KQL 요청: auditd.summary.how :"/usr/sbin/cron"을 통해 찾을 수 있는 실행 중인 cron 작업에서 이벤트를 제외하려고 합니다.
내 호스트가 SE Linux를 실행하지 않으므로 내가 찾은 규칙(아래 표시)이 작동하지 않습니다.
-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t
나는 이것을 시도할 것이다:
-a never,user -F exe=/usr/sbin/cron
더 이상 일할 필요가 없습니다.
도와 주셔서 감사합니다.
답변1
그래서 좀 더 검색한 후에 이것이 잘 작동한다는 것을 알았습니다.
- module: auditd
# Load audit rules from separate files. Same format as audit.rules(7).
audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
audit_rules: |
## Define audit rules here.
## Create file watches (-w) or syscall audits (-a or -A). Uncomment these
## examples or add your own rules.
## If you are on a 64 bit platform, everything should be running
## in 64 bit mode. This rule will detect any use of the 32 bit syscalls
## because this might be a sign of someone exploiting a hole in the 32
## bit API.
#-a always,exit -F arch=b32 -S all -F key=32bit-abi
## Executions.
#-a always,exit -F arch=b64 -S execve,execveat -k exec
## External access (warning: these can be expensive to audit).
#-a always,exit -F arch=b64 -S accept,bind,connect -F key=external-access
## Identity changes.
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
## Unauthorized access attempts.
-a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access
processors:
- drop_event:
when:
equals:
process.executable: "/usr/sbin/cron"
흥미로운 부분은 다음과 같습니다.
processors:
- drop_event:
when:
equals:
process.executable: "/usr/sbin/cron"
"/usr/sbin/cron" 프로세스가 실행되는 동안 auditbeat에 이벤트를 삭제하도록 요청하겠습니다.