auditd-attack社区贡献指南:如何为开源安全项目添加新的审计规则与检测技术
【免费下载链接】auditd-attackA Linux Auditd rule set mapped to MITRE's Attack Framework项目地址: https://gitcode.com/gh_mirrors/au/auditd-attack
auditd-attack是一个将Linux Auditd规则集映射到MITRE ATT&CK框架的开源安全项目,旨在帮助安全团队更有效地检测和响应Linux系统上的各类攻击行为。本指南将为你提供完整的社区贡献流程,从环境搭建到规则提交的每一步都有详细说明,让你轻松成为开源安全项目的贡献者。
为什么选择auditd-attack?
在当今复杂的网络安全环境中,及时发现和响应攻击行为至关重要。auditd-attack项目通过将审计规则与MITRE ATT&CK框架相结合,为Linux系统提供了强大的攻击检测能力。该项目具有以下优势:
- MITRE ATT&CK映射:所有规则都与ATT&CK框架中的战术和技术相对应,便于安全团队理解攻击意图
- 全面覆盖:涵盖了从初始访问到数据渗出的整个攻击生命周期
- 持续更新:社区驱动的规则更新机制,确保能够应对最新的攻击技术
图1:auditd-attack项目使用的MITRE ATT&CK框架映射图,展示了各攻击战术与技术的覆盖情况
准备贡献环境
在开始贡献之前,你需要准备好以下环境和工具:
1. 安装必要依赖
# Ubuntu/Debian系统 sudo apt-get update && sudo apt-get install auditd git # CentOS/RHEL系统 sudo yum install auditd git2. 克隆项目仓库
git clone https://gitcode.com/gh_mirrors/au/auditd-attack cd auditd-attack3. 了解项目结构
项目主要包含以下关键文件:
- auditd-attack.rules:主规则文件,包含所有ATT&CK映射的审计规则
- base_config.rules:基础配置规则,包含审计系统的基本设置
- layer-2.json:MITRE ATT&CK框架层定义,指定了项目覆盖的技术和战术
贡献新规则的完整流程
步骤1:确定要覆盖的ATT&CK技术
首先,你需要确定要添加规则的ATT&CK技术。可以通过查看layer-2.json文件了解当前已覆盖的技术,或访问MITRE官方网站了解最新的ATT&CK技术。
选择技术时,建议考虑以下因素:
- 技术的普遍性和危害性
- 当前是否已有相关规则
- 规则的可实现性和性能影响
步骤2:编写审计规则
审计规则应遵循项目现有的格式和最佳实践。以下是编写规则的基本指南:
规则格式
# 规则描述 - T1234_技术名称 -w /path/to/file -p permissions -k T1234_技术名称示例规则
例如,为检测"T1078 有效账户"技术,可以添加:
# 监控sudoers文件修改 - T1078_Valid_Accounts -w /etc/sudoers -p wa -k T1078_Valid_Accounts更多规则示例可以参考auditd-attack.rules文件中的现有规则。
规则编写最佳实践
- 明确的规则名称:规则名称应包含ATT&CK技术ID和描述性名称
- 适当的权限监控:根据文件或命令的敏感性选择合适的权限监控(r:读, w:写, x:执行, a:属性更改)
- 性能考虑:避免过度监控高频访问的文件或目录
- 注释说明:为每个规则添加清晰的注释,说明其目的和检测的技术
步骤3:测试新规则
添加规则后,必须进行充分测试以确保其有效性和性能影响:
加载测试规则
# 备份当前规则 sudo cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bak # 复制测试规则 sudo cp auditd-attack.rules /etc/audit/rules.d/audit.rules # 重启auditd服务 sudo systemctl restart auditd验证规则是否生效
# 查看已加载的规则 sudo auditctl -l | grep "T1234_技术名称" # 测试触发规则的操作,然后检查审计日志 sudo ausearch -k T1234_技术名称步骤4:提交贡献
当你完成规则编写和测试后,可以通过以下步骤提交贡献:
- 创建新的分支
git checkout -b feature/add-T1234-rule- 提交修改
git add auditd-attack.rules git commit -m "Add detection rule for T1234 ATT&CK technique"- 推送到远程仓库并创建Pull Request
高级贡献:添加新的检测技术
除了基本规则外,你还可以贡献更高级的检测技术,如:
1. 复杂行为检测
通过组合多个规则来检测特定的攻击行为序列。例如,检测可疑的文件下载和执行:
# 监控wget/curl下载 - T1105_remote_file_copy -w /usr/bin/wget -p x -k T1105_remote_file_copy -w /usr/bin/curl -p x -k T1105_remote_file_copy # 监控临时目录执行 - T1059_CommandLine_Interface -a exit,always -F dir=/tmp -F perm=x -k T1059_CommandLine_Interface2. 性能优化
如果发现某些规则导致系统性能问题,可以提出优化建议,如:
- 添加过滤器减少不必要的日志
- 调整缓冲大小(base_config.rules中的
-b参数) - 优化规则顺序,利用auditd的"首匹配"特性
3. ATT&CK框架更新
当MITRE ATT&CK框架更新时,可以更新layer-2.json文件以反映新的技术和战术。
贡献者最佳实践
为了确保你的贡献能够顺利被接受,请遵循以下最佳实践:
- 遵循项目规范:保持与现有代码风格和规则格式的一致性
- 提供充分测试:在PR中说明你如何测试规则,以及测试结果
- 关注性能影响:避免添加可能导致高CPU或磁盘IO的规则
- 保持沟通:如果有疑问,先在项目issue中讨论
- 更新文档:如果添加了新的重要功能,记得更新README.md
常见问题解答
Q: 如何确定某个攻击技术是否已有对应的规则?
A: 可以通过搜索auditd-attack.rules文件中的技术ID(如T1000)来检查,或查看layer-2.json文件中的技术列表。
Q: 我的规则被拒绝了,应该怎么办?
A: 不要灰心!维护者通常会提供具体的改进建议。根据反馈修改后,可以再次提交PR。
Q: 我没有安全背景,能贡献吗?
A: 当然可以!项目欢迎各种背景的贡献者,包括文档改进、测试和代码优化等。
总结
通过贡献auditd-attack项目,你不仅可以提升自己的安全技能,还能为全球Linux用户提供更强大的攻击检测能力。无论你是安全专家还是开源新手,都能在这里找到适合自己的贡献方式。立即行动,加入我们的社区,共同打造更安全的Linux环境!
【免费下载链接】auditd-attackA Linux Auditd rule set mapped to MITRE's Attack Framework项目地址: https://gitcode.com/gh_mirrors/au/auditd-attack
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
