Выявляем атаки на Linux с помощью auditd и UserGate SIEM

Linux сегодня — это не просто серверная ОС. На нём работают базы данных и веб‑приложения — ключевые бизнес‑сервисы. Именно поэтому Linux всё чаще становится точкой закрепления злоумышленников и отправной точкой для дальнейшего lateral movement.

Но атаки на Linux детектируются только при корректно настроенном сборе событий. Без правильно настроенного auditd и пересылки логов ваш SIEM не получает критичных данных и не способен выявлять атаки на уровне хоста.

На вебинаре менеджер по развитию продукта uSIEM Дмитрий Чеботарёв и ведущий инженер UserGate Роман Спицын покажут полный практический цикл — от настройки источников до получения важного алерта.

А ещё — разберут на демостенде реалистичный сценарий атаки на веб‑сервис с ошибкой конфигурирования, приводящей к получению root‑доступа, покажут атаку и то, как выявить её этапы в SIEM.

Вы узнаете:

• как auditd увеличивает сбор событий на активе, расширяет покрытие инфраструктуры и позволяет детектировать атаки на Linux;


• какие правила auditd необходимы для мониторинга системных вызовов, доступа к файлам и привилегированных действий;


• как выявляются запуск подозрительных команд и копирование сторонних библиотек, изменение sudoers, запуск bash от root на веб‑сервере;


• как тюнинговать корреляции и снижать количество ложных срабатываний;


• что можно внедрить у себя сразу после вебинара — практический чеклист по настройке auditd и мониторингу критичных действий.

Спикеры

• Дмитрий Чеботарёв, менеджер по развитию UserGate SIEM
• Роман Спицын, ведущий инженер UserGate

Программа вебинара

• 10:00 — Введение и описание стенда
• 10:05 — Сценарий атаки
• 10:15 — Настройка auditd
• 10:20 — Корреляции и демонстрация срабатываний
• 10:40 — Ответы на вопросы