Praktik terbaik untuk mengonfigurasi fitur pemantauan file inti - Security Center

Fitur pemantauan file inti memantau akses ke file inti pada server secara real-time. Fitur ini dapat memantau operasi seperti membaca, menulis, menghapus, mengganti nama, dan perubahan izin, serta menghasilkan peringatan untuk aktivitas mencurigakan. Anda dapat menggunakan fitur ini untuk mencegah pencurian atau kerusakan file inti. Topik ini memberikan contoh cara mengonfigurasi fitur pemantauan file inti dan pengaturan notifikasi di tab DingTalk Chatbot untuk menerima peringatan secara real-time.

Hubungan antara deteksi intrusi host dan pemantauan file inti

Strategi pertahanan berlapis dan mendalam direkomendasikan dalam praktik keamanan siber. Dalam banyak kasus, fitur deteksi intrusi host digunakan untuk mendeteksi intrusi mencurigakan berdasarkan karakteristik intrusi. Fitur ini fokus pada perilaku jahat yang dikenal atau tidak dikenal dan aktivitas sistem. Fitur pemantauan file inti fokus pada pemantauan integritas file dan direktori dalam sistem file serta mendeteksi modifikasi tanpa otorisasi.

Kedua fitur tersebut saling melengkapi dan memberikan perlindungan komprehensif untuk meningkatkan efisiensi dalam mendeteksi ancaman kompleks. Memahami perilaku penyerang sangat penting dalam merespons insiden keamanan. Jika seorang penyerang membaca atau memodifikasi file dalam ruang lingkup aturan pemantauan yang Anda buat, fitur pemantauan file inti akan menghasilkan peringatan untuk membantu personel operasi melacak aktivitas rinci penyerang dan melakukan respons serta investigasi secara efisien.

Fitur pemantauan file inti dapat mendeteksi tidak hanya ancaman eksternal tetapi juga ancaman internal, seperti perilaku jahat atau kesalahan yang dilakukan oleh personel internal.

Aturan konfigurasi dan contoh

Bagian ini menjelaskan aturan konfigurasi dan contoh dari fitur pemantauan file inti. Tabel berikut menjelaskan skenario umum dan cara mengonfigurasi aturan pemantauan. Jika aktivitas O&M normal diidentifikasi sebagai perilaku penyerang oleh aturan pemantauan yang dieksekusi pada sistem pengguna yang berbeda, aturan tersebut dapat menghasilkan positif palsu. Kolom terakhir tabel berikut memberikan contoh operasi normal yang mungkin memicu peringatan.

Untuk meminimalkan dampak positif palsu pada sistem O&M, kami sarankan Anda menguji aturan pemantauan secara bertahap sebelum menerapkannya pada berbagai sistem pengguna. Berikut adalah langkah-langkahnya:

Uji Coba Skala Kecil: Selama fase awal, pilih sejumlah kecil server untuk menerapkan aturan pemantauan.
Pemantauan Menyeluruh: Selama periode uji coba skala kecil, pantau secara hati-hati detail hit setiap aturan untuk memverifikasi akurasi dan relevansinya.
Iterasi dan Perbaikan: Tinjau efektivitas perlindungan aturan. Jika aktivitas O&M tertentu memicu peringatan dan Anda memastikan bahwa aktivitas tersebut bukan ancaman, konfigurasikan aturan daftar putih untuk aktivitas tersebut. Dengan cara ini, aktivitas O&M kritis tidak memicu peringatan, dan jumlah peringatan yang harus dikelola berkurang.
Penyebaran Resmi: Setelah Anda menguji dan mengoptimalkan aturan pemantauan beberapa kali dan memastikan tingkat hit aturan stabil serta positif palsu dihilangkan, Anda dapat menerapkan aturan pemantauan ke server yang berbeda.

Tipe File

Deskripsi

Sub-tipe File

Perilaku

Contoh Jalur File

Operasi yang mungkin memicu positif palsu

File sistem inti

Jenis direktori ini mencakup sebagian besar perintah sistem dan pustaka tautan bersama. Aturan pemantauan yang dibuat untuk direktori ini dapat membantu mendeteksi potensi manipulasi jahat oleh penyerang, termasuk penyisipan binari jahat atau manipulasi dependensi sistem.

Direktori binari sistem yang dapat dieksekusi

Menulis dan menghapus

/bin/*
/usr/bin/*
/sbin/*
/usr/sbin/*

Aktivitas seperti instalasi atau pembaruan yang dilakukan dengan menggunakan perangkat lunak manajemen paket juga dapat menulis data ke direktori tersebut. Jika Anda secara manual mengambil kode sumber dari repositori kode dan kemudian mengompilasi kode untuk menginstal perangkat lunak, Anda mungkin secara tidak sengaja menulis data ke direktori tersebut. Dalam kebanyakan kasus, perintah make && make install digunakan. Untuk mencegah operasi normal memicu peringatan, Anda harus mengonfigurasi aturan daftar putih berdasarkan kebutuhan bisnis Anda.

Direktori pustaka bersama

Menulis dan menghapus

/usr/lib/*
/usr/lib64/*

File konfigurasi

Penyerang dapat memodifikasi berbagai file konfigurasi sistem utama untuk meluncurkan serangan. Contohnya:

Penyerang dapat menambahkan atau memodifikasi catatan akun pengguna untuk terus mendapatkan akses ke sistem atau meningkatkan hak istimewa mereka pada sistem.
Penyerang dapat memodifikasi pengaturan resolusi Domain Name System (DNS) untuk menerapkan pembajakan DNS.
Penyerang dapat memodifikasi konfigurasi logging untuk mengganggu atau menghindari audit.
Penyerang dapat memodifikasi atau menonaktifkan pengaturan keamanan tertentu untuk meluncurkan serangan.
Penyerang dapat merusak file konfigurasi aplikasi O&M untuk membajak proses otentikasi dan kemudian melewati langkah-langkah keamanan atau meningkatkan hak istimewa untuk pengguna tertentu.
Penyerang dapat memodifikasi file konfigurasi server web untuk memuat file pustaka jahat atau memodifikasi pengaturan resolusi DNS untuk mengarahkan lalu lintas ke situs web jahat.

File terkait pengguna dan izin

Menulis

/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow
/etc/sudoers
/etc/sudoers.d/*

Operasi normal seperti operasi yang dilakukan dengan menggunakan perintah useradd, usermod, userdel, dan passwd dapat menulis data ke file tersebut. Anda dapat membuat aturan daftar putih yang sesuai berdasarkan aturan O&M tertentu, atau menggunakan data peringatan sebagai log audit.

File konfigurasi sistem utama

Menulis dan menghapus

/etc/resolv.conf
/etc/hosts

File-file tersebut dimodifikasi dengan melakukan tugas O&M yang memodifikasi pengaturan jaringan, pengaturan resolusi nama, dan parameter kernel.

File konfigurasi aplikasi O&M

Menulis

/etc/ssh/sshd_config
/etc/security/pam_env.conf
/*/.ssh/authorized_keys

File-file tersebut mungkin dimodifikasi selama pemeliharaan sistem, pembaruan konfigurasi, penguatan keamanan, atau rotasi kunci berkala. Kami sarankan Anda membuat aturan daftar putih yang sesuai.

File konfigurasi audit keamanan

Menulis dan menghapus

/etc/audit/auditd.conf
/etc/audit/rules.d/*
/etc/selinux/config
/etc/rsyslog.conf
/etc/rsyslog.d/*

Pertama kali Anda mengonfigurasi kerangka audit sistem atau ketika Anda memodifikasi aturan pemantauan untuk memenuhi persyaratan kepatuhan dan keamanan, file-file tersebut mungkin dimodifikasi.

File konfigurasi layanan web

Menulis

/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*
/etc/apache2/apache2.conf
/etc/apache2/sites-available/*
/etc/apache2/sites-enabled/*
/etc/nginx/nginx.conf
/etc/nginx/conf.d/*

Konfigurasi awal layanan web, pengaturan pasca-instalasi, penambahan dan penghapusan modul terkait, serta pembaruan layanan web dapat mengakibatkan modifikasi pada file-file tersebut.

File konfigurasi database

Menulis

/etc/my.cnf
/etc/mysql/my.cnf
/etc/postgresql/*/main/postgresql.conf
/etc/postgresql/*/main/pg_hba.conf
/etc/mongod.conf
/etc/redis/redis.conf

File-file tersebut mungkin dimodifikasi karena perubahan instalasi dan O&M layanan database. Kami sarankan Anda membuat aturan daftar putih yang sesuai berdasarkan kebutuhan bisnis Anda.

Mekanisme persistensi umum

Penyerang dapat menambahkan tugas terjadwal, layanan jahat, atau skrip startup untuk mempertahankan akses persisten selama eksekusi periodik atau setelah restart sistem.

Cron

Menulis

/etc/crontab
/etc/cron.d/*
/var/spool/cron
/etc/cron.hourly/*
/etc/cron.daily/*
/etc/cron.weekly/*
/etc/cron.monthly/*

Operasi O&M normal dapat menambahkan, menyesuaikan, atau menghapus entri crontab yang ada, yang mengakibatkan modifikasi pada file cron.

Layanan

Menulis

/etc/init.d/*
/etc/rc.d/rc.local
/etc/systemd/system/*
/lib/systemd/system/*

Saat Anda menginstal aplikasi layanan tertentu, operasi pada layanan sistem, seperti operasi penambahan dan modifikasi, dapat terjadi.

Konfigurasi Shell

Menulis

/*/.bashrc
/*/.bash_profile
/etc/profile

Saat personel O&M mengubah pengaturan lingkungan default atau membuat alias untuk perintah kompleks yang sering digunakan, file terkait mungkin dimodifikasi.

Direktori kode untuk layanan web

Aturan yang memantau direktori kode layanan web membantu memastikan keamanan aplikasi web. Dalam kebanyakan kasus, penyerang mengeksploitasi kerentanan atau akses tidak sah untuk mengunggah file webshell jahat. File webshell tersebut memungkinkan penyerang mengakses, mengendalikan, dan mengelola server yang telah disusupi secara jarak jauh. Pemantauan direktori kode layanan web dapat secara efektif mendeteksi potensi unggahan webshell dan perubahan tanpa otorisasi, seperti pemalsuan halaman web dan injeksi skrip jahat.

Direktori kode web

Menulis dan perubahan izin

/var/www/html/<code dir>/*.php

Operasi bisnis dan pemeliharaan rutin, seperti pembaruan layanan, penyebaran layanan, dan instalasi serta pembaruan plugin dan tema untuk sistem manajemen konten (CMS) tertentu, dapat menulis file skrip web ke direktori kode. Alat penyebaran otomatis tertentu seperti Jenkins, GitLab CI/CD, dan Ansible juga dapat menulis file selama proses integrasi dan penyebaran berkelanjutan. Dalam kasus ini, Anda harus mengonfigurasi proses penulisan tertentu, atau membatasi direktori yang mengizinkan unggahan file eksternal dan membatasi ekstensi file tertentu untuk memastikan keamanan.

File yang berisi konten sensitif

Keberadaan informasi autentikasi sensitif adalah salah satu risiko utama dalam keamanan siber. Setelah penyerang mendapatkan akses ke host, mereka mencari informasi sensitif untuk melakukan pergerakan lateral dan memperluas jejak intrusi mereka. Pemantauan operasi baca pada file yang berisi konten sensitif dapat secara efektif mendeteksi intrusi atau aktivitas jahat pada kesempatan paling awal.

Informasi autentikasi CLI layanan cloud

Membaca

/*/.aliyun/config.json
/*/.ossutilconfig

Dalam kebanyakan kasus, file yang berisi informasi sensitif dibaca oleh aplikasi tempat file tersebut berada. Sebagai contoh, Alibaba Cloud CLI membaca ~/.aliyun/config.json untuk memuat informasi autentikasi, dan kubectl membaca ~/.kube/config untuk mengambil informasi Sertifikat Kubernetes. Perangkat lunak keamanan tertentu mungkin memindai jenis file ini untuk mengidentifikasi file jahat pada server. Anda harus mempertimbangkan operasi baca normal ini saat membuat aturan daftar putih.

Informasi autentikasi untuk kontrol versi

Membaca

/*/.git-credentials

Konfigurasi database

Membaca

/*/config/database.yml

Informasi kunci privat sistem O&M dan orkestrasi

Membaca

/*/.ssh/id_rsa, /*/.kube/config

Konfigurasikan pengaturan notifikasi di tab DingTalk Chatbot

Setelah Anda mengonfigurasi metode notifikasi chatbot DingTalk, Anda dapat menerima notifikasi untuk ancaman yang diidentifikasi oleh Security Center di grup DingTalk tertentu secara real-time.

Catatan

Hanya edisi Enterprise dan Ultimate dari Security Center yang mendukung metode notifikasi chatbot DingTalk.

Prasyarat

Sebuah chatbot DingTalk telah dibuat di grup DingTalk yang digunakan untuk menerima notifikasi, dan URL webhook dari chatbot tersebut telah diperoleh. Saat membuat chatbot DingTalk, Anda harus mengonfigurasi kata kunci berdasarkan bahasa notifikasi di Pengaturan Keamanan.

Bahasa Cina: 云安全中心
Bahasa Inggris: Security

Prosedur

Masuk ke konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Configuration > Notification Settings.
Di halaman Notification Settings, klik tab DingTalk Chatbot dan klik Add Chatbot.

Di panel Add DingTalk Chatbot, konfigurasikan parameter dan klik Add. Tabel berikut menjelaskan parameter tersebut.

Parameter	Deskripsi	Contoh
Chatbot Name	Nama chatbot. Kami sarankan Anda memasukkan nama yang informatif.	Notifikasi peringatan file inti
Webhook URL	URL webhook chatbot. Anda dapat memperoleh URL webhook di grup DingTalk yang sesuai. Penting Jaga kerahasiaan URL webhook. Jika URL webhook bocor, risiko dapat muncul.	https://oapi.dingtalk.com/robot/send?access_token=XXXX
Asset Groups	Grup aset tempat Anda ingin mengirim notifikasi. Anda dapat memilih grup aset yang dibuat di halaman Assets. Setelah Anda memilih grup aset, chatbot DingTalk akan mengirimkan notifikasi terkait aset dalam grup aset tersebut.	Alibaba Cloud
Notify On	Tipe dan tingkat keparahan peringatan yang ingin Anda beritahukan. Tipe-tipe tersebut adalah Vulnerability, Baseline Check, Alert, AccessKey Pair Leak Detection, Cloud Honeypot, Application Protection, Anti-ransomware, Core File Monitoring, dan Malicious File Detection.	Pemantauan File Inti/Tingkat Peringatan/Mendesak
Notification Interval	Interval waktu saat chatbot DingTalk mengirimkan notifikasi. Nilai valid: 1 Menit, 5 Menit, 10 Menit, 30 Menit, dan Tanpa Batas. Jika Anda memilih Tanpa Batas, notifikasi dikirim setiap kali peringatan dihasilkan. Jika Anda memilih Tanpa Batas, hingga 20 notifikasi dapat dikirim ke URL webhook dalam 1 menit.	30
Language	Bahasa notifikasi. Nilai valid: Bahasa Inggris dan Bahasa Cina.	Cina

Secara default, chatbot DingTalk baru berada dalam status Enabled. Setelah Anda menyelesaikan langkah-langkah sebelumnya, Security Center mengirimkan notifikasi berdasarkan konfigurasi Anda.

Opsional. Dalam daftar chatbot DingTalk, temukan chatbot DingTalk baru dan klik Test di kolom Actions untuk memeriksa apakah notifikasi diterima di grup DingTalk.

Referensi

Gunakan Fitur Pemantauan File Inti.
Gunakan Fitur Perlindungan Anti-Tamper Web untuk mencegah file atau direktori situs web dirusak.