Capsule8和ClamAV的審計日誌模式

對於經典數據平麵中的Databricks計算資源,例如用於集群和pro或經典SQL倉庫的虛擬機,一些特性支持幾個額外的監視代理:增強安全監控遵從性安全配置文件.的遵從性控製需要遵從性安全配置文件pci dssHIPAA,FedRAMP溫和

用於監控Capsule8和ClamAV輸出的輸出在Databricks中可用審計日誌

偏離的溝通

Databricks支持一個多樣化和包容性的環境。這篇文章引用了這個詞黑名單.Databricks認為這是一個排除性的詞。本文使用它是為了保持一致性,因為它是當前出現在軟件中的單詞。當軟件更新到刪除這個詞時,這篇文章將更新到對齊。

要訪問Capsule8和ClamAV的日誌:

  1. 作為管理員,設置審計日誌傳遞到您自己的Amazon S3存儲桶。

  2. 定期檢查日誌中的新行:

Capsule8審計日誌行模式

有關審計日誌的總體模式,請參見審計日誌模式

對Capsule8很重要的審計日誌字段:

  • :這總是capsule8-alerts-dataplane

  • 時間戳: Capsule8代理創建此事件的時間。

  • workspaceId:與此事件關聯的工作空間。

  • requestId:原始Capsule8事件的唯一UUID。

  • requestParams:這個請求參數JSON對象總是隻有一個instanceIdField,也就是實例id(主機的ID)發出此審計日誌條目。

  • 響應: JSON對象。

    • 這總是有一個statusCode屬性設置為200。

    • 一個結果字段,該字段包含Capsule8事件的原始JSON值。JSON可以根據觸發它的檢測而變化。有關完整的模式參考,請參見Capsule8關於警報JSON模式的文章.JSON值被編碼為單個字符串對象,而不是嵌套的JSON值,因此預計會出現以下轉義引號:

      “響應”“statusCode”200“結果”"{\"actionName\": \"Wget程序黑名單\"}"

  • accountId:此工作區的Databricks帳戶ID。

  • auditLevel:這總是WORKSPACE_LEVEL

  • actionName:動作名稱。以下值之一:

    • 心跳:確認監視器打開的常規事件。目前每10分鍾運行一次,但將來可能會改變。

    • 內存標誌著可執行的內存通常被標記為可執行,以便在應用程序被利用時允許惡意代碼執行。當程序將堆或堆棧內存權限設置為可執行時發出警報。這可能導致某些應用服務器出現誤報。

    • 文件完整性監控:監控係統重要文件的完整性。對這些文件的任何未經授權的更改都會發出警報。Databricks在映像上定義了特定的係統路徑集,這些路徑集可能會隨著時間的推移而改變。

    • Systemd單位文件修改:更改係統單元可能導致安全控製被放鬆或禁用,或安裝惡意服務。每當systemd單元文件被其他程序修改systemctl

    • 重複程序崩潰:重複的程序崩潰可能表明攻擊者正在試圖利用內存損壞漏洞,或者受影響的應用程序存在穩定性問題。當超過5個實例的單個程序由於分段錯誤而崩潰時發出警報。

    • Userfaultfd使用:某些Linux功能幾乎隻在利用內核漏洞時使用,通常以特權升級為目標。方法時發出警報userfaultfd係統調用。

    • 文件執行容器:由於容器通常是靜態工作負載,此警報可能表明攻擊者已經破壞了容器,並試圖安裝和運行後門。當在30分鍾內創建或修改的文件在容器中執行時發出警報。

    • 可疑的互動殼牌:交互式shell在現代生產基礎設施中很少出現。當交互式shell啟動時,使用反向shell常用的參數發出警報。

    • 用戶命令日誌記錄逃避:逃避命令日誌記錄是攻擊者的常見做法,但也可能表明合法用戶正在執行未經授權的操作或試圖逃避策略。當檢測到對用戶命令曆史日誌記錄的更改時發出警報,表明用戶正在試圖逃避命令日誌記錄。

    • 帶通濾波器程序執行:檢測某些類型的內核後門。加載新的Berkeley Packet Filter (BPF)程序可能表明攻擊者正在加載基於BPF的rootkit以獲得持久性並避免被檢測。如果進程已經是正在發生的事件的一部分,則在進程加載新的特權BPF程序時發出警報。

    • 內核模塊加載:攻擊者通常會加載惡意內核模塊(rootkits)以逃避檢測,並在受損節點上保持持久性。如果程序已經是正在發生的事件的一部分,則在加載內核模塊時發出警報。

    • 可疑的程序名字Executed-Space文件:攻擊者可以創建或重命名惡意二進製文件,在名稱的末尾包含空格,以冒充合法的係統程序或服務。當程序執行時,在程序名稱後加空格發出警報。

    • 非法海拔高度特權:內核特權升級漏洞通常允許無特權用戶獲得根特權,而無需通過特權更改的標準門。當程序試圖通過不尋常的方式提升特權時發出警報。這可能會在具有大量工作負載的節點上發出假陽性警報。

    • 內核利用:內部內核函數不能被常規程序訪問,如果被調用,則強烈表明內核漏洞已經被執行,並且攻擊者已經完全控製了該節點。當內核函數意外返回用戶空間時發出警報。

    • 處理器保護禁用: SMEP和SMAP是處理器級保護,增加了內核攻擊成功的難度,禁用這些限製是內核攻擊的常見早期步驟。當程序篡改內核SMEP/SMAP配置時發出警報。

    • 容器逃避通過內核剝削:當程序使用容器轉義漏洞中常用的內核函數時發出警報,表明攻擊者正在將權限從容器訪問升級為節點訪問。

    • 享有特權的容器推出了:特權容器可以直接訪問主機資源,一旦泄露,影響更大。如果容器不是已知的特權映像(如kube-proxy),則在啟動特權容器時發出警報。這可能會對合法的特權容器發出不必要的警報。

    • 用戶態容器逃避:許多容器轉義迫使主機執行容器內二進製文件,導致攻擊者獲得受影響節點的完全控製。當容器創建的文件從容器外部執行時發出警報。

    • AppArmor對禁用內核:對某些AppArmor屬性的修改隻能發生在內核中,這表明AppArmor已被內核漏洞或rootkit禁用。當傳感器啟動時檢測到的AppArmor配置與AppArmor狀態發生變化時發出警報。

    • AppArmor對配置文件修改:攻擊者可能會試圖禁用AppArmor配置文件的強製執行,作為逃避檢測的一部分。如果用戶在SSH會話中沒有執行修改AppArmor配置文件的命令,則在執行該命令時發出警報。

    • 引導文件修改:如果不是由可信源(如包管理器或配置管理工具)執行,則修改引導文件可能表明攻擊者修改了內核或其選項,以獲得對主機的持久訪問權。中的文件發生更改時發出警報/ boot,表示安裝了新的內核或引導配置。

    • 日誌文件刪除:未由日誌管理工具執行的日誌刪除可能表明攻擊者正在試圖刪除泄露指標。關於刪除係統日誌文件的警告。

    • 文件執行:來自係統更新程序以外的源新創建的文件可能是後門、內核漏洞或漏洞鏈的一部分。當在30分鍾內創建或修改的文件被執行時發出警報,不包括係統更新程序創建的文件。

    • 證書商店修改:修改根證書存儲可能表明安裝了非法證書頒發機構,允許攔截網絡流量或繞過代碼簽名驗證。當係統CA證書存儲發生更改時發出警報。

    • Setuid / Setgid文件:設置setuid/setgid位可用於為節點上的特權升級提供持久方法。警報時,setuidsetgid屬性在文件上設置修改文件權限係統調用族。

    • 隱藏的文件創建:攻擊者經常創建隱藏文件,作為一種手段,以模糊工具和有效負載上的受損主機。當與正在發生的事件關聯的進程創建隱藏文件時發出警報。

    • 修改常見的係統公用事業公司:攻擊者可以修改係統實用程序,以便在運行這些實用程序時執行惡意有效負載。在公共係統實用程序被未經授權的進程修改時發出警報。

    • 網絡服務掃描儀執行:攻擊者或流氓用戶可能會使用或安裝這些程序來調查已連接的網絡,以尋找額外的節點。執行常用網絡掃描程序工具時發出警報。

    • 網絡服務創建:攻擊者可能會在攻擊後啟動新的網絡服務,以方便訪問主機。如果程序已經是正在進行的事件的一部分,則在程序啟動新的網絡服務時發出警報。

    • 網絡嗅探程序執行:攻擊者或惡意用戶可能會執行網絡嗅探命令來捕獲憑據、個人身份信息(PII)或其他敏感信息。當執行允許網絡捕獲的程序時發出警報。

    • 遠程文件複製檢測到:使用文件傳輸工具可能表明攻擊者正在試圖將工具集移動到其他主機或將數據泄露到遠程係統。如果與遠程文件複製相關的程序已經是正在發生的事件的一部分,則在執行該程序時發出警報。

    • 不尋常的出站連接檢測到:命令和控製通道和加密貨幣礦工經常在不尋常的端口上創建新的出站網絡連接。當程序在不常見端口上啟動新連接時發出警報,如果該程序已經是正在進行的事件的一部分。

    • 數據存檔通過程序:攻擊者在獲得係統訪問權限後,可能會創建一個壓縮檔案文件,以減少用於泄露的數據大小。如果數據壓縮程序已經是正在發生的事件的一部分,則在執行該程序時發出警報。

    • 過程注射:使用進程注入技術通常表明用戶正在調試程序,但也可能表明攻擊者正在從其他進程讀取機密信息或將代碼注入其他進程。當程序使用時發出警報ptrace(調試)與另一個進程交互的機製。

    • 賬戶枚舉通過程序:攻擊者通常會使用帳戶枚舉程序來確定他們的訪問級別,並查看當前是否有其他用戶登錄到該節點。如果與帳戶枚舉關聯的程序已經是正在進行的事件的一部分,則在執行該程序時發出警報。

    • 文件而且目錄發現通過程序:攻擊者利用文件係統後尋找感興趣的憑據和數據的常見行為是探索文件係統。當執行與文件和目錄枚舉關聯的程序時,如果該程序已經是正在發生的事件的一部分,則發出警報。

    • 網絡配置枚舉通過程序:攻擊者可以詢問本地網絡和路由信息,在橫向移動之前識別相鄰的主機和網絡。當執行與網絡配置枚舉關聯的程序時,如果該程序已經是正在進行的事件的一部分,則發出警報。

    • 過程枚舉通過程序:攻擊者經常列出正在運行的程序,以確定節點的用途,以及是否有任何安全或監控工具。如果程序已經是正在發生的事件的一部分,則在執行與進程枚舉關聯的程序時發出警報。

    • 係統信息枚舉通過程序:攻擊者通常執行係統枚舉命令來確定Linux內核和發行版的版本和特性,通常是為了確定節點是否受到特定漏洞的影響。如果與係統信息枚舉關聯的程序已經是正在進行的事件的一部分,則在執行該程序時發出警報。

    • 計劃任務修改通過程序:修改計劃任務是在受損節點上建立持久性的常用方法。警報時,定時任務,或批處理命令用於修改定時任務配置。

    • Systemctl使用檢測到:更改係統單元可能導致安全控製被放鬆或禁用,或安裝惡意服務。警報時,systemctl命令用於修改systemd單元。

    • 用戶執行命令:顯式升級到根用戶會降低將特權活動關聯到特定用戶的能力。警報時,命令執行成功。

    • 用戶執行sudo命令:當sudo命令執行成功。

    • 用戶命令曆史清除:刪除曆史文件是不常見的,通常由攻擊者隱藏活動執行,或由合法用戶企圖逃避審計控製。刪除命令行曆史文件時發出警報。

    • 係統用戶添加:攻擊者可能會向主機添加新用戶,以提供可靠的訪問方法。如果向本地帳戶管理文件添加了新用戶實體,則發出警報/ etc / passwd,如果實體不是由係統更新程序添加的。

    • 密碼數據庫修改:攻擊者可以直接修改與身份相關的文件,向係統中添加新用戶。當與更新現有用戶信息無關的程序修改了與用戶密碼相關的文件時發出警報。

    • SSH授權修改:添加新的SSH公鑰是獲得對受損主機的持久訪問權的常用方法。試圖寫入用戶的SSH時發出警報authorized_keys如果程序已經是正在進行的事件的一部分,則觀察文件。

    • 用戶賬戶創建通過CLI:對於攻擊者來說,在受損節點上建立持久性時,添加新用戶是一個常見步驟。當標識管理程序由包管理器以外的程序執行時發出警報。

    • 用戶配置變化:用戶配置文件和配置文件通常作為一種持久化方法進行修改,以便在用戶登錄時執行程序。當.bash_profile和bashrc(以及相關文件)被係統更新工具以外的程序修改時發出警報。

以下是Capsule8審計日誌的示例:

“版本”“2.0”“時間戳”1625959170109“workspaceId”“2417130538620110”“名”“capsule8-alerts-dataplane”“actionName”“Wget程序黑名單”“requestId”“318 a87db - 4 cfe - 4532 - 9110 - 09 - edc262275e”“requestParams”“instanceId”“i-0a3c9d63bb295eb4f”},“響應”“statusCode”200“結果”“< original_alert_json >”},“accountId”“82 d65820 b5e4 - 4 - ab0 96 - e6 0 - cba825a5687”“auditLevel”“WORKSPACE_LEVEL”

ClamAV審計日誌行模式

有關審計日誌的總體模式,請參見審計日誌模式

對ClamAV很重要的審計日誌字段:

  • :這總是clamAVScanService-dataplane

  • actionName:這總是clamAVScanAction

  • 時間戳: ClamAV產生該日誌行的時間。

  • workspaceId:與此日誌關聯的工作區ID。

  • requestId:原始clamAV掃描事件的唯一UUID。

  • requestParams:這個請求參數JSON對象總是隻有一個instanceIdField,也就是實例id(主機的ID)發出此審計日誌條目。

  • 響應JSON對象總是有一個statusCode200和a結果字段,包含一行clamAV cron作業的原始掃描結果。每個clamAV掃描結果通常由多個審計日誌記錄表示,每一行對應原始掃描輸出。有關此文件中可能出現的內容的詳細信息,請參見ClamAV文檔

  • accountId:與此日誌關聯的Databricks帳戶ID。

  • auditLevel:這總是WORKSPACE_LEVEL

下麵是一個示例ClamAV審計日誌條目,顯示掃描的開始response.result字段:

“版本”“2.0”“時間戳”1625959170109“workspaceId”“2417130538620110”“名”“clamAVScanService-dataplane”“actionName”“clamAVScanAction”“requestId”“318 a87db - 4 cfe - 4532 - 9110 - 09 - edc262275e”“requestParams”“instanceId”“i-0a3c9d63bb295eb4f”},“響應”“statusCode”200“結果”"開始每日clamav掃描:10月25日星期一06:25:01 UTC 2021\\n"},“accountId”“82 d65820 b5e4 - 4 - ab0 96 - e6 0 - cba825a5687”“auditLevel”“WORKSPACE_LEVEL”

ClamAV日誌文件示例:

----------- SCAN SUMMARY -----------已知病毒:8556227引擎版本:0.103.2掃描目錄:6掃描文件:446感染文件:0掃描數據:74.50 MB讀取數據:164.43 MB(比值0.45:1)時間:37.874秒(0 m 37 s)開始日期:2021:07:27 21:47:36結束日期:2021:07:27 21:48:14