资讯类
审计工具包括但不限于供应商提供开源审计工具,这些工具是成功查看和操作审计信息系统活动和记录所必备的。审核工具包括定制查询和报告生成器
原理性:
保护审计工具完整性是确保审计信息完整性的关键步骤审计信息包括成功审计信息系统活动所需的所有信息(例如审计记录、审计设置和审计报告)。
攻击者可替换审核工具或输入现有工具代码,目的是提供从审核日志隐藏或清除系统活动的能力
审核工具应加密签名,以便提供识别审计工具何时修改、操纵或替换的能力实例是文件或文件校验和hash
求解
/etc/aide.conf/目录或/etc/aide.conf保护审计工具完整性
#审核工具
/sbin/auditctl p+i+n+u+g+s+b+acl+xattrs+sha512
/sbin/auditd p+i+n+u+g+s+b+acl+xattrs+sha512
/sbin/ausearch p+i+n+u+g+s+b+acl+xattrs+sha512
/sbin/aureport p+i+n+u+g+s+b+acl+xattrs+sha512
/sbin/autrace p+i+n+u+g+s+b+acl+xattrs+sha512
/sbin/augenrules p+i+n+u+g+s+b+acl+xattrs+sha512
MITREATTC映射
技术/子技术
策略学
缓冲
1070T1070.002T1083T1083.000
TA0007