警告の設定の概要

Sophos Linux Sensor (SLS) を使用すると、ユーザーは、ワークフローに最適なデータを選択できます。これを実現するために、警告テンプレートを使用した警告のカスタムフォーマットをサポートしています。

デフォルトの警告フォーマット

デフォルトで警告は、改行で区切られた UTF-8 エンコード形式の JSON 文字列です。出力先の種類 (stdout、webhook など) に関係なく、警告は一度に 1つずつ到着します。

デフォルトの制限値

Splunk、ELK、syslog など、一部のログ取り込みシステムには、1つのログエントリに含めることのできるバイト数に、デフォルトの制限値があることに留意することが重要です。場合によっては、切り捨てられて表示される警告は、複数行に表示される、または有効な JSON として正しく解析されないことがあります。

特定の警告情報をオフにするか、警告の一部のみを取り込むことで、取り込む警告のサイズを小さくして、これらの制限に対処することができます。これを行うには、プロセスの系列やクラウドメタデータなどの機能を「オフ」に設定するか、クラウド機能を使用して BLOB ストレージバケットに書き込まれた警告のポストプロセスを行うか、警告テンプレートを使用して SLS 自体から警告形式を通知します。

メタデータ

警告には、ホスト名や OS など、SLS が実行されていたノードに関する情報を含む metadata フィールドが含まれています。

多くのクラウド環境では、このフィールドに、インスタンスのローカル メタデータ サービスのインスタンスのメタデータを任意で追加できます。これらのサービスは、実行中のインスタンスに関する情報を返すローカル HTTP サーバーです。サービスの詳細は、AWS、 GCP、および Azure ドキュメントを参照してください。

クラウドメタデータ機能を設定するには、CLOUD_META 環境変数を使用してセンサーを実行するか、プラットフォームに基づいて cloud_meta キーを runtimedetections.yaml 設定ファイルで設定します。

プロセスの系列

警告には、警告を生成したプロセスのプロセスの系列全体を含む lineage フィールドが含まれています。系列は、そのプロセスを起動した元のプロセスにさかのぼります。

多くの場合、プロセスの系列は、init プロセスまたは systemd や dockerd などのシステムで終了します。これは、詳細な許可リストおよびブロックリストを作成する際に便利です。

プロセスの系列の詳細は、コンテキストを提供するため便利ですが、警告のサイズを大幅に増やすことになります。オフにするには、RUNTIMEDETECTIONS_PROCESS_LINEAGE_IN_ALERT 環境変数を false に設定するか、process_lineage_in_alert: false を runtimedetections-rules.yaml 設定ファイルに追加します。

プロセスの系列の削除

プロセスの系列の詳細は、コンテキストを提供するため便利ですが、警告のサイズを大幅に増やすことになります。標準の JSON 警告でプロセスの系列が不要な場合は、RUNTIMEDETECTIONS_PROCESS_LINEAGE_IN_ALERT 環境変数を false に設定するか、process_lineage_in_alert: false を runtimedetections-rules.yaml 設定ファイルに追加して無効にできます。