/etc/shadow/ または /etc/gshadow のいずれかが非標準ツールにより変更された場合
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

/etc/shadow/ または /etc/gshadow のいずれかが非標準ツールにより変更された場合

Classification:

コンプライアンス

Framework:

Control:

概要

目標

非標準プロセスから重要な資格情報ファイルに加えられた修正を検知します。

戦略

特に本番環境では、すべての資格情報をコードまたは静的要素のいずれかで定義する必要があります。これらの資格情報にドリフトまたは監視されていない変更が加えられると「敵対者に対する攻撃ベクトル」として認識され、影響を受けるフレームワークや規制があった場合は組織としてのコンプライアンス違反だとみなされます。この検知機能はコード (または静的) 定義された範囲外からの修正が禁じられている資格情報ファイルの修正を監視します。shadow と gshadow ファイルをそれぞれ修正するには、標準の方法として Linux コマンド vipw および vigr を使用します。その他のプロセスがこれらの資格情報ファイルへのアクセスを試みた場合は、極めて疑わしいと判断して調査する必要があります。

トリアージと対応

  1. どのユーザーまたはプロセスが資格情報ファイルを変更したかを確認します。
  2. 資格情報ファイルのどの部分が変更されたかを確認します。
  3. 変更内容に同意できない場合は、問題のホストまたはコンテナを停止し、許容可能なコンフィギュレーションへとロールバックします。