コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/esg/sls/help/ja-jp/index.html?contextId=sophos-central-custom-profile

Sophos Central からカスタムプロファイルをダウンロードする

Sophos Central からカスタム検出プロファイルをダウンロードし、Sophos Linux Sensor (SLS) で使用できます。これは、新しいポリシーを最初から作成する代わりに実行できます。

警告

カスタムプロファイルの作成には、Sophos Central の Linux プロファイルが使用されます。これにより、SophosLabs によって作成されたデフォルトのコンテンツとルールの上書きを作成できます。ソフォスは、変更されていないデフォルトの検出コンテンツ ファイルのみをサポートしていますが、ユーザーは runtimedetections-rules.yaml ファイルを使用して上書きを適用できます。変更されたコンテンツ、およびカスタム検出に関するサポートは、ソフォス プロフェッショナル サービスにお問い合わせください。

要件

Sophos Central に Linux ランタイム検出プロファイルが必要です。プロファイルがない場合は、新しいプロファイルを作成し、環境に合わせてプロファイルを設定する必要があります。以下のリンクをご覧ください。

カスタムプロファイルのダウンロード

  1. Sophos Central にサインインします。
  2. マイプロダクト > Server > Linux プロファイル」の順に選択します。
  3. アクション」ボタン 「アクション」ボタン。 をクリックします。

  4. 最新バージョンをエクスポート」を選択して、プロファイルをデバイスに保存します。

    ヒント

    使用するプロファイルをクリックし、ダウンロードの矢印 ダウンロードの矢印。 をクリックして、プロファイルをデバイスにダウンロードすることもできます。

  5. ファイル名を runtimedetections-rules.yaml に変更します。次に、センサーにカスタムポリシーを追加できます。

    runtimedetections-rules.yamlファイル。

    Chmod of SSH Authorized Keys:
  enabled: true
Chown of SSH Authorized Keys:
  enabled: true
Suspicious_Interactive_Shell-parentProgramName-allowList:
  operations:
    - behavior: remove
      list:
        - /usr/bin/sshd
        - /usr/sbin/sshd
Suspicious_Interactive_Shell-parentProgramName-blockList:
  operations:
    - behavior: add
      list:
        - /bin/sh

ファイルを SLS に追加する

カスタムポリシーを作成してダウンロードしたら、センサーに追加して、カスタム設定を既存のコンテンツに適用できるようにする必要があります。

手順については、該当するタブをクリックしてください。

Linux デバイスでカスタム検出ポリシーを SLS で使用するには、/etc/sophos/ ディレクトリにruntimedetections-rules.yamlを追加します。次の手順を実行します。

  1. runtimedetections-rules.yaml ファイルを Linux デバイスの /etc/sophos/ ディレクトリに配置します。

  2. 次のコマンドを実行して、SLS を再起動します。

    sudo systemctl restart sophoslinuxsensor

センサーコンテナ(see センサーのコンテナの実行を実行する場合)、コンテナ内でアクセスできるようにファイルパスをマウントするコマンドを実行します。具体的には以下の通りです/etc/sophos。次の手順を実行します。

1.導入時に作成した /etc/sophos/ ディレクトリに runtimedetections-rules.yaml ファイルを配置します。詳細は、 インストールを参照してください。 1.Docker コンテナを再起動します。

単一のマニフェストファイルを実行し、runtimedetections-rules.yaml を追加または更新する場合は、インストールプロセス中に作成したマニフェストファイルに設定を追加できます。

マニフェストファイルを編集しない場合は、「Kubernetes ConfigMap」タブをクリックして、代わりに ConfigMap を作成します。

マニフェストファイルを編集するには、次の手順を実行します。

  1. テキストエディタで runtimedetections-rules.yaml を開きます。
  2. 内容をコピーします。
  3. テキストエディタで kubernetes-manifest.yaml を開きます。

  4. 以下の行を見つけます。

    data:
  runtimedetections-rules.yaml: |
    # Blank, no custom rules. sophos-linux-content will still be used.
    # This file must be present when policy_input is unavailable

  5. これらの行の後ろに runtimedetections-rules.yaml の内容を貼り付けます。

    警告

    内容を貼り付けるときは、インデントと配置が前の行の#と一致することを確認してください。また、これらの行に続くruntimedetections.yamlセクションを上書きしないように注意する必要があります。

  6. 変更を kubernetes-manifest.yaml に保存します。

  7. 次のコマンドを実行して新しいマニフェストファイルを適用し、<filepath> をマニフェストファイルへのパスに置き換えます。

    kubectl apply -f <filepath>/kubernetes-manifest.yaml

kubernetes-manifest.yaml を編集しない場合は、runtimedetections.yaml ファイルと runtimedetections-rules.yaml ファイルに基づいて ConfigMap を作成できます。次の手順を実行します。

  1. テキストエディタで kubernetes-manifest.yaml を開きます。

  2. 次の行を見つけます。

      runtimedetections.yaml: |

  3. それに続くすべての内容をコピーします。

  4. runtimedetections.yaml という名前のファイルを作成します。場所はどこでもかまいません。
  5. kubernetes-manifest.yaml からコピーしたコンテンツを新しい runtimedetections.yaml ファイルに貼り付けます。
  6. 変更内容を保存します。
  7. kubernetes-manifest.yaml に戻ります。

  8. 次の行を見つけます。

    data:

  9. その行とそれに続くすべてのコンテンツを削除します。

    kubernetes-manifest.yaml の最終行は次のとおりです。

    ---
apiVersion: v1
kind:ConfigMap
metadata:
  name: sensor-linux-sensor-config

  10. 変更内容を保存します。

  11. 次のコマンドを実行して、先ほど作成した runtimedetections.yaml ファイルと、ダウンロードした Sophos Central プロファイルから作成した runtimedetections-rules.yaml ファイルを参照して、ConfigMap を作成します。

    kubectl create configmap sensor-linux-sensor-config --from-file runtimedetections.yaml --from-file runtimedetections-rules.yaml

    変更を行う前に、kubectl コマンドを使用して ConfigMap の内容を確認するか、ConfigMap を削除できます。詳細は、 kubectl (Kubernetes)を参照してください。

その他のリソース