Linux 延长

在 IBM® Cloud Logs 中,您可以使用 Linux 扩展深入了解 Linux 环境日志。

Linux 是一种类似 Unix 的开源社区开发操作系统(OS),适用于计算机、服务器、大型机、移动设备和嵌入式设备。 它几乎支持所有主要计算机平台,包括 x86、ARM 和 SPARC,是支持范围最广的操作系统之一。

Linux 命令是 Linux 操作系统的一个实用程序。 所有基本和高级任务都可以通过运行命令来完成。 这些命令在 Linux 终端上运行。 终端是与系统交互的命令行界面。 Linux 中的命令区分大小写。

准备工作

使用该扩展,您可以为 Linux 可能预示安全问题的行为创建警报。

部署扩展时,您需要选择

  • applicationName:应用程序名称是生成日志并将日志发送至 IBM Cloud Logs 的环境。
  • subsystemName:子系统名称是生成日志并将日志发送至 IBM Cloud Logs 的服务或应用程序。

该扩展部署的内容

该扩展包括一个或多个项目。

部署扩展时包含的项目
包含 编号
警报 16
仪表板 0
扩充项 0
活动指标 0
规则 1
视图 0

在部署此扩展程序之前,请确保部署此扩展程序不会导致您 的 IBM Cloud Logs 实例超出限制。 如果部署扩展导致超出限制,部署将失败。

部署扩展

您可以在任何收集 Linux 日志的 IBM Cloud Logs 实例中部署此扩展。 该扩展包括一套预配置资源,可帮助您监控潜在的安全问题。

有关部署扩展的更多信息,请参阅 部署、管理和删除 IBM Cloud Logs 扩展

部署后,验证扩展配置处理数据的方式是否与 IBM Cloud Logs 实例 TCO 配置相匹配。 对于通过 分析和警报 和 优先级洞察 数据管道处理的数据,可提供警报、仪表板和指标事件功能。 部署扩展后,请确保配置满足您的需求。 例如,如果有 TCO 策略 向 分析和警报 管道发送数据,则需要更改此扩展配置的仪表板,以使用分析和警报数据,而不是 优先级洞察.

解析规则

您可以使用所提供的解析规则来解析和提取日志数据,为监控和分析做好准备。

所提供的解析规则可从日志信息中提取 Linux 命令和用户名。

警报

您可以部署以下任何一种警报:

  • Linux - No Logs From Linux:如果在过去 12 小时内没有 Linux 帐户的日志,则触发此警报。
  • Linux - Suspicious SSH Errors Observed:一旦发现可疑的 SSH / SSHD 错误信息,即会触发该警报,这些信息表明存在致命或可疑的错误,可能是由入侵企图造成的。
  • Linux - Anomalous Data Transferred:只要 Linux 系统使用命令行工具(如 wget, scp, rsync, ftpsftp )在短时间内发生异常数据传输,就会触发该警报。
  • Linux - Action performed on Command History:只要在 Linux 系统上对包含 bash 命令历史记录的文件执行操作,就会触发该警报。 用户可以查看或删除命令历史记录。 该警报的阈值设定为 20 分钟内 3 次。 您可以根据需要修改该阈值。
  • Linux - Kernel Module Activity Observed:只要在 Linux 系统上观察到与内核模块相关的活动,如加载、卸载等,就会触发该警报。
  • Linux - OS Credentials Dumping Attempted:只要有人试图查看或转储 Linux 系统上 /etc/passwd/etc/shadow 文件的内容,就会触发该警报。
  • Linux - SSH Authorized Keys Usage Observed:只要用户在 Linux 系统上使用 SSH 授权密钥,就会触发该警报。 SSH 密钥对是两个加密安全的密钥,可用于验证客户端到 SSH 服务器的身份。 每个密钥对由一个公钥和一个私钥组成。
  • Linux - System Time Changed:只要系统日期和时间发生变化,就会触发该警报。
  • Linux - Possible Buffer Overflow Attempt:只要恶意行为者尝试缓冲区溢出,就会触发该警报。 该警报会检查缓冲区溢出的 4 个常见指标。
  • Linux - Data Encoding Observed:只要在 Linux 系统中发现使用 base64execve 进行数据编码,就会触发该警报。
  • Linux - Ubuntu UFW Firewall Disabled:当 Ubuntu 防火墙被禁用并处于非活动状态时,会触发该警报。
  • Linux - PAM Configuration Modified:当用户试图修改 Linux 机器上的可插拔身份验证模块 (PAM) 时,会触发此警报。 Linux Pluggable Authentication Modules 是一套允许 Linux 系统管理员配置用户身份验证方法的库。 它提供了一种灵活而集中的方式,通过使用配置文件而不是更改应用程序代码,为安全应用程序切换身份验证方法。
  • Linux - Critical Bash Commands Used:在 Linux 机器上运行 cat, rm, nc, ncat, netcat, useradd, cryptcat, trap, grep 等关键 bash 命令时,会触发此警报。
  • Linux - Reverse Shell Command Executed:只要在 Linux 环境中执行 Python 或 Bash 反向 shell 命令,就会触发该警报。
  • Linux - Kernal Parameters Configuration File Modified:只要用户使用 sysctl 命令在 Linux 系统上配置内核参数,并修改 /etc/sysctl.d/ 目录中的配置文件,就会触发该警报。
  • Linux - Possible Password Spraying Attempt:当可能出现试图喷涂密码的情况时,会触发此警报。 密码喷涂使用一个密码(如 Password01 )或一小串可能符合域复杂性策略的常用密码。 使用密码登录网络上的不同账户,可避免使用多个密码对单个账户进行暴力破解时通常会出现的账户锁定情况。