Kernel syscall
# Resumen de eventos
sudo aureport -i -e --summary
# Binarios observados SYSCALL, SERVICE_STOP, SERVICE_START, USER_START, USER_END ...
sudo ausearch -m SYSCALL | grep "exe=" | cut -d'"' -f2 | sort | uniq -c | sort -nr
# Ejecuciones con sudo
sudo ausearch -m SYSCALL -sc execve | grep "sudo" | sort | uniq -c | sort -nr
# Detección de descargas mediante curl
sudo ausearch -m SYSCALL -c curl | cut -d'"' -f2 | sort | uniq -c | sort -nr
# Modificaciones de permisos
sudo ausearch -m SYSCALL -sc chmod | sudo aureport -x
Last updated