系列介绍 Falco 规则 - 启动后读取受信任的敏感文件

在本系列中,运行时威胁检测的事实标准是我将在一篇文章中简要介绍一种检测规则。有关运行时安全性和 Falco 本身的概述请参阅。这次介绍的检测规则是“启动读取信任敏感文件”是。

规则说明
- rule: Read sensitive file trusted after startup
  desc: >
    an attempt to read any sensitive file (e.g. files containing user/password/authentication
    information) by a trusted program after startup. Trusted programs might read these files
    at startup to load initial state, but not afterwards.
  condition: sensitive_files and open_read and server_procs and not proc_is_new and proc.name!="sshd" and not user_known_read_sensitive_files_activities
  output: >
    Sensitive file opened for reading by trusted program after startup (user=%user.name user_loginuid=%user.loginuid
    command=%proc.cmdline parent=%proc.pname file=%fd.name parent=%proc.pname gparent=%proc.aname[2] container_id=%container.id image=%container.image.repository)
  priority: WARNING
  tags: [filesystem, mitre_credential_access]
规则概述

检测启动后受信任的程序读取了身份验证信息等机密文件。受信任的程序通常会在启动时加载敏感文件以进行初始加载,但之后不会,这表明存在可疑活动。也可以使用此规则检测此类活动。

健康)状况

sensitive_files and open_read and server_procs服务器进程读取敏感文件,

not proc_is_new and不是一个新的过程

proc.name!="sshd" and甚至没有 sshd 进程,

not user_known_read_sensitive_files_activities也不是用户定义的已知敏感文件读取活动

sensitive_files 宏的内容如下。

- macro: sensitive_files
  condition: >
    fd.name startswith /etc and
    (fd.name in (sensitive_file_names)
     or fd.directory in (/etc/sudoers.d, /etc/pam.d))

fd.name startswith /etc and文件名以 /etc 和

(fd.name in (sensitive_file_names)文件名包含在sensitive_file_names 列表中,并且

or fd.directory in (/etc/sudoers.d, /etc/pam.d))或者如果目录是 /etc/sudoers.d 或 /etc/pam.d

sensitive_file_names 列表的内容是:

- list: sensitive_file_names
  items: [/etc/shadow, /etc/sudoers, /etc/pam.conf, /etc/security/pwquality.conf]
输出

受信任的程序启动后打开了一个敏感文件以供读取。

%user.name用户名

%user.loginuid用户的登录 UID

%proc.cmdline命令行

%proc.pname父进程名称

%fd.name文件名

%proc.pname父进程名称

%proc.aname[2]两代前的父进程名称

%container.id容器 ID

%container.image.repository容器镜像仓库

原创声明:本文系作者授权爱码网发表,未经许可,不得转载;

原文地址:https://www.likecs.com/show-308626432.html

37人参与, 0条评论 登录后显示评论回复

你需要登录后才能评论 登录/ 注册