2日ほど探してみましたが、手ぶらで来ましたね。私はSplunkでLinuxベースの資格情報ダンプに対する脅威警告を構築する方法を探しています。
これを行うには、/proc
ディレクトリを監視できる必要があります。 auditとauditd(監査デーモン)が見つかりましたが、実際にauditdを設定して監視できる場合は、Splunkに/proc
接続できます。audit.log
少なくとも監視したいです。
/proc/<PID>/maps
/proc/<PID>/mem
/proc/<PID>/cmdline
しかし、理想的には監視したいと思います/proc
。
ここでこのようなことをした人はいますか?もしそうなら、助けてくれて本当にありがとう。
/proc
また、私はklogd(カーネルロギングデーモン)を見つけましたが、それを設定する方法やこれが必要かどうかわかりません。
私は間違いなく他のアプローチとアイデアに開いています。
答え1
私の環境でRHELとSplunkForwarderを使用してください。構成はauditd
以下に基づいています。監査ルールの定義または監査ルールセットの紹介。
ファイルシステム監視(-w
)ルール定義
auditctl -w <filePath> -p permissions -k <keyName>
録音権限があります
- r - ファイルまたはディレクトリの読み取り
- w - ファイルまたはディレクトリへの書き込み
- x - 実行
- a - 属性の変更
つまり-p wa
。
すべてを監視する/proc
ことはあまりにも多くのことです。