Systemd の修正
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

Systemd の修正

Classification:

コンプライアンス

Framework:

Control:

概要

目標

システムサービスへの変更を検出します。

戦略

特に実環境では、Amazon EC2 には AMIs、Azure では VM イメージまたは GCP イメージといったように、標準イメージに基づいてシステムを生成する必要があります。Systemd は Linux 製品の多くで、既定のサービスマネジャーとなっています。Systemd はバックグラウンドの処理やサービスのライフサイクルを管理しており、サイバーアタッカーがシステム内に侵入し続けた状態を確立するために利用されることがあります。サイバーアタッカーは、既存の Systemd サービスにコードを送り込んだり、新規のサービスをを作成したりします。Systemd サービスはシステムブートで起動できるため、アタッカーのコードがシステムリブートを通して残れるのです。

トリアージと対応

  1. 修正または作成されたサービスを確認します。
  2. 対象のサービスが既知のものであり、既知のユーザーやプロセスによって修正されたかどうかを確認します。
  3. 変更内容に同意できない場合は、問題のホストを停止し、許容可能なコンフィギュレーションへロールバックします。