Configurazione avanzata del Profilo di rilevamento di runtime su Linux
I Profili di rilevamento di runtime su Linux sono disponibili in più versioni, categorie di regole e opzioni di filtro, per permettere di personalizzare i profili in base all’ambiente.
Versioni
Un Profilo di rilevamento di runtime su Linux può essere caratterizzato da due versioni diverse, che possono cambiare:
- Versione profilo: le versioni del profilo cominciano con la creazione iniziale di un profilo; a ogni modifica, viene creata una nuova versione. Questo permette di tenere traccia delle modifiche e degli aggiornamenti del profilo nel tempo.
- Versione contenuto: questa è la versione del contenuto predefinito dei SophosLabs, utilizzata in un profilo.
Aggiornamenti del contenuto
Gli aggiornamenti del contenuto del Profilo di rilevamento di runtime su Linux influiscono in modo diverso sugli agenti di Sophos Protection for Linux (SPL) e sui Sophos Linux Sensor (SLS):
- SPL: gli agenti di SPL utilizzano sempre la versione più recente del contenuto predefinito dei SophosLabs. Quando i SophosLabs rilasciano una versione aggiornata del contenuto predefinito, gli agenti di SPL estraggono il contenuto e aggiornano i propri profili preesistenti in base alla nuova versione del contenuto. Questo significa che potrebbe essere necessario aggiornare i profili in base agli aggiornamenti del contenuto predefinito dei SophosLabs. Ad esempio, se si seleziona Vero per il filtro Modificato in un profilo, verranno visualizzate solo le regole che sono state modificate; sarà così possibile controllare le modifiche.
- SLS: SLS permette di configurare i profili in base alla versione del contenuto predefinito dei SophosLabs che si sta utilizzando per i sensori. SLS deve essere aggiornato manualmente quando è disponibile una nuova versione del contenuto.
Categorie di regole
I Profili di rilevamento di runtime su Linux hanno due schede per le regole: Analisi dei rilevamenti e Criterio intelligente.
Analisi dei rilevamenti
Analisi dei rilevamenti include i rilevamenti basati sul monitoraggio del sistema a livello di base, che individuano gli indicatori di comportamenti dannosi. I SophosLabs li suddividono nelle seguenti categorie:
- Exploit delle applicazioni: rilevamento degli exploit delle applicazioni in esecuzione sull’host, ad esempio un danneggiamento della memoria o un comportamento anomalo delle applicazioni.
- Exploit del sistema: rilevamento degli exploit delle vulnerabilità nel sistema Linux, ad esempio privilege escalation e manomissione dei meccanismi di sicurezza.
- Persistenza: rilevamento degli eventi che offrono accesso continuo dopo il riavvio dell’host, ad esempio backdoor nel kernel e in UserLAnd.
Criterio intelligente
Criterio intelligente include i rilevamenti basati sull’attività riscontrata in seguito a un evento in cui un processo ha già attivato un rilevamento iniziale. Questi rilevamenti aiutano a inquadrare in un contesto eventuali altri eventi che potrebbero essere dannosi. I SophosLabs li suddividono nelle seguenti categorie:
- Attività file: modifiche dei file binari di sistema e delle configurazioni e aggiornamenti dei file.
- Attività di rete: attività che indicano la presenza di movimenti laterali e un comportamento anomalo dei servizi di rete.
- Attività di processo: esecuzione anomala dei processi, utilizzo anomalo del compilatore/debugger e modifiche e aggiornamenti pianificati delle attività.
- Attività utente: aggiornamenti dei privilegi e degli account utente.
Dettagli
Per le regole in ciascuna scheda vengono visualizzati i seguenti dettagli:
- Nome regola: il nome della regola. Cliccare su Nome regola in cima alla colonna per ordinare le regole in ordine alfabetico.
- Descrizione regola: il comportamento che attiva l’avviso e il motivo per cui potrebbe essere considerato dannoso.
- Modificato: indica se la regola è stata modificata o meno dal contenuto predefinito dei SophosLabs.
- Configurabile: indica se la regola può essere personalizzata o meno.
- Categoria: la categoria della regola. Vedere Categorie di regole.
- Abilitato: indica se la regola è attiva o meno.
Filtri
È possibile applicare filtri all’elenco per semplificare la ricerca di regole individuali. L’elenco può essere filtrato in base alle opzioni: Categoria, Abilitato, Modificato e Configurabile. Per applicare filtri, procedere come segue:
- Cliccare su Mostra filtri.
- Cliccare sulla categoria che si desidera filtrare.
-
Selezionare le voci che si desidera visualizzare nell’elenco delle regole.
Consiglio
È possibile applicare più filtri in più categorie contemporaneamente.
-
Cliccare su Applica.
Cliccare su Nascondi filtri per nascondere le opzioni del filtro.
Per rimuovere tutti i filtri applicati, cliccare su Cancella tutto e successivamente su Applica.
Nota
Se si clicca su Nascondi filtri, i filtri non verranno rimossi dall’elenco di regole. Occorrerà rimuovere manualmente i filtri applicati.
Dettagli delle regole
È possibile cliccare su una regola per visualizzarne i seguenti dettagli e opzioni di personalizzazione:
- Abilitato: indica se la regola è attivata o disattivata.
- Descrizione: il comportamento che attiva l’avviso e il motivo per cui potrebbe essere considerato dannoso.
- Messaggio di avviso: il messaggio di avviso visualizzato quando viene attivata la regola.
- Priorità: La gravità dell'avviso.
- Tecniche di attacco Mitre: la tecnica Mitre correlata alla regola. Cliccando sul numero della tecnica, si apre la pagina di Mitre pertinente, che mostra dettagli completi sul rilevamento.
- Output: il contenuto del campo “Output” all’interno di un rilevamento.
Elenchi di autorizzazione e blocco
Elenco Autorizzazione/Blocco consente di selezionare voci dagli elenchi di autorizzazione e blocco associati alla regola, utilizzando un menu a discesa. Questi elenchi permettono di attivare o disattivare singole voci all’interno di una regola, a seconda dei requisiti del proprio ambiente.
Aggiungi una voce
È possibile cliccare su Aggiungi una voce per aggiungere una voce personalizzata a una regola.
È possibile distinguere tra voci personalizzate e voci predefinite dei SophosLabs grazie allo scudo Sophos , che viene visualizzato solo per le voci predefinite dei SophosLabs.
Cliccare su Elimina per rimuovere una voce personalizzata da un Elenco di Autorizzazione/Blocco.