Utilisation de Sysmon pour Linux pour surveiller les techniques MITRE ATT&CK

Il y a beaucoup à couvrir lors de la conférence sur la sécurité RhythmWorld 2022 de cette année ! Dans l’une de nos sessions plus techniques, nous avons discuté de la récente version de Microsoft Sysinternals de Sysmon pour Linux, un outil de surveillance du système Linux open source. Vous pouvez trouver le projet sur leur page Github pour voir la documentation et la source ; de nombreuses ressources sur le téléchargement, l’installation et la configuration du logiciel Sysmon pour Linux. Dans ce blog, nous couvrirons les prochaines étapes que vous pouvez suivre pour utiliser les journaux qu’il génère, ainsi que la meilleure façon de les utiliser dans LogRhythm SIEM.

Lors de l’examen du fonctionnement de Sysmon pour Linux, il existe de nombreuses similitudes avec Sysmon pour Windows dans la manière dont il peut être configuré et dont les journaux sont générés. Bien sûr, avec différentes architectures de système d’exploitation, il y a aussi quelques changements.

En regardant le journal XML qu’il génère, il semble presque identique à son homologue Windows. Cependant, la collecte via Syslog au lieu du journal des événements Windows est logique pour un système * nix. De même, le fichier de configuration utilisé pour configurer Sysmon est partagé entre différentes implémentations, mais les fichiers de configuration avec plusieurs maturités (telles que SwiftonSecurity) doivent être refactorisés pour rechercher le processus * nix, le chemin du dossier, etc. considération.

En continuant avec les similitudes, les sorties ressemblent également à la version Windows, et les seules différences que nous avons vues étaient certaines des ponctuations où les guillemets simples et doubles ont été remplacés. Au moment de la rédaction de ce blog, il existe actuellement vingt-cinq types d’événements dans la version Windows. Huit d’entre eux ont été portés sur Sysmon pour Linux, en gardant les ID d’événement identiques.

Dans l’ensemble, cela permet une bonne base de connaissances et de convivialité au sein de LogRhythm SIEM, car la familiarité est là pour permettre un mouvement facile du déploiement du module MITRE ATT&CK® de LogRhythm et comment nous pouvons utiliser la sortie pour surveiller l’environnement * nix dans le de la même façon.

Dix techniques MITRE ATT&CK à suivre

Dans notre présentation à RhythmWorld 2022, nous avons discuté du calculateur d’attaques supérieures MITRE ATT&CK. Cela nous permet de saisir la visibilité des journaux dont nous disposons et les systèmes d’exploitation sur lesquels nous concentrer. Il affichera ensuite une liste des dix principaux cas d’utilisation à suivre à partir du cadre MITRE. Lors de l’examen des journaux Sysmon fournis pour Linux, nous avons trouvé ces dix principales techniques à suivre ci-dessous :

  1. Interprète de commandes et de scripts T1059
  2. T1053 Tâche/travail planifié
  3. T1562 Défenses contre les dommages
  4. Flux d’exécution de piratage T1574
  5. T1543 Créer ou modifier des processus système
  6. T1021 Services à distance
  7. T1003 Vidage des informations d’identification du système d’exploitation
  8. T1036 Masquage
  9. Processus d’injection T1055
  10. Mécanisme de contrôle d’élévation d’abus T1548

Pour tester ces techniques, nous avons utilisé Red Canary Atomics et Caldera. Si vous souhaitez passer en revue certaines des techniques de test que nous utilisons, consultez le blog Catching True Positive in Network Security. Lors de l’évaluation des techniques répertoriées ci-dessus, nous avons constaté que 80 % peuvent être suivis à l’aide de la journalisation Sysmon pour Linux. En plus de surveiller les journaux Sysmon, nous avons constaté que la journalisation Auditd par défaut ne fournit pas suffisamment d’informations pour intercepter correctement ces attaques. Bien que nous puissions obtenir quatre-vingts pour cent, les deux non-déclencheurs sont les services à distance T1021 et l’injection de processus T1055, pour lesquels d’autres techniques de détection sont nécessaires. Dans le graphique ci-dessous, nous mettons en évidence les sous-techniques utilisées par rapport aux techniques mises en évidence dans le calculateur.

Figure 1 : Aperçu des sous-techniques utilisées dans l’essai

Dans le cadre du suivi de notre présentation RhythmWorld 2022, nous aimerions partager les onze cas d’utilisation que nous avons développés pour les huit techniques que nous avons trouvées en utilisant Sysmon pour Linux. Le post de la communauté LogRhythm fournit un détail de la technique, quelques exemples d’exportation de journaux, le cas d’utilisation AI Engine que vous pouvez importer directement dans votre SIEM, et même le cas d’utilisation ECHO pour tester si les règles. Cela fournira un démarrage rapide pour utiliser et surveiller vos systèmes Linux avec Sysmon pour Linux. Vous pouvez importer les journaux dans le SIEM et offrir une grande visibilité sur les dix principales techniques de surveillance recommandées par MITRE.

Pour plus d’informations sur Sysmon pour Linux, veuillez consulter la communauté LogRhythm pour les articles suivants sur l’installation, la configuration et les cas d’utilisation de Sysmon pour Linux.

Le message Utilisation de Sysmon pour Linux pour suivre les techniques MITRE ATT&CK est apparu en premier sur LogRhythm.

*** Ceci est un blog syndiqué du Security Bloggers Network de LogRhythm écrit par Ianni Le. Lisez le message original sur : https://logrhythm.com/blog/using-sysmon-for-linux-to-monitor-against-mitre-attck-techniques/

Leave a Reply

Your email address will not be published. Required fields are marked *