MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1070.002: Очистка системных журналов Linux или Mac

Злоумышленники могут очищать системные журналы для скрытия следов атаки. В macOS и Linux в системных журналах хранятся сведения о действиях системы и пользователей. Большая часть системных журналов хранится в каталоге /var/log/. Во вложенных каталогах журналы категоризированы по функциям, а именно:

  • /var/log/messages:: сообщения общего характера и системные сообщения;
  • /var/log/secure или /var/log/auth.log: журналы аутентификации;
  • /var/log/utmp или /var/log/wtmp: записи о входе в систему;
  • /var/log/kern.log: журналы ядра;
  • /var/log/cron.log: журналы crond;
  • /var/log/maillog: журналы почтового сервера;
  • /var/log/httpd/: журналы посещений и ошибок веб-сервера.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Monitor for unexpected deletion of a system log file, typically stored in /var/logs or /Library/Logs.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments for actions that could be taken to remove or overwrite system logs.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to system log files, typically stored in /var/log or /Library/Logs, for unexpected modifications to access permissions and attributes

Меры противодействия

IDM1029НазваниеУдаленное хранение данныхОписание

Automatically forward events to a log server or data repository to prevent conditions in which the adversary can locate and manipulate data on the local system. When possible, minimize time delay on event reporting to avoid prolonged storage on the local system.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Protect generated event files that are stored locally with proper permissions and authentication and limit opportunities for adversaries to increase privileges by preventing Privilege Escalation opportunities.

IDM1041НазваниеШифрование важной информацииОписание

Obfuscate/encrypt event files locally and in transit to avoid giving feedback to an adversary.