Linux 斜切ATTACK Rules

斜切ATT&CK® is a globally accessible knowledge base of adversary tactics and techniques based on the real-world observations. The 斜切ATT&CK知识库被用作开发私有部门,政府以及网络安全产品和服务社区中特定威胁模型和方法的基础。

 

 

ScienceSoft is proud to present its vision of the 斜切ATT&CK策略是专门为IBM QRadar 西门子设计的,它是一组相关规则,只需单击一下即可与IBM QRadar集成。

ScienceSoft 斜切ATT&CK规则符合MITER Corporation使用条款: //attack.mitre.org/resources/terms-of-use/

斜切ATT&适用于Linux平台的CK by ScienceSoft

Linux 斜切ATT&ScienceSoft的CK策略基于正确配置的审核组件提供的审核日志。

Auditd是UNIX审核系统(Audit Daemon)中的用户空间组件,可为用户提供各种Linux发行版中的安全审核方面。 ScienceSoft开发的规则集包括经过审核的配置指令,需要执行这些指令才能使用这些规则。规则逻辑简单明了,并且在大多数情况下,它依赖于经审计的配置,而不是IBM QRadar相关功能。该逻辑可以轻松迁移到您选择的任何SIEM解决方案。

Linux 斜切ATT&CK规则已经过全面测试和调整,但是默认情况下会禁用它们,以防止在生产SIEM环境中出现潜在的假阳性。我们建议在审核的配置之后立即启用它们。

There are two packages of Linux 斜切ATT&ScienceSoft提供的CK规则。

以下规则是免费的,可以从IBM App Exchange下载: //exchange.xforce.ibmcloud.com/hub/

战术

ID

斜接说明

渗出

T1002

数据压缩

采集

T1005

来自本地系统的数据

渗出

T1011

通过其他网络介质渗透

发现

T1016

系统网络配置发现

横向运动

T1021

远程服务

采集

T1039

来自网络共享驱动器的数据

凭证访问,发现

T1040

网络嗅探

发现

T1049

系统网络连接发现

渗出

T1052

物理介质上的渗透

防御防卫,特权升级

T1055

工艺注入

发现

T1057

流程发现

执行

T1059

命令行界面

防御规避

T1070

主机上的指示灯卸下

执行,横向运动

T1072

第三方软件

防御闪避,持久性,特权升级,初始访问

T1078

有效帐号

发现

T1087

帐户发现

命令与控制

T1092

通过可移动媒体进行通信

防御规避

T1107

文件删除

防御规避

T1130

安装根证书

坚持不懈

T1136

创建帐号

凭证访问

T1145

私钥

防御规避

T1146

清除命令历史记录

坚持不懈

T1156

.bash_profile和.bashrc

执着,执行

T1168

本地作业调度

初始访问

T1190

利用面向公众的应用程序

执行

T1203

利用客户执行

横向运动

T1210

远程服务的利用

防御规避

T1211

为逃避国防开发

凭证访问

T1212

利用凭证访问

坚持不懈

T1215

内核模块和扩展

防御规避

T1222

文件和目录权限修改

命令与控制

T1483

域生成算法

影响力

T1485

数据销毁

影响力

T1488

磁盘内容擦除

影响力

T1529

系统关机/重启

影响力

T1531

帐户访问权限删除

廉洁

T1491

污损


以下规则已被许可为商业产品,可以从ScienceSoft购买。要了解更多信息,请通过以下方式与我们联系 [email protected] or send your request via 联系表.

战术

ID

斜接说明

凭证访问

T1003

凭证转储

发现

T1018

远程系统发现

采集

T1025

来自可移动媒体的数据

发现

T1033

系统所有者/用户发现

防御规避

T1036

伪装

特权提升

T1068

利用特权升级

发现

T1069

权限组发现

发现

T1082

系统信息发现

发现

T1083

文件和目录发现

防御规避

T1089

禁用安全工具

防御规避

T1099

Timestomp

持久性,特权升级

T1100

网页外壳

凭证访问

T1139

重击历史

特权提升,持久性

T1166

Setuid和Setgid

特权提升

T1169

须藤

初始访问

T1199

信任关系

初始访问

T1200

硬件附加

发现

T1201

密码策略发现

防御规避,持久性,指挥与控制

T1205

港口敲门

特权提升

T1206

须藤缓存

命令与控制

T1219

远程访问工具

影响力

T1487

磁盘结构擦除

影响力

T1490

禁止系统恢复

影响力

T1492

存储数据操作

影响力

T1494

运行时数据处理

防御规避

T1500

交付后编译

坚持不懈

T1501

系统服务

发现

T1518

软件发现

影响力

T1486

加密数据以产生影响

横向运动

T1184

SSH劫持