🔍 Contexte

Source : dépôt GitHub public Neo23x0/auditd, publié le 3 mai 2026. Il s’agit d’un projet open source sous licence Apache-2.0, activement maintenu, avec 1 800 étoiles et 302 forks.

🛠️ Description du projet

Le projet fournit une configuration auditd de référence (best-practice) pour les distributions Linux majeures. L’objectif est de collecter une télémétrie de sécurité large et réutilisable, sans intégrer la logique de détection directement dans les règles auditd.

📋 Domaines de couverture

La configuration couvre notamment :

  • Intégrité de l’audit et auto-surveillance
  • Modifications du noyau, modules, montages, temps
  • Tâches planifiées, bases de comptes, PAM, sudo
  • Configuration réseau, pare-feu, démarrage, services
  • Chemins de bibliothèques, profils shell, SSH, politiques MAC
  • Tentatives d’accès échouées, modifications DAC, abus de privilèges
  • Primitives spéciales : ptrace, memfd_create, bpf, io_uring, userfaultfd
  • Télémétrie haute volumétrie : execve, execveat, création de sockets, suppression de fichiers, ABI 32 bits
  • Chemins de configuration de conteneurs et outils de sécurité

🔗 Intégration et projets associés

Le jeu de règles est conçu pour rester agnostique de la logique de détection aval. Il peut être exploité via des règles Sigma, des requêtes SIEM, ou des agents comme Aurora Linux (agent Sigma basé sur eBPF pour Linux).

✅ Validation

Le dépôt inclut des GitHub Actions pour valider les règles sur Ubuntu. Une procédure de validation stricte est documentée pour les déploiements en production.

📌 Type d’article

Il s’agit d’une publication de nouveaux outils / documentation technique visant à fournir une base de configuration auditd réutilisable pour la surveillance et la détection sur systèmes Linux.

🧠 TTPs et IOCs détectés

TTP

  • T1059 — Command and Scripting Interpreter (Execution)
  • T1053 — Scheduled Task/Job (Persistence)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1562.006 — Impair Defenses: Indicator Blocking (Defense Evasion)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)

IOC

  • Fichiers : audit.rules
  • Chemins : /tmp/audit.rules.strict
  • Chemins : /etc/login.defs

Malware / Outils

  • Aurora Linux (tool)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 5306 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/Neo23x0/auditd