Скрипты по настройке аудита размещены на github - https://github.com/stanislavarutyunov/mybash/tree/master/scripts
Самоаудит
Отображение успешных и неудачных попыток чтения информации из записей аудита:
auditctl -w /var/log/audit/ -p wra -k auditlog
Отображение изменения конфигурации аудита, происходящей во время работы функций журналирования:
auditctl -w /etc/audit/ -p wra -k auditconfig
auditctl -w /etc/libaudit.conf -p wra -k auditconfig
Отслеживание использования инструментов управления аудитом:
auditctl -w /sbin/auditctl -p x -k audittools
auditctl -w /sbin/auditd -p x -k audittools
auditctl -w /usr/sbin/auditd -p x -k audittools
auditctl -w /usr/sbin/augenrules -p x -k audittoolss
Отслеживание доступа к прочим утилитам службы аудирования:
auditctl -a always,exit -F path=/usr/sbin/ausearch -F perm=x -k auditreport
auditctl -a always,exit -F path=/usr/sbin/aureport -F perm=x -k auditreport
auditctl -a always,exit -F path=/usr/sbin/aulast -F perm=x -k auditreport
auditctl -a always,exit -F path=/usr/sbin/aulastlogin -F perm=x -k auditreport
auditctl -a always,exit -F path=/usr/sbin/auvirt -F perm=x -k auditreport
Фильтры
Игнорирование событий SELinux:
auditctl -a always,exclude -F msgtype=AVC
Игнорирование событий с меткой рабочей директории:
auditctl -a always,exclude -F msgtype=CWD
Игнорирование событий с меткой идентификатора криптографического ключа, используемого в криптографических целях:
auditctl -a always,exclude -F msgtype=CRYPTO_KEY_USER
Игнорирование событий сron:
auditctl -a never,user -F subj_type=crond_t
auditctl -a exit,never -F subj_type=crond_t
Игнорирование событий chrony:
auditctl -a never,exit -F arch=b32 -S adjtimex -F auid=unset -F uid=chrony -F subj_type=chronyd_t
auditctl -a never,exit -F arch=b64 -S adjtimex -F auid=unset -F uid=chrony -F subj_type=chronyd_t
Игнорирование сообщений, связанных с инструментами виртуальной машины:
###Игнорирование ошибок VMware tools
auditctl -a never,exit -F arch=b32 -S fork -F success=0 -F path=/usr/lib/vmware-tools -F subj_type=initrc_t -F exit=-2
auditctl -a never,exit -F arch=b64 -S fork -F success=0 -F path=/usr/lib/vmware-tools -F subj_type=initrc_t -F exit=-2
auditctl -a exit,never -F arch=b32 -S all -F exe=/usr/bin/vmtoolsd
auditctl -a exit,never -F arch=b64 -S all -F exe=/usr/bin/vmtoolsd
Фильтр событий большого объема:
auditctl -a never,exit -F arch=b32 -F dir=/dev/shm -k sharedmemaccess
auditctl -a never,exit -F arch=b64 -F dir=/dev/shm -k sharedmemaccess
auditctl -a never,exit -F arch=b32 -F dir=/var/lock/lvm -k locklvm
auditctl -a never,exit -F arch=b64 -F dir=/var/lock/lvm -k locklvm
Игнорирование событий с меткой объекта FileBeat:
auditctl -a never,exit -F arch=b32 -F path=/opt/filebeat -k filebeat
auditctl -a never,exit -F arch=b64 -F path=/opt/filebeat -k filebeat
Базовые правила
Отслеживание изменений параметров Kernel:
auditctl -w /etc/sysctl.conf -p wa -k sysctl
auditctl -w /etc/sysctl.d -p wa -k sysctl
Отслеживание удачной и неудачной загрузки Kernel module:
auditctl -a always,exit -F perm=x -F auid!=-1 -F path=/sbin/insmod -k modules
auditctl -a always,exit -F perm=x -F auid!=-1 -F path=/sbin/modprobe -k modules
auditctl -a always,exit -F perm=x -F auid!=-1 -F path=/sbin/rmmod -k modules
auditctl -a always,exit -F arch=b64 -S finit_module -S init_module -S delete_module -F auid!=-1 -k modules
auditctl -a always,exit -F arch=b32 -S finit_module -S init_module -S delete_module -F auid!=-1 -k modules
Отслеживание изменений конфигурации Modprobe:
auditctl -w /etc/modprobe.conf -p wa -k modprobe
auditctl -w /etc/modprobe.d -p wa -k modprobe
Отслеживание использования KExec:
auditctl -a always,exit -F arch=b64 -S kexec_load -k KEXEC
auditctl -a always,exit -F arch=b32 -S sys_kexec_load -k KEXEC
Отслеживание использования специальных файлов (утилита mknod):
auditctl -a always,exit -F arch=b32 -S mknod -S mknodat -k specialfiles
auditctl -a always,exit -F arch=b64 -S mknod -S mknodat -k specialfiles
Отслеживание использования утилиты mount:
auditctl -a always,exit -F arch=b64 -S mount -S umount2 -F auid!=-1 -k mount
auditctl -a always,exit -F arch=b32 -S mount -S umount -S umount2 -F auid!=-1 -k mount
Отслеживание использования утилиты swap:
auditctl -a always,exit -F arch=b64 -S swapon -S swapoff -F auid!=-1 -k swap
auditctl -a always,exit -F arch=b32 -S swapon -S swapoff -F auid!=-1 -k swap
Отслеживание изменения времени:
auditctl -a always,exit -F arch=b32 -F uid!=ntp -S adjtimex -S settimeofday -S clock_settime -k time
auditctl -a always,exit -F arch=b64 -F uid!=ntp -S adjtimex -S settimeofday -S clock_settime -k time
Отслеживание изменения локального времени:
auditctl -w /etc/localtime -p wa -k localtime
Отслеживание использования утилиты stunnel:
auditctl -w /usr/sbin/stunnel -p x -k stunnel
auditctl -w /usr/bin/stunnel -p x -k stunnel
Отслеживание изменения файлов конфигурации cron и запланированных заданий:
auditctl -w /etc/cron.allow -p wa -k cron
auditctl -w /etc/cron.deny -p wa -k cron
auditctl -w /etc/cron.d/ -p wa -k cron
auditctl -w /etc/cron.daily/ -p wa -k cron
auditctl -w /etc/cron.hourly/ -p wa -k cron
auditctl -w /etc/cron.monthly/ -p wa -k cron
auditctl -w /etc/cron.weekly/ -p wa -k cron
auditctl -w /etc/crontab -p wa -k cron
auditctl -w /var/spool/cron/ -k cron
Отслеживание изменения баз пользователей, групп, паролей:
auditctl -w /etc/group -p wa -k etcgroup
auditctl -w /etc/passwd -p wa -k etcpasswd
auditctl -w /etc/gshadow -k etcgroup
auditctl -w /etc/shadow -k etcpasswd
auditctl -w /etc/security/opasswd -k opasswd
Отслеживание изменения файлов sudo:
auditctl -w /etc/sudoers -p wa -k actions
auditctl -w /etc/sudoers.d/ -p wa -k actions
Отслеживание использования passwd:
auditctl -w /usr/bin/passwd -p x -k passwd_modification
Отслеживание использования инструментов изменения идентификаторов группы:
auditctl -w /usr/sbin/groupadd -p x -k group_modification
auditctl -w /usr/sbin/groupmod -p x -k group_modification
auditctl -w /usr/sbin/addgroup -p x -k group_modification
auditctl -w /usr/sbin/useradd -p x -k user_modification
auditctl -w /usr/sbin/userdel -p x -k user_modification
auditctl -w /usr/sbin/usermod -p x -k user_modification
auditctl -w /usr/sbin/adduser -p x -k user_modification
Отслеживание изменения информации и конфигурации login:
auditctl -w /etc/login.defs -p wa -k login
auditctl -w /etc/securetty -p wa -k login
auditctl -w /var/log/faillog -p wa -k login
auditctl -w /var/log/lastlog -p wa -k login
auditctl -w /var/log/tallylog -p wa -k login
Правила сетевого окружения
Отслеживание изменения hostname:
auditctl -a always,exit -F arch=b32 -S sethostname -S setdomainname -k network_modifications
auditctl -a always,exit -F arch=b64 -S sethostname -S setdomainname -k network_modifications
Отслеживание удачных попыток подключения IPv4:
auditctl -a always,exit -F arch=b64 -S connect -F a2=16 -F success=1 -F key=network_connect_4
auditctl -a always,exit -F arch=b32 -S connect -F a2=16 -F success=1 -F key=network_connect_4
Отслеживание удачных попыток подключения IPv6:
auditctl -a always,exit -F arch=b64 -S connect -F a2=28 -F success=1 -F key=network_connect_6
auditctl -a always,exit -F arch=b32 -S connect -F a2=28 -F success=1 -F key=network_connect_6
Отслеживание изменения файлов конфигурации сетевых настроек:
auditctl -w /etc/hosts -p wa -k network_modifications
auditctl -w /etc/sysconfig/network -p wa -k network_modifications
auditctl -w /etc/sysconfig/network-scripts -p w -k network_modifications
auditctl -w /etc/network/ -p wa -k network
auditctl -a always,exit -F dir=/etc/NetworkManager/ -F perm=wa -k network_modifications
Отслеживание изменения файлов issue:
auditctl -w /etc/issue -p wa -k etcissue
auditctl -w /etc/issue.net -p wa -k etcissue
Отслеживание изменения скриптов при запуске ОС:
auditctl -w /etc/inittab -p wa -k init
auditctl -w /etc/init.d/ -p wa -k init
auditctl -w /etc/init/ -p wa -k init
Отслеживание изменения файлов libpath:
auditctl -w /etc/ld.so.conf -p wa -k libpath
auditctl -w /etc/ld.so.conf.d -p wa -k libpath
Отслеживание изменения предварительной загрузки общесистемной библиотеки (LD_PRELOAD):
auditctl -w /etc/ld.so.preload -p wa -k systemwide_preloads
Отслеживание изменения конфигурации PAM и связанных с ним файлов:
auditctl -w /etc/pam.d/ -p wa -k pam
auditctl -w /etc/security/limits.conf -p wa -k pam
auditctl -w /etc/security/limits.d -p wa -k pam
auditctl -w /etc/security/pam_env.conf -p wa -k pam
auditctl -w /etc/security/namespace.conf -p wa -k pam
auditctl -w /etc/security/namespace.d -p wa -k pam
auditctl -w /etc/security/namespace.init -p wa -k pam
Отслеживание изменения конфигурации mail:
auditctl -w /etc/aliases -p wa -k mail
auditctl -w /etc/postfix/ -p wa -k mail
auditctl -w /etc/exim4/ -p wa -k mail
Отслеживание изменения конфигурации ssh:
auditctl -w /etc/ssh/sshd_config -k sshd
auditctl -w /etc/ssh/sshd_config.d -k sshd
Отслеживание изменения подделки ключа ssh:
auditctl -w /root/.ssh -p wa -k rootkey
Правила служб
Отслеживание изменения и использования файлов systemd:
auditctl -w /bin/systemctl -p x -k systemd
auditctl -w /etc/systemd/ -p wa -k systemd
auditctl -w /usr/lib/systemd -p wa -k systemd
Отслеживание событий SELinux, которые изменяют систему мандатного управления доступом:
auditctl -w /etc/selinux/ -p wa -k mac_policy
Отслеживание событий сбоя доступа к критическим элементам:
auditctl -a always,exit -F arch=b64 -S open -F dir=/etc -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/bin -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/sbin -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/usr/bin -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/usr/sbin -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/var -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/home -F success=0 -k unauthedfileaccess
auditctl -a always,exit -F arch=b64 -S open -F dir=/srv -F success=0 -k unauthedfileaccess
Отслеживание использования приложений для изменения идентификатора процесса (переключение учетных записей):
auditctl -w /bin/su -p x -k priv_esc
auditctl -w /usr/bin/sudo -p x -k priv_esc
auditctl -w /etc/sudoers -p rw -k priv_esc
auditctl -w /etc/sudoers.d -p rw -k priv_esc
Отслеживание использования приложений, изменяющих состояние питания:
auditctl -w /sbin/shutdown -p x -k power
auditctl -w /sbin/poweroff -p x -k power
auditctl -w /sbin/reboot -p x -k power
auditctl -w /sbin/halt -p x -k power
Отслеживание изменения информации об инициации сеанса:
auditctl -w /var/run/utmp -p wa -k session
auditctl -w /var/log/btmp -p wa -k session
auditctl -w /var/log/wtmp -p wa -k session
Отслеживание модификации дискреционного контроля доступа:
auditctl -a always,exit -F arch=b32 -S chmod -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S chown -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S fchmod -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S fchmodat -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S fchown -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S fchownat -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S fremovexattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S fsetxattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S lchown -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S lremovexattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S lsetxattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S removexattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b32 -S setxattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S chmod -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S chown -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S fchmod -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S fchmodat -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S fchown -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S fchownat -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S fremovexattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S fsetxattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S lchown -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S lremovexattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S lsetxattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S removexattr -F auid>=1000 -F auid!=-1 -k perm_mod
auditctl -a always,exit -F arch=b64 -S setxattr -F auid>=1000 -F auid!=-1 -k perm_mod
Специальные правила
Отслеживание запросов на получение информации о пользователе:
auditctl -w /usr/bin/whoami -p x -k recon
auditctl -w /usr/bin/id -p x -k recon
auditctl -w /bin/hostname -p x -k recon
auditctl -w /bin/uname -p x -k recon
auditctl -w /etc/issue -p r -k recon
auditctl -w /etc/hostname -p r -k recon
Отслеживание подозрительной деятельности:
### Подразумевается, что использование специализированных утилит, связанных с работой с/в внутренней/внешней сетью, может быть отслежено и зажурналировано.
auditctl -w /usr/bin/wget -p x -k susp_activity
auditctl -w /usr/bin/curl -p x -k susp_activity
auditctl -w /usr/bin/base64 -p x -k susp_activity
auditctl -w /bin/nc -p x -k susp_activity
auditctl -w /bin/netcat -p x -k susp_activity
auditctl -w /usr/bin/ncat -p x -k susp_activity
auditctl -w /usr/bin/ss -p x -k susp_activity
auditctl -w /usr/bin/netstat -p x -k susp_activity
auditctl -w /usr/bin/ssh -p x -k susp_activity
auditctl -w /usr/bin/scp -p x -k susp_activity
auditctl -w /usr/bin/sftp -p x -k susp_activity
auditctl -w /usr/bin/ftp -p x -k susp_activity
auditctl -w /usr/bin/socat -p x -k susp_activity
auditctl -w /usr/bin/wireshark -p x -k susp_activity
auditctl -w /usr/bin/tshark -p x -k susp_activity
auditctl -w /usr/bin/rawshark -p x -k susp_activity
auditctl -w /usr/bin/rdesktop -p x -k Remote_Access_Tools
auditctl -w /usr/local/bin/rdesktop -p x -k Remote_Access_Tools
auditctl -w /usr/bin/wlfreerdp -p x -k susp_activity
auditctl -w /usr/bin/xfreerdp -p x -k Remote_Access_Tools
auditctl -w /usr/local/bin/xfreerdp -p x -k Remote_Access_Tools
auditctl -w /usr/bin/nmap -p x -k susp_activity
Отслеживание использования утилит архивации и сжатия данных:
auditctl -w /usr/bin/zip -p x -k Data_Compressed
auditctl -w /usr/bin/gzip -p x -k Data_Compressed
auditctl -w /usr/bin/tar -p x -k Data_Compressed
auditctl -w /usr/bin/bzip2 -p x -k Data_Compressed
auditctl -w /usr/bin/lzip -p x -k Data_Compressed
auditctl -w /usr/local/bin/lzip -p x -k Data_Compressed
auditctl -w /usr/bin/lz4 -p x -k Data_Compressed
auditctl -w /usr/local/bin/lz4 -p x -k Data_Compressed
auditctl -w /usr/bin/lzop -p x -k Data_Compressed
auditctl -w /usr/local/bin/lzop -p x -k Data_Compressed
auditctl -w /usr/bin/plzip -p x -k Data_Compressed
auditctl -w /usr/local/bin/plzip -p x -k Data_Compressed
auditctl -w /usr/bin/pbzip2 -p x -k Data_Compressed
auditctl -w /usr/local/bin/pbzip2 -p x -k Data_Compressed
auditctl -w /usr/bin/lbzip2 -p x -k Data_Compressed
auditctl -w /usr/local/bin/lbzip2 -p x -k Data_Compressed
auditctl -w /usr/bin/pixz -p x -k Data_Compressed
auditctl -w /usr/local/bin/pixz -p x -k Data_Compressed
auditctl -w /usr/bin/pigz -p x -k Data_Compressed
auditctl -w /usr/local/bin/pigz -p x -k Data_Compressed
auditctl -w /usr/bin/unpigz -p x -k Data_Compressed
auditctl -w /usr/local/bin/unpigz -p x -k Data_Compressed
auditctl -w /usr/bin/zstd -p x -k Data_Compressed
auditctl -w /usr/local/bin/zstd -p x -k Data_Compressed
Отслеживание подозрительной активности в sbin:
### Подразумевается, что использование специализированных утилит может быть отслежено и зажурналировано.
auditctl -w /sbin/iptables -p x -k sbin_susp
auditctl -w /sbin/ip6tables -p x -k sbin_susp
auditctl -w /sbin/ifconfig -p x -k sbin_susp
auditctl -w /usr/sbin/arptables -p x -k sbin_susp
auditctl -w /usr/sbin/ebtables -p x -k sbin_susp
auditctl -w /sbin/xtables-nft-multi -p x -k sbin_susp
auditctl -w /usr/sbin/nft -p x -k sbin_susp
auditctl -w /usr/sbin/tcpdump -p x -k sbin_susp
auditctl -w /usr/sbin/traceroute -p x -k sbin_susp
auditctl -w /usr/sbin/ufw -p x -k sbin_susp
Отслеживание отправки вызовов dbus:
### Может указывать на повышение привилегий CVE-2021-3560
auditctl -w /usr/bin/dbus-send -p x -k dbus_send
auditctl -w /usr/bin/gdbus -p x -k gdubs_call
Отслеживание вызовов pkexec:
### Может указывать на повышение привилегий CVE-2021-4034
auditctl -w /usr/bin/pkexec -p x -k pkexec
Отслеживание подозрительной активности, связанной с shell:
auditctl -w /bin/ash -p x -k susp_shell
auditctl -w /bin/bash -p x -k susp_shell
auditctl -w /bin/csh -p x -k susp_shell
auditctl -w /bin/dash -p x -k susp_shell
auditctl -w /bin/busybox -p x -k susp_shell
auditctl -w /bin/ksh -p x -k susp_shell
auditctl -w /bin/fish -p x -k susp_shell
auditctl -w /bin/tcsh -p x -k susp_shell
auditctl -w /bin/tclsh -p x -k susp_shell
auditctl -w /bin/zsh -p x -k susp_shell
auditctl -w /bin/xonsh -p x -k susp_shell
auditctl -w /usr/local/bin/xonsh -p x -k susp_shell
auditctl -w /bin/open -p x -k susp_shell
auditctl -w /bin/sh -p x -k susp_shell
auditctl -w /bin/rbash -p x -k susp_shell
Отслеживание изменения конфигурации Shell/profile configurations:
auditctl -w /etc/profile.d/ -p wa -k shell_profiles
auditctl -w /etc/profile -p wa -k shell_profiles
auditctl -w /etc/shells -p wa -k shell_profiles
auditctl -w /etc/bashrc -p wa -k shell_profiles
auditctl -w /etc/csh.cshrc -p wa -k shell_profiles
auditctl -w /etc/csh.login -p wa -k shell_profiles
auditctl -w /etc/fish/ -p wa -k shell_profiles
auditctl -w /etc/zsh/ -p wa -k shell_profiles
Отслеживание злоупотребления привилегиями:
### Целью этого правила является обнаружение случаев, когда администратор злоупотребляет полномочиями, путем просмотра домашнего каталога пользователя.
auditctl -a always,exit -F dir=/home -F uid=0 -F auid>=1000 -F auid!=-1 -C auid!=obj_uid -k power_abuse
Отслеживание создания сокетов:
### Отслеживает как IPv4, так и IPv6
auditctl -a always,exit -F arch=b32 -S socket -F a0=2 -k Exfiltration_Over_Other_Network_Medium
auditctl -a always,exit -F arch=b64 -S socket -F a0=2 -k Exfiltration_Over_Other_Network_Medium
auditctl -a always,exit -F arch=b32 -S socket -F a0=10 -k Exfiltration_Over_Other_Network_Medium
auditctl -a always,exit -F arch=b64 -S socket -F a0=10 -k Exfiltration_Over_Other_Network_Medium
Отслеживание создания анонимного файла:
### Эти правила следят за использованием memfd_create, "memfd_create" создает анонимный файл и возвращает
### дескриптор файла для доступа к нему
auditctl -a always,exit -F arch=b64 -S memfd_create -F key=anon_file_create
auditctl -a always,exit -F arch=b32 -S memfd_create -F key=anon_file_create
Правила управления ПО
Отслеживание использования rpm/yum:
auditctl -w /usr/bin/rpm -p x -k software_mgmt
auditctl -w /usr/bin/yum -p x -k software_mgmt
Отслеживание использования dnf:
auditctl -w /usr/bin/dnf -p x -k software_mgmt
Отслеживание использования pip:
auditctl -w /usr/bin/pip -p x -k third_party_software
auditctl -w /usr/local/bin/pip -p x -k third_party_software
auditctl -w /usr/bin/pip3 -p x -k third_party_software
auditctl -w /usr/local/bin/pip3 -p x -k third_party_software
Отслеживание использования npm:
auditctl -w /usr/bin/npm -p x -k third_party_software
Отслеживание использования CPAN (Comprehensive Perl Archive Network):
auditctl -w /usr/bin/cpan -p x -k third_party_software
Отслеживание использования ruby (RubyGems):
auditctl -w /usr/bin/gem -p x -k third_party_software
Отслеживание использования Lua:
auditctl -w /usr/bin/luarocks -p x -k third_party_software
Правила управления специальным ПО
Отслеживание изменений файлов puppet:
auditctl -w /etc/puppet/ssl -p wa -k puppet_ssl
Отслеживание изменений файлов chef:
auditctl -w /etc/chef -p wa -k soft_chef
Отслеживание изменений файлов otter:
auditctl -w /etc/otter -p wa -k soft_otter
Отслеживание использования утилиты grep:
auditctl -w /usr/bin/grep -p x -k T1081_Credentials_In_Files
auditctl -w /usr/bin/egrep -p x -k T1081_Credentials_In_Files
auditctl -w /usr/bin/ugrep -p x -k T1081_Credentials_In_Files
Отслеживание использования и изменения файлов конфигурации docker:
auditctl -w /usr/bin/dockerd -k docker
auditctl -w /usr/bin/docker -k docker
auditctl -w /usr/bin/docker-containerd -k docker
auditctl -w /usr/bin/docker-runc -k docker
auditctl -w /var/lib/docker -k docker
auditctl -w /etc/docker -k docker
auditctl -w /etc/sysconfig/docker -k docker
auditctl -w /etc/sysconfig/docker-storage -k docker
auditctl -w /usr/lib/systemd/system/docker.service -k docker
auditctl -w /usr/lib/systemd/system/docker.socket -k docker
Отслеживание использования систем виртуализации:
auditctl -w /usr/bin/qemu-system-x86_64 -p x -k qemu-system-x86_64
auditctl -w /usr/bin/qemu-img -p x -k qemu-img
auditctl -w /usr/bin/qemu-kvm -p x -k qemu-kvm
auditctl -w /usr/bin/qemu -p x -k qemu
auditctl -w /usr/bin/virtualbox -p x -k virtualbox
auditctl -w /usr/bin/virt-manager -p x -k virt-manager
auditctl -w /usr/bin/VBoxManage -p x -k VBoxManage
Отслеживание использования утилиты kubelet (Kubernetes):
auditctl -w /usr/bin/kubelet -k kubelet
«Тяжелые» события
Примечание.
Правила, представленные ниже, требуют большого объема свободного пространства в среде.
Отслеживание применения команд с правами пользователя root:
auditctl -a always,exit -F arch=b64 -F euid=0 -F auid>=1000 -F auid!=4294967295 -S execve -k rootcmd
auditctl -a always,exit -F arch=b32 -F euid=0 -F auid>=1000 -F auid!=4294967295 -S execve -k rootcmd
Отслеживание события удаления файлов пользователем:
auditctl -a always,exit -F arch=b32 -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=-1 -k delete
auditctl -a always,exit -F arch=b64 -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=-1 -k delete
Отслеживание события неудачного доступа к файлу:
auditctl -a always,exit -F arch=b32 -S creat -S open -S openat -S open_by_handle_at -S truncate -S ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k file_access
auditctl -a always,exit -F arch=b32 -S creat -S open -S openat -S open_by_handle_at -S truncate -S ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=-1 -k file_access
auditctl -a always,exit -F arch=b64 -S creat -S open -S openat -S open_by_handle_at -S truncate -S ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=-1 -k file_access
auditctl -a always,exit -F arch=b64 -S creat -S open -S openat -S open_by_handle_at -S truncate -S ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=-1 -k file_access
Отслеживание события неудачного создания:
auditctl -a always,exit -F arch=b32 -S creat,link,mknod,mkdir,symlink,mknodat,linkat,symlinkat -F exit=-EACCES -k file_creation
auditctl -a always,exit -F arch=b64 -S mkdir,creat,link,symlink,mknod,mknodat,linkat,symlinkat -F exit=-EACCES -k file_creation
auditctl -a always,exit -F arch=b32 -S link,mkdir,symlink,mkdirat -F exit=-EPERM -k file_creation
auditctl -a always,exit -F arch=b64 -S mkdir,link,symlink,mkdirat -F exit=-EPERM -k file_creation
Отслеживание события неудачной модификации:
auditctl -a always,exit -F arch=b32 -S rename -S renameat -S truncate -S chmod -S setxattr -S lsetxattr -S removexattr -S lremovexattr -F exit=-EACCES -k file_modification
auditctl -a always,exit -F arch=b64 -S rename -S renameat -S truncate -S chmod -S setxattr -S lsetxattr -S removexattr -S lremovexattr -F exit=-EACCES -k file_modification
auditctl -a always,exit -F arch=b32 -S rename -S renameat -S truncate -S chmod -S setxattr -S lsetxattr -S removexattr -S lremovexattr -F exit=-EPERM -k file_modification
auditctl -a always,exit -F arch=b64 -S rename -S renameat -S truncate -S chmod -S setxattr -S lsetxattr -S removexattr -S lremovexattr -F exit=-EPERM -k file_modification
Отслеживание события использования 32-битного API для 64-битной системы:
Это правило обнаружит любое использование 32-битных системных вызовов, потому как это может быть признаком использования уязвимости 32-битного API.
auditctl -a always,exit -F arch=b32 -S all -k 32bit_api