flow"/"wbytes" |
| Entrada de contêiner | Sim | /"proc"/"entry" |
| ID do contêiner | Sim | /"container"/"id" |
| Imagem do contêiner | Sim | /"container"/"image" |
| ID da imagem de contêiner | Sim | /"container"/"imageid" |
| Nome do contêiner | Não | /"container"/"name" |
| Tipo de contêiner | Não | /"container"/"type" |
| Diretório de Arquivos | Sim | /"file"/"directory" |
| Nome do Arquivo | Sim | / "arquivo" / "nome" |
| Flags Open Flags | Não | /"file"/"openflags"[] |
| Arquivo aberto com permissão de leitura | Não | /"file"/"is_open_read" |
| Arquivo aberto com permissão de gravação | Sim | /"file"/"is_open_write" |
| Caminho de Arquivo | Sim | /"file"/"path" |
| Tipo de arquivo | Não | /"file"/"type" |
| GroupID | Sim | /"proc"/"gid" |
| Nome do grupo | Sim | /"proc"/"group" |
| Nome do Host | Sim | /"node"/"id" |
| Novo Diretório de Arquivos | Não | /"file"/"newdirectory" |
| Nome do Novo Arquivo | Sim | /"file"/"newname" |
| Novo Caminho do Arquivo | Sim | /"file"/"newpath" |
| ID do Processo Principal | Não | /"pproc"/"pid" |
| Nome do processo pai | Sim | /"pproc"/"name" |
| Caminho do Processo Pai | Sim | /"pproc"/"exe" |
| ID do Usuário do Processo Pai | Não | /"pproc"/"uid" |
| Nome do Usuário do Processo Pai | Não | /"pproc"/"user" |
| Contêiner Privilegiado | Sim | /"container"/"privileged" |
| Process CommandLine | Sim | /"proc"/"cmdline" |
| Id do processo | Sim | /"proc"/"pid" |
| Nome do Processo | Sim | /"proc"/"name" |
| Caminho do Processo | Sim | /"proc"/"exe" |
| ID do usuário | Sim | /"proc"/"uid" |
A tabela a seguir mostra as regras customizadas no SysFlow Content Extension V1.0.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Regra | Execução de comando para instalar ou modificar o módulo kernel | Detecta a execução de comandos para instalar ou modificar módulos kernel. Um adversário pode incluir um módulo kernel para alcançar a persistência furtiva ou para executar comandos no modo kernel. |
| Regra | Execução de comando para procura de binários SUID ou SGID | Detecta a execução de um comando para procurar binários SUID ou SGID e pode explorar a escalada de privilégios do usuário. |
| Regra | Execução de comando para atualizar o RootCA | Detecta quando um usuário executa o comando update-ca-certificates para atualizar a lista de Autoridades de certificação. |
| Regra | Contêiner acessando ou modificando regras de firewall | Detecta quando um contêiner acessa ou modifica as regras de firewall. Um adversário pode incluir ou excluir regras de firewall para permitir atos maliciosos. Nota: nada é armazenado em disco para iptables até que o usuário salve as regras executando os comandos iptables-save e, em seguida, iptables-restore. |
| Regra | Contêiner acessando o arquivo relacionado ao SSH | Detecta quando um contêiner acessa os arquivos relacionados ao SSH em /$HOME/.ssh ou /etc/ssh. |
| Regra | Contêiner se comunicando com servidores de metadados de nuvem | Detecta quando um contêiner se comunica com o servidor de metadados de nuvem. O servidor de metadados de nuvem retorna metadados que geralmente incluem o token. O IP de metadados de nuvem é estático e mudado por vários fornecedores de nuvem diferentes. Muda o endereço IP para se adequar ao seu ambiente. |
| Regra | Contêiner se comunicando com endereços IP maliciosos | Detecta quando um contêiner se comunica com endereços IP maliciosos. |
| Regra | Contêiner criado com os privilégios mais altos | Detecta quando um contêiner é criado com a sinalização de privilégio. A criação de um contêiner que tem o valor de Regras de hash de imagem de lista de desbloqueio é válida, mas a criação de um contêiner que aciona o evento de contêiner e o evento de criação de processo é suspeita. |
| Regra | Contêiner criando ou modificando a tarefa planejada | Detecta quando um contêiner que tem um evento de modificação de arquivo cria ou atualiza qualquer tarefa planejada. |
| Regra | Contêiner criando ou atualizando arquivos em diretórios do sistema críticos incomuns | Detecta quando um contêiner cria ou atualiza um arquivo em um diretório do sistema crítico incomum, como /, /root, /proc, /bin, /sbin, /usr/bin, /usr/sbin, /lib, /usr/lib ou /dev. |
| Regra | Contêiner modificando o arquivo de autenticação crítico | Detecta quando um contêiner modifica arquivos críticos relacionados à autenticação independentemente do processo usado, como adduser ou qualquer outro processo. |
| Regra | Contêiner modificando a configuração do SELinux | Detecta quando um contêiner modifica as Configurações do SELinux. Um adversário pode desativar o SELinux ou mudar seu modo operacional. |
| Regra | Contêiner executando os utilitários de gerenciamento de rede ou de descoberta | Detecta quando um contêiner executa comportamento suspeito de gerenciamento de rede ou de descoberta, como nc, namp e tcpdump |
| Regra | Utilitários de gerenciamento de pacotes de execução de contêiner | Detecta quando um contêiner executa utilitários de gerenciamento de pacotes durante seu tempo de execução. Os contêineres são objetos imutáveis e a execução de um gerenciamento de pacotes é suspeita, pois um adversário pode instalar ferramentas adicionais no contêiner comprometido. |
| Regra | Contêiner executando o utilitário de transferência de arquivos remoto | Detecta quando um contêiner executa um utilitário de transferência de arquivos remoto, como wget, curl e sftp. |
| Regra | Contêiner executando utilitários de enumeração ou gerenciamento de usuários | Detecta quando um contêiner executa um comportamento suspeito de enumeração ou gerenciamento de usuários, como ID, grupos e useradd |
| Regra | Contêiner procurando chaves privadas ou tokens de segurança | Detecta quando um usuário procura arquivos de senha ou chaves privadas no contêiner. |
| Regra | Contêiner enviando ou recebendo dados sobre SSH | Detecta quando um contêiner envia ou recebe dados sobre SSH. Um adversário pode usar o contêiner comprometido para se mover lateralmente para outro contêiner ou para exfiltrar dados sobre a porta SSH 22. |
| Regra | Criação de link virtual ou físico sobre arquivos sensíveis ou críticos | Detecta a criação de link virtual ou físico sobre arquivos sensíveis ou críticos, como /etc/passwd, /etc/group, /etc/shadow, /etc/gshadow, /etc/sudoers. |
| Regra | Atividades de arquivos para instalar ou modificar o módulo kernel | Detecta quando um módulo kernel é criado ou modificado por meio da inspeção de modificações de arquivo em um arquivo .ko em /lib/modules. |
| Regra | Dump de hash: um processo incomum acessou o arquivo sombra do Linux | Detecta a atividade de dump de hash em sistemas baseados em Linux, nos quais o arquivo /etc/shadow é acessado por um processo incomum. |
| Regra | Detectado shell reverso ou de ligação: o shell Linux criou uma conexão de rede | Detecta quando uma conexão de rede é iniciada para um shell Linux, o que pode resultar em shell reverso ou de ligação. |
| Regra | RootCA criado ou transferido por upload | Detecta quando um usuário cria ou faz upload de arquivos para uma pasta usada para a Autoridade de certificação. |
| Regra | Processo incomum criando conexões de rede de saída ao usar a porta SSH | Detecta quando um processo incomum começa a criar conexões de rede de saída ao usar a porta SSH 22. Um adversário pode usar essa técnica para ignorar mecanismos de defesa e para exfiltrar dados usando uma porta conhecida. |
| Regra | Processo incomum modificando o arquivo de autenticação crítica | Detecta quando um processo incomum modifica arquivos relacionados à autenticação crítica, como /etc/passwd. |
| Bloco de construção | BB:CategoryDefinition: Evento de contêiner | Define eventos de contêiner. |
| Bloco de construção | BB:CategoryDefinition: Evento de modificação de arquivo | Define eventos de modificação de arquivo. |
| Bloco de construção | BB:CategoryDefinition: Evento de criação de processo | Define eventos de criação de processos |
A tabela a seguir mostra os conjuntos e dados de referência no SysFlow Content Extension V1.0.1.
| Tipo | Nome | Descrição |
|---|---|---|
| Conjunto de Referências | Whitelisted Linux Processos que podem Modificar Arquivos de Autenticação Crítica | Lista os processos do Linux incluídos na lista de desbloqueio que foram identificados e que podem modificar arquivos de autenticação críticos, como: /etc/passwd, /etc/group, /etc/shadow, ... |
| Conjunto de Referências | Procurando Binários | Lista processos identificados que podem ser usados para procurar arquivos, como encontrar,... |
| Conjunto de Referências | Utilidades de Gerenciamento de Pacotes | Lista os processos identificados que podem ser usados para instalar, fazer upgrade, desinstalar e gerenciar pacotes Linux, como: apt-get,... |
| Conjunto de Referências | Processos de whitelisted que podem acessar /etc/shadow | Lista os processos do Linux incluídos na lista de desbloqueio que foram identificados e que podem abrir ou ler o arquivo Shadow do Linux /etc/shadow |
| Conjunto de Referências | Arquivos Sensíveis / Críticos | Lista caminhos identificados para arquivos sensíveis ou críticos. |
| Conjunto de Referências | Binários de Cópia de Arquivo Remoto | Lista processos identificados que podem ser usados para executar operadores de transferência de arquivos remotos, como: scp, ... |
| Conjunto de Referências | Gerenciamento de Rede ou Discovery Utility | Lista processos identificados que podem ser usados para descobrir ou gerenciar a rede, como nmap, tcpdump,... |
| Conjunto de Referências | Linux Conchas | Lista processos de shell linux identificados, como: bash, sh, ... |
| Conjunto de Referências | Usuário Enum E Mgmt Binários | Lista os processos identificados que podem ser usados para enumerar ou gerenciar os usuários/grupos, como: adduser, deluser, addgroup,... |
| Conjunto de Referências | Pastas TLS | Lista os caminhos de arquivo identificados para certificados raiz de TLS. |
| Conjunto de Referências | Lista Branca de Imagem de contêiner | Lista imagens de contêiner que podem ser incluídas na lista de desbloqueio. |
| Dados de referência | pulse_imports | Parte do painel Pulse. |