Компания ООО «Инновационные Технологии в Бизнесе» (ИТБ) представила новый Плейбук реагирования на инциденты Unix-like (Linux) для пользователей Security Capsule SIEM (SC SIEM).

Документ основан на лучших мировых практиках, использует CTI-подход и практики ENISA, охватывает auditd, journald/syslog, события ядра и пользовательского пространства и сопоставляет сценарии с MITRE ATT&CK. Для каждого детекта приведены примеры правил auditd, ориентиры обогащения и корреляции в SC SIEM (включая xbits для kill chain).

Доступность: плейбук предоставляется действующим пользователям SC SIEM и компаниям, запустившим тест-драйв.

Что внутри

• Подготовка: источники (auditd, journald/syslog), профили аудита, исключения «шумных» процессов, надёжная доставка логов.
• Обнаружение и корреляция: конвейер детекции, поведенческие цепочки и xbits, практики шумоподавления, состав алертов.
• Процедура IR: анализ → идентификация → эскалация → сдерживание → удаление → восстановление → уроки/улучшения.
• Сценарии MITRE (выдержка): T1070/T1562, T1059, T1543.002, T1053.003, T1548, T1105/T1041, T1040, T1620/T1055.008, T1574.006, T1496 и др.

Примеры детектов и цепочек (фрагменты из плейбука/rules)

• Вмешательство в подсистему аудита (auditctl/auditd/augenrules), изменение правил auditd; уклонение (T1070.002/.004, T1562.001/.004).
• Брандмауэр: изменение политики iptables/ip6tables/nft/ufw; всплески запусков.
• Закрепление через systemd: enable/daemon-reload/edit unit-file (T1543.002, T1547.006).
• Эскалация привилегий: sudo без TTY, серия sudo; вызовы su (T1548.001/.003).
• Web-shell: /bin/sh|/bin/bash|busybox под web-процессами; запись в web-каталоги.
• Эксфильтрация: архиваторы → исходящие curl/wget/nc/socat (T1105/T1041, T1560).
• Сниффинг: tcpdump, сырой сокет AF_PACKET (T1040).
• In-memory: memfd_create, ptrace (T1620/T1055.008).
• Перехват библиотек: запись в lib, попытки влияния на liblzma (T1574.006, T1505.003).
• Майнинг: xmrig + закрепление в cron/systemd (T1496).

Примеры kill chain на xbits

1. Запись в web-каталог → запуск оболочки от web-процесса.
2. memfd/ptrace → исходящий в память (curl|wget|nc), без артефактов на диске.
3. XMRig → закрепление в cron или systemd.

Кому пригодится

• SOC-аналитикам (T1/T2)
• IR/Forensics/Threat Hunting командам
• Linux/DevOps/SRE и специалистам ИБ

Скачать плейбук (Unix-like/Linux)

Ещё не пользователь SC SIEM? Запустите тест-драйв и получите плейбук.

По вопросам, связанным с решениями ООО «Инновационные Технологии в Бизнесе»: InformSecurity@mont.ru.