調査機能について
概要
Sophos Linux Sensor (SLS) には、疑わしいアクティビティの調査に役立つデータを生成する機能が追加されています。調査データは、エキスパートユーザーが、SLS を実行しているホストからセキュリティ関連のテレメトリをクエリできるようにすることで、警告に履歴コンテキストを提供します。
SLS は、実行中のインスタンスに関する低位レベルのテレメトリを生成します。その後、このテレメトリが処理され、メタイベントと呼ばれる高位レベルのイベントが構築されます。調査をオンにすると、メタイベントは、オプトインベースで保存および提供されます。この生成されたデータを使用して、セキュリティインシデントの調査やシステムの監査を実行したり、さらに解析を行ったりすることができます。一般的な導入では、調査は AWS S3、MinIO、Azure Blob ストレージなどのオブジェクトストアにメタイベントを保存します。
SLS は、Apache Parquet でメタイベントを出力します。Apache Parquet は、Apache Hive、AWS Athena、GCP BigQuery などのさまざまなツールに対応している、列指向ストレージ形式です。
調査で使用されるストレージ容量は、ワークロードの種類によって異なる場合がありますが、推奨される容量は、センサーあたり 1日約 500MB です。監視されたデータサイズの平均は 110.8イベント/秒、つまり Parquet に 1日 363.4MB 出力されます。