隠しファイルが作成されました
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

隠しファイルが作成されました

Classification:

コンプライアンス

Framework:

Control:

概要

目標

ホストおよびコンテナで検出メカニズムから逃れるため、サイバー犯罪者が隠しファイルを使用して攻撃することがあります。この機能は、新規作成されたあらゆる隠しファイルを検出することを目的としています。

戦略

Linux では、ユーザが作成した隠しファイルの名前の先頭には . が追加されます(例: .some.file)。この検出機能では、. で始まるファイル名のファイルの作成を監視します。

トリアージと対応

  1. どのユーザーまたはプロセスが隠しファイルを新規作成したかを確認します。
  2. この新規ファイルが期待したものでない場合、ホストまたはコンテナを停止し、既知の良質なコンフィギュレーションへとロールバックします。