SysFlow

下表显示了 SysFlow Content Extension V1.0.1中的定制属性。

表 1. SysFlow 内容扩展 V1.0.1 中的定制属性
名称	已优化	JSON 表达式
BytesReceived	False	/"flow"/"rbytes"
BytesSent	False	/"flow"/"wbytes"
容器条目	是	/"proc"/"entry"
容器标识	是	/"container"/"id"
容器映像	是	/"container"/"image"
容器映像标识	是	/"container"/"imageid"
容器名称	False	/"container"/"name"
容器类型	False	/"container"/"type"
文件目录	是	/"file"/"directory"
文件名	是	/"file"/"name"
文件打开标志	False	/"file"/"openflags" []
使用读许可权打开文件	False	/"file"/"is_open_read"
具有写许可权的文件打开	是	/"file"/"is_open_write"
文件路径	是	/"file"/"path"
文件类型	False	/"file"/"type"
GroupID	是	/"proc"/"gid"
组名	是	/"proc"/"group"
主机名	是	/"node"/"id"
新建文件目录	False	/"file"/"newdirectory"
新建文件名	是	/"file"/"newname"
新建文件路径	是	/"file"/"newpath"
父进程标识	False	/"pproc"/"pid"
父进程名称	是	/"pproc"/"name"
父进程路径	是	/"pproc"/"exe"
父进程用户标识	False	/"pproc"/"uid"
父进程用户名	False	/"pproc"/"user"
特权容器	是	/"container"/"privileged"
进程命令行	是	/"proc"/"cmdline"
进程标识	是	/"proc"/"pid"
进程名称	是	/"proc"/"name"
进程路径	是	/"proc"/"exe"
用户标识	是	/"proc"/"uid"

_{(返回到顶部)}

下表显示了 SysFlow Content Extension V1.0.1中的定制规则。

表 2. SysFlow 内容扩展 V1.0.1 中的定制规则
类型	名称	描述
规则	用于安装或修改内核模块的命令执行	检测用于安装或修改内核模块的命令的执行。对手可以添加内核模块以实现隐秘持久性或以内核方式运行命令。
规则	用于搜索 SUID 或 SGID 二进制文件的命令执行	检测命令的执行，以搜索 SUID 或 SGID 二进制文件，并可能利用该命令来升级用户特权。
规则	用于更新 RootCA的命令执行	检测用户何时运行 update-ca-certificate 命令以更新认证中心列表。
规则	容器访问或修改防火墙规则	检测容器何时访问或修改防火墙规则。对手可能会添加或删除防火墙规则以允许恶意行为。注: 在用户通过运行命令 iptables-save 然后 iptables-restore 来保存规则之前，不会在 iptables 的磁盘上存储任何内容。
规则	容器访问 SSH 相关文件	检测容器何时访问/$HOME/.ssh 或 /etc/ssh. 下的 SSH 相关文件。
规则	与 Cloud Meta Data Server 通信的容器	检测容器何时与云元数据服务器通信。云元数据服务器返回通常包含令牌的元数据。云元数据 IP 是静态的，由多个不同的云供应商进行更改。更改 IP 地址以适合您的环境。
规则	容器与恶意 IP 地址通信	检测容器何时与恶意 IP 地址通信。
规则	使用最高特权创建的容器	检测何时使用特权标志创建容器。创建具有白名单映像散列规则值的容器是有效的，但创建用于触发容器事件和流程创建事件的容器是可疑的。
规则	容器创建或修改已调度任务	检测具有文件修改事件的容器何时创建或更新任何调度的任务。
规则	容器在异常关键系统目录中创建或更新文件	检测容器何时在异常关键系统目录 (例如/， /root ， /proc ， /bin， /sbin， /usr/bin, /usr/sbin, /lib ， /usr/lib 或 /dev) 中创建或更新文件。
规则	容器修改关键认证文件	检测容器何时修改与关键认证相关的文件，而不考虑所使用的进程 (例如 adduser 或任何其他进程)。
规则	容器修改 SELinux 配置	检测容器何时修改 SELinux 配置。对手可能会禁用 SELinux 或更改其操作方式。
规则	容器运行网络管理或发现实用程序	检测容器何时运行可疑的网络管理或发现行为，例如 nc ， namp 和 tcpdump
规则	容器运行包管理实用程序	检测容器在其运行期间何时运行包管理实用程序。容器是不可改变的对象，运行程序包管理是可疑的，因为对手可能会在受损的容器中安装其他工具。
规则	容器正在运行远程文件传输实用程序	检测容器何时运行远程文件传输实用程序，例如 wget ， curl 和 sftp。
规则	运行用户枚举或管理实用程序的容器	检测容器何时运行可疑的用户枚举或管理行为，例如标识，组和用户添加
规则	容器搜索专用密钥或安全性令牌	检测用户何时在容器中搜索密码文件或专用密钥。
规则	通过 SSH 发送或接收数据的容器	检测容器何时通过 SSH 发送或接收数据。对手可能使用已泄密的容器横向移动到另一个容器，或者通过 SSH 端口 22 来泄露数据。
规则	创建基于敏感文件或关键文件的软链接或硬链接	检测在敏感或关键文件 (例如 /etc/passwd, /etc/group, /etc/shadow, /etc/gshadow, /etc/sudoers.
规则	要安装或修改内核模块的文件活动	通过检查对 /lib/modules 下的 .ko 文件的文件修改，检测何时创建或修改内核模块。
规则	散列转储: 访问 Linux 影子文件的异常进程	在基于 Linux的系统中检测散列转储活动，其中 /etc/shadow 文件由异常进程访问。
规则	检测到的反向或绑定 Shell: Linux Shell 创建了网络连接	检测何时针对 Linux shell 启动网络连接，这可能导致反向或绑定 shell。
规则	RootCA 已创建或已上载	检测用户何时在用于认证中心的文件夹中创建文件或将文件上载到该文件夹。
规则	使用 SSH 端口创建出站网络连接的异常过程	检测异常进程何时开始使用 SSH 端口 22 创建出站网络连接。对手可能使用此技术来绕过防御机制，并使用众所周知的端口来渗透数据。
规则	修改关键认证文件的异常过程	检测异常进程何时修改关键认证相关文件，例如 /etc/passwd. 。
构建块	BB:CategoryDefinition: ：集装箱事件	定义容器事件。
构建块	BB:CategoryDefinition: ：文件修改事件	定义文件修改事件。
构建块	BB:CategoryDefinition: ：流程创建事件	定义流程创建事件

_{(返回到顶部)}

下表显示了 SysFlow Content Extension V1.0.1中的参考集和参考数据。

表 3. SysFlow 内容扩展 V1.0.1 中的参考集
类型	名称	描述
引用集	可以修改关键认证文件的列入白名单的 Linux 进程	列出可修改关键认证文件的已识别白名单 Linux 进程，例如: /etc/passwd, /etc/group, /etc/shadow, ...
引用集	搜索二进制文件	列出可用于搜索文件的标识流程，例如 find ， ...
引用集	包管理实用程序	列出可用于安装，升级，卸载和管理 linux 软件包的标识流程，例如 :apt-get ， ...
引用集	可访问 /etc/shadow的列入白名单的进程	列出可打开或读取 Linux Shadow 文件 /etc/shadow 的已识别白名单 Linux 进程
引用集	敏感/关键文件	列出敏感文件或关键文件的已识别文件路径。
引用集	远程文件复制二进制文件	列出可用于执行远程文件传输操作程序的标识进程，例如 :scp ， ...
引用集	网络管理或发现实用程序	列出可用于发现或管理网络的已识别进程，例如 nmap ， tcpdump ， ...
引用集	Linux Shells	列出标识的 linux shell 进程，例如 :bash ， sh 和 ....
引用集	用户枚举和管理二进制文件	列出可用于枚举或管理用户/组的标识流程，例如 :adduser ， deluser ， addgroup ， ...
引用集	TLS 文件夹	列出 tls 根证书的已标识文件路径。
引用集	容器映像白名单	列出可列入白名单的容器映像。
参考数据	pulse_import	"脉冲" 仪表板的一部分。

_{(返回到顶部)}