MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1070.002: Очистка системных журналов Linux или Mac

Злоумышленники могут очищать системные журналы для скрытия следов атаки. В macOS и Linux в системных журналах хранятся сведения о действиях системы и пользователей. Большая часть системных журналов хранится в каталоге /var/log/. Во вложенных каталогах журналы категоризированы по функциям, а именно:

  • /var/log/messages:: сообщения общего характера и системные сообщения;
  • /var/log/secure или /var/log/auth.log: журналы аутентификации;
  • /var/log/utmp или /var/log/wtmp: записи о входе в систему;
  • /var/log/kern.log: журналы ядра;
  • /var/log/cron.log: журналы crond;
  • /var/log/maillog: журналы почтового сервера;
  • /var/log/httpd/: журналы посещений и ошибок веб-сервера.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте нетипичные случаи удаления системных журналов, которые обычно хранятся в каталоге /var/logs или Library/Logs.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов в журналах системы, которые обычно хранятся в каталоге /var/log или /Library/Logs.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или перезаписи системных журналов.

Меры противодействия

IDM1029НазваниеУдаленное хранение данныхОписание

Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

IDM1041НазваниеШифрование важной информацииОписание

Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь.