検出のカテゴリ
このセクションでは、ソフォスが定期的に更新している検出機能の概要について説明します。
Detection analytics
Sophos Linux Sensor (SLS) の Detection Analytics は、攻撃のさまざまな側面に対応するために、重複するさまざまなレイヤーのシステムセキュリティの監視を提供します。ソフォスの理念は、特定のセキュリティ脆弱性やエクスプロイトに対する検出方法を作成するのではなく、エクスプロイトや他のセキュリティ違反の実行に必要な低レベルの動作を検出して、攻撃カテゴリおよび脆弱性クラス全体に対処することです。したがって、検出は低レベルのシステム監視を対象にしており、組織の環境内で、悪意のある動作の指標となる動作イベントを監視、検出する軽量なメカニズムを提供します。
SLS で Detection Analytics は 3つのクラスに分類されます。これらの検出によって、誤検出とパフォーマンスへの影響 (CPU およびネットワーク使用率) が最小限に抑制されます。これらの検出のほとんどは、デフォルトでオンになっています。SLS には、デフォルトで無効になっている追加の検出機能もあります。これらの検出をオンにすると、パフォーマンスの低下や誤検知が発生する恐れがありますが、より積極的な検出を提供できます。検出クラスは次のとおりです。
| 検出クラス | 検出する動作 |
|---|---|
| アプリケーションの悪用 | Linux アプリケーションにある脆弱性の悪用。メモリ破損、異常なアプリケーションの動作、コンテナのエスケープなどがあります。 |
| システムの悪用 | 基盤となる Linux システムの脆弱性の悪用。権限昇格、セキュリティメカニズム (例: SELinux) の改ざん、一般的なカーネルの悪用手法の使用、コンテナのエスケープなどがあります。 |
| 常駐 | ホストの再起動にかかわらずアクセスを保持。カーネルのバックドアやユーザーランドのバックドアなどがあります。 |
Smart Policy
Detection Analytics と同様に、Smart Policy 検出は、アクティブな攻撃手法ではなく、不要と思われるシステム動作に重点を置いています。このような動作は、既に Detection Analytics 検出によって悪意があると見なされているプロセスで監視された場合のみに警告を生成します。動作は、単独では悪意のあるアクティビティとは見なされないと考えられます。
たとえば、SLS が Detection Analytics によって悪意のある対話型シェルを検出すると、警告が生成されます。その対話型シェル内で chmod イベントが発生した場合、その chmod イベントは Smart Policy によって対話型シェルのインシデントに関連付けられるため、警告の対象になります。悪意のあるプロセスと関連付けられていない場合、chmod イベントによって警告は作成されません。
注
Audit Trail 機能は、関連付けがなくても chmod イベントを記録します。
Smart Policy 検出には、監視対象の動作の種類を示す 4つの異なるグループがあります。以下に、グループと、検出する動作の一般的なカテゴリを示します。
| 検出グループ | 検出する動作 |
|---|---|
| ファイルアクティビティ | システムバイナリの変更、構成の変更、ファイルの削除、異常なファイルの作成。 |
| ネットワークアクティビティ | ラテラルムーブメント、ネットワークサービスの動作、およびネットワークスニッフィング。 |
| プロセスアクティビティ | 異常なプロセスの実行、コンパイラの使用、デバッグ、スケジュール設定されたタスクの変更。 |
| ユーザーアクティビティ | 特権コマンドの使用、危険な開発者アクティビティ、およびユーザーアカウントの変更。 |
Audit Trail
SLS の Audit Trail 検出を使用すると、システムアクティビティのより詳細なログとトレースが可能になります。このような検出には、Smart Policy 検出が含まれますが、完全な警告の生成にはエスカレーションされない追加のシステム動作も監視します。Audit Trail 検出では、Smart Policy と同じ検出グループが使用されます。