Linux ランタイム検知プロファイルの詳細設定
Linux ランタイム検知プロファイルには、環境に合わせてプロファイルをカスタマイズするのに役立つ複数のバージョン、ルールカテゴリ、およびフィルタリングオプションがあります。
バージョン
Linux ランタイム検知プロファイルで変更できるバージョンは 2つあります。
- プロファイルバージョン: プロファイルバージョンは、プロファイルの最初の作成から始まり、変更を加えるたびに新しいバージョンが作成されます。これにより、時間の経過に伴うプロファイルの変更や更新を追跡できます。
- コンテンツバージョン: これは、プロファイルで使用される SophosLabs のデフォルトコンテンツのバージョンです。
コンテンツのアップデート
Linux ランタイム検知プロファイルのコンテンツのアップデートは、Sophos Protection for Linux Agents (SPL) と Sophos Linux Sensors (SLS)に異なる影響を与えます。
- SPL: SPL エージェントは、常にアップデートバージョンの SophosLabs のデフォルトコンテンツを活用します。SophosLabs がデフォルトコンテンツのアップデートバージョンをリリースすると SPL エージェントはコンテンツを取得して、新しいコンテンツバージョンに基づいて既存のプロファイルを更新します。このため、SophosLabs のデフォルトコンテンツのアップデートに基づいてプロファイルを更新する必要がある場合があります。たとえば、 プロファイルの「変更済み」フィルタで「True」を選択すると、以前に編集したルールのみが表示され、変更を確認できます。
- SLS: SLS では、センサーに使用している SophosLabs のデフォルトコンテンツのバージョンに基づいてプロファイルを設定できます。新しいコンテンツバージョンが利用可能になった場合は、SLS を手動でアップデートする必要があります。
ルールカテゴリ
Linux ランタイム検知プロファイルには、ルール用の 2つのタブがあります。「Detection Analytics」と「Smart Policy」です。
Detection Analytics
Detection Analytics には、悪意のある動作の指標を検出する低レベルのシステム監視に基づく検出機能が含まれています。SophosLabs はこれらを次のカテゴリに分類します。
- アプリケーションの悪用: ホスト上で実行されているアプリケーションの悪用 (メモリ破損やアプリケーションの異常な動作など) を検出します。
- システムの悪用: Linux システムの脆弱性の悪用 (権限昇格やセキュリティメカニズムの改ざんなど) を検出します。
- 常駐: ホストの再起動後もアクセスを継続しているイベント (カーネルやユーザーランドのバックドアなど) を検出します。
Smart Policy
Smart Policy には、プロセスが既に初期検出を行っているイベントのその後のアクティビティに基づく検出が含まれます。これらの検出は、悪意のある可能性のある追加イベントに関するコンテキストを提供するのに役立ちます。SophosLabs はこれらを次のカテゴリに分類します。
- ファイルアクティビティ: システムバイナリ、設定、およびファイルアップデートの変更。
- ネットワークアクティビティ: ラテラルムーブメントとネットワークサービスの動作を示すアクティビティ。
- プロセスアクティビティ: 異常なプロセスの実行、コンパイラ/デバッガの使用、スケジュール設定されたタスクの変更と更新。
- ユーザーアクティビティ: 権限とユーザアカウントの更新。
詳細
各タブでは、ルールの次の詳細を確認できます。
- ルール名: ルールの名前。列の上部にあるルール名をクリックして、ルールをアルファベット順に並べ替えます。
- ルールの説明: 警告を発生させた動作と、警告が悪意のあるものと見なされる理由。
- 変更済み: ルールが SophosLabs のデフォルトコンテンツから変更されたかどうかを表示します。
- 設定可能: ルールをカスタマイズできるかどうかを表示します。
- カテゴリ: ルールのカテゴリ。詳細は、ルールカテゴリを参照してください。
- 有効: ルールがオンかオフかを表示します。
フィルタ
リストにフィルタを適用して、個々のルールを簡単に検索できます。リストは 、カテゴリ、 有効、 変更済み、および Configurable (設定可能) でフィルタできます。フィルタを適用するには、次の手順を実行します。
- 「フィルタの表示」をクリックします。
- フィルタを適用するカテゴリを展開します。
-
ルールリストに表示する項目を選択します。
ヒント
複数のカテゴリに複数のフィルタを同時に適用できます。
-
「適用」をクリックします。
「フィルタの非表示」をクリックし て、検索オプションを表示します。
適用されているフィルタを削除するには、「Clear All (すべてクリア)」をクリックし、 「適用」をクリックします。
注
「フィルタを非表示」をクリックして も、ルールリストからフィルタは削除されません。適用されたフィルタは手動でクリアする必要があります。
ルールの詳細
ルールをクリックすると、次の詳細およびカスタマイズオプションを表示できます。
- 有効: ルールがオンまたはオフに設定されていることを表示します。
- 説明: 警告を発生させた動作と、警告が悪意のあるものと見なされる理由。
- 警告メッセージ: ルールが適用されたときに表示される警告メッセージ。
- 優先度: 警告の重要度。
- MITRE 攻撃の手法: ルールに関連する MITRE 手法。手法の番号をクリックすると、関連する MITRE ページに移動し、検出の詳細を確認できます。
- 出力: 検出内の "output" フィールドの内容。
許可/ブロックリスト
許可/ブロックリストによって、ドロップダウンメニューから、ルールに関連付けられている許可リストとブロックリストから選択できます。これらのリストを使用すると、ルール内の個々の項目を環境に合わせてオンまたはオフにできます。
エントリの追加
「エントリの追加」をクリックして、カスタム項目をルールに追加できます。
カスタム項目と SophosLabs のデフォルト項目を区別するには、SophosLabs のデフォルト項目にのみ表示されるソフォスの盾アイコン を見つけます。
削除アイコン をクリックして、 「許可/ブロックリスト」からカスタムアイテムを削除します。