SysFlow

O IBM Security QRadar Content Extension inclui novas propriedades customizadas, regras customizadas e conjunto de referência para o SysFlow.

A tabela a seguir mostra as propriedades customizadas no SysFlow Content Extension V1.0.1.

Tabela 1. Propriedades customizadas no SysFlow Content Extension V1.0.1
Nome Otimizada Expressão JSON
BytesReceived Não /"flow"/"rbytes"
BytesSent Não /"flow"/"wbytes"
Entrada de contêiner Sim /"proc"/"entry"
ID do contêiner Sim /"container"/"id"
Imagem do contêiner Sim /"container"/"image"
ID da imagem de contêiner Sim /"container"/"imageid"
Nome do contêiner Não /"container"/"name"
Tipo de contêiner Não /"container"/"type"
Diretório de Arquivos Sim /"file"/"directory"
Nome do Arquivo Sim / "arquivo" / "nome"
Flags Open Flags Não /"file"/"openflags"[]
Arquivo aberto com permissão de leitura Não /"file"/"is_open_read"
Arquivo aberto com permissão de gravação Sim /"file"/"is_open_write"
Caminho de Arquivo Sim /"file"/"path"
Tipo de arquivo Não /"file"/"type"
GroupID Sim /"proc"/"gid"
Nome do grupo Sim /"proc"/"group"
Nome do Host Sim /"node"/"id"
Novo Diretório de Arquivos Não /"file"/"newdirectory"
Nome do Novo Arquivo Sim /"file"/"newname"
Novo Caminho do Arquivo Sim /"file"/"newpath"
ID do Processo Principal Não /"pproc"/"pid"
Nome do processo pai Sim /"pproc"/"name"
Caminho do Processo Pai Sim /"pproc"/"exe"
ID do Usuário do Processo Pai Não /"pproc"/"uid"
Nome do Usuário do Processo Pai Não /"pproc"/"user"
Contêiner Privilegiado Sim /"container"/"privileged"
Process CommandLine Sim /"proc"/"cmdline"
Id do processo Sim /"proc"/"pid"
Nome do Processo Sim /"proc"/"name"
Caminho do Processo Sim /"proc"/"exe"
ID do usuário Sim /"proc"/"uid"

(Voltar para o topo)

A tabela a seguir mostra as regras customizadas no SysFlow Content Extension V1.0.1.

Tabela 2. Regras customizadas no SysFlow Content Extension V1.0.1
Tipo Nome Descrição
Regra Execução de comando para instalar ou modificar o módulo kernel Detecta a execução de comandos para instalar ou modificar módulos kernel. Um adversário pode incluir um módulo kernel para alcançar a persistência furtiva ou para executar comandos no modo kernel.
Regra Execução de comando para procura de binários SUID ou SGID Detecta a execução de um comando para procurar binários SUID ou SGID e pode explorar a escalada de privilégios do usuário.
Regra Execução de comando para atualizar o RootCA Detecta quando um usuário executa o comando update-ca-certificates para atualizar a lista de Autoridades de certificação.
Regra Contêiner acessando ou modificando regras de firewall Detecta quando um contêiner acessa ou modifica as regras de firewall. Um adversário pode incluir ou excluir regras de firewall para permitir atos maliciosos. Nota: nada é armazenado em disco para iptables até que o usuário salve as regras executando os comandos iptables-save e, em seguida, iptables-restore.
Regra Contêiner acessando o arquivo relacionado ao SSH Detecta quando um contêiner acessa os arquivos relacionados ao SSH em /$HOME/.ssh ou /etc/ssh.
Regra Contêiner se comunicando com servidores de metadados de nuvem Detecta quando um contêiner se comunica com o servidor de metadados de nuvem. O servidor de metadados de nuvem retorna metadados que geralmente incluem o token. O IP de metadados de nuvem é estático e mudado por vários fornecedores de nuvem diferentes. Muda o endereço IP para se adequar ao seu ambiente.
Regra Contêiner se comunicando com endereços IP maliciosos Detecta quando um contêiner se comunica com endereços IP maliciosos.
Regra Contêiner criado com os privilégios mais altos Detecta quando um contêiner é criado com a sinalização de privilégio. A criação de um contêiner que tem o valor de Regras de hash de imagem de lista de desbloqueio é válida, mas a criação de um contêiner que aciona o evento de contêiner e o evento de criação de processo é suspeita.
Regra Contêiner criando ou modificando a tarefa planejada Detecta quando um contêiner que tem um evento de modificação de arquivo cria ou atualiza qualquer tarefa planejada.
Regra Contêiner criando ou atualizando arquivos em diretórios do sistema críticos incomuns Detecta quando um contêiner cria ou atualiza um arquivo em um diretório do sistema crítico incomum, como /, /root, /proc, /bin, /sbin, /usr/bin, /usr/sbin, /lib, /usr/lib ou /dev.
Regra Contêiner modificando o arquivo de autenticação crítico Detecta quando um contêiner modifica arquivos críticos relacionados à autenticação independentemente do processo usado, como adduser ou qualquer outro processo.
Regra Contêiner modificando a configuração do SELinux Detecta quando um contêiner modifica as Configurações do SELinux. Um adversário pode desativar o SELinux ou mudar seu modo operacional.
Regra Contêiner executando os utilitários de gerenciamento de rede ou de descoberta Detecta quando um contêiner executa comportamento suspeito de gerenciamento de rede ou de descoberta, como nc, namp e tcpdump
Regra Utilitários de gerenciamento de pacotes de execução de contêiner Detecta quando um contêiner executa utilitários de gerenciamento de pacotes durante seu tempo de execução. Os contêineres são objetos imutáveis e a execução de um gerenciamento de pacotes é suspeita, pois um adversário pode instalar ferramentas adicionais no contêiner comprometido.
Regra Contêiner executando o utilitário de transferência de arquivos remoto Detecta quando um contêiner executa um utilitário de transferência de arquivos remoto, como wget, curl e sftp.
Regra Contêiner executando utilitários de enumeração ou gerenciamento de usuários Detecta quando um contêiner executa um comportamento suspeito de enumeração ou gerenciamento de usuários, como ID, grupos e useradd
Regra Contêiner procurando chaves privadas ou tokens de segurança Detecta quando um usuário procura arquivos de senha ou chaves privadas no contêiner.
Regra Contêiner enviando ou recebendo dados sobre SSH Detecta quando um contêiner envia ou recebe dados sobre SSH. Um adversário pode usar o contêiner comprometido para se mover lateralmente para outro contêiner ou para exfiltrar dados sobre a porta SSH 22.
Regra Criação de link virtual ou físico sobre arquivos sensíveis ou críticos Detecta a criação de link virtual ou físico sobre arquivos sensíveis ou críticos, como /etc/passwd, /etc/group, /etc/shadow, /etc/gshadow, /etc/sudoers.
Regra Atividades de arquivos para instalar ou modificar o módulo kernel Detecta quando um módulo kernel é criado ou modificado por meio da inspeção de modificações de arquivo em um arquivo .ko em /lib/modules.
Regra Dump de hash: um processo incomum acessou o arquivo sombra do Linux Detecta a atividade de dump de hash em sistemas baseados em Linux, nos quais o arquivo /etc/shadow é acessado por um processo incomum.
Regra Detectado shell reverso ou de ligação: o shell Linux criou uma conexão de rede Detecta quando uma conexão de rede é iniciada para um shell Linux, o que pode resultar em shell reverso ou de ligação.
Regra RootCA criado ou transferido por upload Detecta quando um usuário cria ou faz upload de arquivos para uma pasta usada para a Autoridade de certificação.
Regra Processo incomum criando conexões de rede de saída ao usar a porta SSH Detecta quando um processo incomum começa a criar conexões de rede de saída ao usar a porta SSH 22. Um adversário pode usar essa técnica para ignorar mecanismos de defesa e para exfiltrar dados usando uma porta conhecida.
Regra Processo incomum modificando o arquivo de autenticação crítica Detecta quando um processo incomum modifica arquivos relacionados à autenticação crítica, como /etc/passwd.
Bloco de construção BB:CategoryDefinition: Evento de contêiner Define eventos de contêiner.
Bloco de construção BB:CategoryDefinition: Evento de modificação de arquivo Define eventos de modificação de arquivo.
Bloco de construção BB:CategoryDefinition: Evento de criação de processo Define eventos de criação de processos

(Voltar para o topo)

A tabela a seguir mostra os conjuntos e dados de referência no SysFlow Content Extension V1.0.1.

Tabela 3. Conjuntos de referência no SysFlow Content Extension V1.0.1
Tipo Nome Descrição
Conjunto de Referências Whitelisted Linux Processos que podem Modificar Arquivos de Autenticação Crítica Lista os processos do Linux incluídos na lista de desbloqueio que foram identificados e que podem modificar arquivos de autenticação críticos, como: /etc/passwd, /etc/group, /etc/shadow, ...
Conjunto de Referências Procurando Binários Lista processos identificados que podem ser usados para procurar arquivos, como encontrar,...
Conjunto de Referências Utilidades de Gerenciamento de Pacotes Lista os processos identificados que podem ser usados para instalar, fazer upgrade, desinstalar e gerenciar pacotes Linux, como: apt-get,...
Conjunto de Referências Processos de whitelisted que podem acessar /etc/shadow Lista os processos do Linux incluídos na lista de desbloqueio que foram identificados e que podem abrir ou ler o arquivo Shadow do Linux /etc/shadow
Conjunto de Referências Arquivos Sensíveis / Críticos Lista caminhos identificados para arquivos sensíveis ou críticos.
Conjunto de Referências Binários de Cópia de Arquivo Remoto Lista processos identificados que podem ser usados para executar operadores de transferência de arquivos remotos, como: scp, ...
Conjunto de Referências Gerenciamento de Rede ou Discovery Utility Lista processos identificados que podem ser usados para descobrir ou gerenciar a rede, como nmap, tcpdump,...
Conjunto de Referências Linux Conchas Lista processos de shell linux identificados, como: bash, sh, ...
Conjunto de Referências Usuário Enum E Mgmt Binários Lista os processos identificados que podem ser usados para enumerar ou gerenciar os usuários/grupos, como: adduser, deluser, addgroup,...
Conjunto de Referências Pastas TLS Lista os caminhos de arquivo identificados para certificados raiz de TLS.
Conjunto de Referências Lista Branca de Imagem de contêiner Lista imagens de contêiner que podem ser incluídas na lista de desbloqueio.
Dados de referência pulse_imports Parte do painel Pulse.

(Voltar para o topo)