進階 Linux 執行階段偵測設定檔設定
Linux 執行階段偵測設定檔具有多個版本、規則類別和篩選選項,可幫助您根據環境自訂設定檔。
版本
Linux 執行階段偵測設定檔中有兩個不同的版本可以變更:
- 設定檔版本:設定檔版本從初始建立的設定檔開始,每次進行變更時都會建立新版本。這允許您追蹤設定檔隨時間的變更和更新。
- 內容版本:這是設定檔中使用的 SophosLabs 預設內容的版本。
內容更新
Linux 執行階段偵測設定檔內容更新以不同方式影響 Sophos Protection for Linux Agents (SPL) 和 Sophos Linux Sensors (SLS):
- SPL:SPL 代理程式始終使用最新版本的 SophosLabs 預設內容。當 SophosLabs 發佈預設內容的更新版本時,SPL 代理程式會擷取該內容,並根據新內容版本更新其原有的設定檔。這表示您可能需要根據 SophosLabs 預設內容中的更新來調整設定檔。例如,在設定檔中 已修改 篩選器選取 是,將僅顯示您以前編輯過的規則,以便檢查變更。
- SLS:SLS 可讓您根據用於感應器的 SophosLabs 預設內容的版本設定設定檔。當有新的內容版本可用時,必須手動更新 SLS。
規則類別
Linux 執行時偵測設定檔包含以下規則分類標籤:
- 偵測分析
- 智慧原則
- 測試版勒索軟體
偵測分析
偵測分析 包括以偵測惡意行為指標為基礎的低階系統監控偵測。SophosLabs 將它們分為以下類別:
- 應用程式漏洞利用:偵測在主機上執行的應用程式是否遭到利用,例如記憶體損壞或異常的應用程式行為。
- 系統漏洞利用:偵測在 Linux 系統上是否有弱點遭到利用,例如特權提升和對安全機制的竄改。
- 持續性:偵測可主機重新啟動後提供持續存取的事件,例如核心層或使用者層的後門程式。
智慧原則
智慧原則 包括以活動為基礎的偵測機制,當某個處理程序觸發初始偵測後,系統會進一步分析其後續行為。這些偵測有助於提供額外的內容資訊,以進一步判斷是否為惡意行為。SophosLabs 將它們分為以下類別:
- 檔案活動:系統二進位檔、設定和檔案更新的變更。
- 網路活動:指示橫向移動和網路服務行為的活動。
- 處理程序活動:異常處理程序執行、編譯器/偵錯工具使用以及排程的工作變更和更新。
- 使用者活動:權限和使用者帳戶更新。
測試版勒索軟體
測試版勒索軟體 包括以活動為基礎的偵測機制,這些活動可能是活躍的勒索軟體的指標。您也可以在 檢測分析 索引標籤上查看並變更這些規則。
詳細資訊
您可以在每個索引標籤查看以下規則的詳細資料:
- 規則名稱:規則的名稱。按一下欄位頂部的規則名稱,以按字母順序排序規則。
- 規則說明:觸發警示的行為及其可能被視為惡意行為的原因。
- 已修改:顯示該規則是否已從 SophosLabs 預設內容進行修改則。
- 可設定:顯示是否可以自訂規則。
- 種類:規則的類別。請參閱 規則類別。
- 啟用:顯示規則已開啟還是已關閉。
篩選器
您可以對清單套用篩選器,以便更輕鬆地尋找個別規則。您可以按 類別、啟用、已修改 和 可設定 篩選清單。若要套用篩選器,請依照以下步驟操作:
- 按一下 顯示篩選器。
- 展開要篩選的類別。
-
選取要在規則清單中顯示的項目。
提示
您可以同時在多個類別中套用多個篩選器。
-
按一下 应用。
按一下 隱藏篩選器 以隱藏篩選選項。
若要移除任何已套用的篩選器,請按一下 全部清除,然後按一下 应用。
注意
按一下 隱藏篩選器 不會移除規則清單中的篩選器。您必須手動清除已套用的篩選器。
規則詳細資料
您可以按一下規則以查看以下詳細資訊和自訂選項:
- 啟用:顯示規則已開啟還是已關閉。
- 說明:觸發警示的行為及其可能被視為惡意行為的原因。
- 警示訊息:觸發規則時顯示的警示訊息。
- 優先性:警示的嚴重性。
- MITRE 攻擊技術:該規則相關的 MITRE 技術。按一下技術編號會讓您移至相關的 MITRE 頁面,了解該偵測的完整詳細資訊。
- 輸出:偵測中「輸出」欄位的內容。
允許及封鎖清單
允許/封鎖清單 可讓您從下拉式功能表中選取與規則關聯的允許及封鎖清單。這些清單讓您可以根據環境需求,開啟或關閉規則中的個別項目。
新增項目
您可以按一下 新增項目,將自訂項目新增到規則中。
您可以透過只出現在 SophosLabs 預設項目前的 Sophos 標誌,區分出自訂項目和 SophosLabs 預設項目。
按一下删除 
以從 允許/封鎖清單 中移除自訂項目。