Contenu de Chasse aux Menaces : Lieu d’Exécution Suspect

[post-views]
mai 08, 2020 · 2 min de lecture
Contenu de Chasse aux Menaces : Lieu d’Exécution Suspect

La plupart des règles publiées sur le Threat Detection Marketplace visent à détecter les attaques sur les systèmes Windows. Ce n’est pas surprenant puisque la plupart des menaces ciblent spécifiquement le système d’exploitation Microsoft, car c’est le plus populaire. Mais il existe de sérieuses menaces pour d’autres systèmes d’exploitation, donc aujourd’hui nous vous parlerons d’une nouvelle règle de l’équipe SOC Prime pour détecter des lieux d’exécution suspects sur les systèmes Linux via les logs auditbeat : 

https://tdm.socprime.com/tdm/info/oSfxBay3MovM/CuZ-y3EBv8lhbg_iUo58/?p=1

Cette règle complète la règle précédemment publiée pour détecter l’activité du groupe de pirates Outlaw, mais contrairement à la règle Sigma basée sur les IOCs publiée sur notre blog, elle est capable de détecter les attaques d’autres groupes ou botnets sur les serveurs Linux. Les opérations d’exécution suspectes dans des endroits non exécutables sont généralement liées à l’activité de logiciels malveillants. Les serveurs Linux sont souvent la cible de mineurs de cryptomonnaie et de rançongiciels, et cette règle aidera très probablement à détecter une attaque à temps et à prévenir la perte de données ou des problèmes de performance.

Malheureusement, pour l’instant, les traductions pour cette règle ne sont disponibles que pour quelques plateformes : Azure Sentinel, QRadar, ELK Stack, Humio, Carbon Black.

MITRE ATT&CK :

Tactiques : Exécution, Evasion de Défense

Techniques : Interface en ligne de commande (T1059), Scripting (T1064)

 

Autres règles liées aux logs auditbeat qui permettent de détecter les cybermenaces : https://tdm.socprime.com/?logSources[]=auditbeat&searchProject=&searchType=&searchSubType=&searchValue=

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.