警告の設定の概要
Sophos Linux Sensor (SLS) を使用すると、ユーザーは、ワークフローに最適なデータを選択できます。これを実現するために、警告テンプレートを使用した警告のカスタムフォーマットをサポートしています。
デフォルトの警告フォーマット
デフォルトで警告は、改行で区切られた UTF-8 エンコード形式の JSON 文字列です。出力先の種類 (stdout、webhook など) に関係なく、警告は一度に 1つずつ到着します。
デフォルトの制限値
Splunk、ELK、syslog など、一部のログ取り込みシステムには、1つのログエントリに含めることのできるバイト数に、デフォルトの制限値があることに留意することが重要です。場合によっては、切り捨てられて表示される警告は、複数行に表示される、または有効な JSON として正しく解析されないことがあります。
特定の警告情報をオフにするか、警告の一部のみを取り込むことで、取り込む警告のサイズを小さくして、これらの制限に対処することができます。これを行うには、プロセスの系列やクラウドメタデータなどの機能を「オフ」に設定するか、クラウド機能を使用して BLOB ストレージバケットに書き込まれた警告のポストプロセスを行うか、警告テンプレートを使用して SLS 自体から警告形式を通知します。
メタデータ
警告には、ホスト名や OS など、SLS が実行されていたノードに関する情報を含む metadata
フィールドが含まれています。
多くのクラウド環境では、このフィールドに、インスタンスのローカル メタデータ サービスのインスタンスのメタデータを任意で追加できます。これらのサービスは、実行中のインスタンスに関する情報を返すローカル HTTP サーバーです。サービスの詳細は、AWS、 GCP、および Azure ドキュメントを参照してください。
クラウドメタデータ機能を設定するには、CLOUD_META
環境変数を使用してセンサーを実行するか、プラットフォームに基づいて cloud_meta
キーを runtimedetections.yaml
設定ファイルで設定します。
AWS のクラウドメタデータを有効にするには、cloud_meta
を auto
、ec2
、または ec2_with_tags
に設定できます。ec2_with_tags
は、センサーを実行しているインスタンスの ec2 タグも取得しますが、インスタンスには ec2:DescribeTags
が必要です。
GCP のクラウドメタデータを有効にするには、cloud_meta
を auto
、gcp
、または gcp_with_labels
に設定できます。gcp_with_labels
は、compuate_instance のラベルも取得しますが、compute.instances.get
パーミッションのあるロールを持つインスタンスが必要です。
Azure のクラウドメタデータを有効にするには、cloud_meta
を azure
に設定できます。 Azure はインスタンスタグを自動的に収集するので、追加のパーミッションは必要ありません。
VMware vSphere でセンサーを実行している場合は、cloud_meta
を vmware
に設定できます。センサーは VM UUID を取得し、node_uuid
としてメタデータに渡します。
プロセスの系列
警告には、警告を生成したプロセスのプロセスの系列全体を含む lineage
フィールドが含まれています。系列は、そのプロセスを起動した元のプロセスにさかのぼります。
多くの場合、プロセスの系列は、init プロセスまたは systemd や dockerd などのシステムで終了します。これは、詳細な許可リストおよびブロックリストを作成する際に便利です。
プロセスの系列の詳細は、コンテキストを提供するため便利ですが、警告のサイズを大幅に増やすことになります。オフにするには、RUNTIMEDETECTIONS_PROCESS_LINEAGE_IN_ALERT
環境変数を false
に設定するか、process_lineage_in_alert: false
を runtimedetections-rules.yaml
設定ファイルに追加します。
プロセスの系列の削除
プロセスの系列の詳細は、コンテキストを提供するため便利ですが、警告のサイズを大幅に増やすことになります。標準の JSON 警告でプロセスの系列が不要な場合は、RUNTIMEDETECTIONS_PROCESS_LINEAGE_IN_ALERT
環境変数を false
に設定するか、process_lineage_in_alert: false
を runtimedetections-rules.yaml
設定ファイルに追加して無効にできます。