進階 Linux 執行階段偵測設定檔設定
Linux 執行階段偵測設定檔具有多個版本、規則類別和篩選選項,可幫助您根據環境自訂設定檔。
版本
Linux 執行階段偵測設定檔中有兩個不同的版本可以變更:
- 設定檔版本:設定檔版本從初始建立的設定檔開始,每次進行變更時都會建立新版本。這允許您追蹤設定檔隨時間的變更和更新。
- 內容版本:這是設定檔中使用的 SophosLabs 預設內容的版本。
內容更新
Linux 執行階段偵測設定檔內容更新以不同方式影響 Sophos Protection for Linux Agents (SPL) 和 Sophos Linux Sensors (SLS):
- SPL:SPL Agents 始終利用最新版本的 SophosLabs 預設內容。當 SophosLabs 發佈預設內容的更新版本時,SPL Agents 會根據新內容版本擷取內容並更新其預先存在的設定檔。這表示您可能需要根據 SophosLabs 預設內容中的更新來更新設定檔。例如,為設定檔上的已修改篩選器選取 True 將僅顯示您以前編輯過的規則,以便您可以檢查變更。
- SLS:SLS 可讓您根據用於感應器的 SophosLabs 預設內容的版本設定設定檔。當有新的內容版本可用時,必須手動更新 SLS。
規則類別
Linux 執行階段偵測設定檔有兩個規則索引標籤:偵測分析和智慧原則。
偵測分析
偵測分析包括基於偵測惡意行為指標的低級別系統監控的偵測。SophosLabs 將它們分為以下類別:
- 應用程式利用:偵測對主機上執行的應用程式的利用情況,例如記憶體損壞或異常應用程式行為。
- 系統利用:偵測對 Linux 系統上弱點的利用情況,例如特權提升和對安全機制的竄改。
- 持續性:偵測在主機重新啟動後提供持續存取的事件,例如核心或普通權限後門。
智慧原則
智慧原則包括針對某個進程已觸發初始偵測的事件之後發生的活動進行的偵測。這些偵測有助於提供上下文,供您瞭解可能是惡意的其他事件。SophosLabs 將它們分為以下類別:
- 檔案活動:系統二進位檔、設定和檔案更新的變更。
- 網路活動:指示橫向移動和網路服務行為的活動。
- 進程活動:異常進程執行、編譯器/偵錯工具使用以及排定的工作變更和更新。
- 使用者活動:權限和使用者帳戶更新。
詳細資訊
您可以在每個索引標籤上查看規則的以下詳細資料:
- 規則名稱:規則的名稱。按一下欄位頂部的規則名稱以按字母順序對規則進行排序。
- 規則說明:觸發警示的行為以及可能被視為惡意行為的原因。
- 已修改:顯示是否已從 SophosLabs 預設內容修改規則。
- 可設定:顯示是否可以自訂規則。
- 種類: 規則的類別。請參閱規則類別。
- 已啟用:顯示規則已開啟還是已關閉。
筛选器
您可以為清單套用篩選器,以便更輕鬆地尋找單個規則。您可以按類別、已啟用、已修改和可設定篩選清單。要套用篩選器,請依照以下步驟操作:
- 按一下 顯示篩選。
- 展開要篩選的類別。
-
選取要在規則清單中顯示的項目。
提示
您可以同時在多個類別中套用多個篩選器。
-
按一下套用。
按一下隱藏篩選器以隱藏篩選選項。
要移除任何已套用的篩選器,請按一下全部清除,然後按一下套用。
注意
按一下隱藏篩選器不會移除規則清單中的篩選器。您必須手動清除已套用的篩選器。
規則詳細資訊
您可以按一下規則以查看以下詳細資料和自訂選項:
- 已啟用:顯示規則已開啟還是已關閉。
- 說明:觸發警示的行為以及可能被視為惡意行為的原因。
- 警示訊息:觸發規則時顯示的警示訊息。
- 優先性:警示的嚴重性。
- MITRE 攻擊技術:規則的相關 MITRE 技術。按一下技術編號可移至相關的 MITRE 頁面,瞭解有關偵測的完整詳細資料。
- 輸出:偵測中「輸出」欄位的內容。
允許及封鎖清單
允許/封鎖清單允許您從下拉式功能表中選取與規則關聯的允許及封鎖清單。這些清單可讓您開啟或關閉規則中的個別項目,以符合您的環境。
新增項目
您可以按一下新增項目,將自訂項目新增到規則中。
您可以透過查找 Sophos 盾牌 
來區分自訂項目和 SophosLabs 預設項目,Sophos 盾牌僅顯示於 SophosLabs 預設項目上。
按一下删除 
以從允許/封鎖清單中移除自訂項目。