이틀 정도 찾아봤는데 빈손으로 왔네요. 저는 Splunk에서 Linux 기반 자격 증명 덤프에 대한 위협 경고를 구축하는 방법을 찾고 있습니다.
이렇게 하려면 /proc디렉터리를 모니터링할 수 있어야 합니다. audit 및 auditd(감사 데몬)를 찾았지만 실제로 auditd를 구성하여 을(를) 모니터링 할 수 있으면 Splunk에 /proc연결할 수 있습니다 .audit.log
최소한 모니터링하고 싶습니다.
/proc/<PID>/maps/proc/<PID>/mem/proc/<PID>/cmdline
하지만 이상적으로는 모니터링하고 싶습니다 /proc.
여기 이런 일을 해본 사람이 있나요? 그렇다면 도움을 주시면 정말 감사하겠습니다.
/proc또한 klogd(커널 로깅 데몬)를 찾았지만 이를 구성하는 방법 이나 이것이 필요한지 여부를 모르겠습니다 .
나는 확실히 다른 접근 방식과 아이디어에 열려 있습니다.
답변1
내 환경에서 RHEL 및 SplunkForwarder를 사용합니다. 구성은 auditd다음을 기반으로 합니다.감사 규칙 정의또는감사 규칙 세트 소개.
파일 시스템 감시( -w) 규칙 정의
auditctl -w <filePath> -p permissions -k <keyName>
녹음 권한이 있습니다
- r - 파일이나 디렉터리 읽기
- w - 파일이나 디렉토리에 쓰기
- x - 실행
- a - 속성 변경
즉 -p wa.
모든 것을 모니터링하는 /proc것은 너무 많은 일입니다.