コンテンツにスキップ

Sophos Linux Sensor 検出の使用の開始

検出とは?

Sophos Linux Sensor (SLS) 検出は、そのまま使用が可能な設定のコレクションで、環境内のセキュリティインシデントを即座に可視化することが可能になります。ソフォスの調査チームは、実環境の攻撃者データを使用して、システムのパフォーマンスに影響を与えることなく、攻撃者のアクティビティを正確に把握できるように、この機能をまとめています。

各検出は、次のいずれかのカテゴリに分類されます。

  • デフォルト - SophosLabs によって提供され、Sophos Central 経由でダウンロードされる、未変更のコンテンツパッケージです。詳細は、検出のカテゴリを参照してください。
  • 変更済み - デフォルトのコンテンツが変更されたもの。たとえば、警告アクションの更新、自動対応の追加、警告の優先順位の上書きなどを実行できます。詳細は、個別検出の調整を参照してください。
  • カスタム - 顧客によって作成されたカスタム検出。詳細は、カスタム検出ポリシーの作成を参照してください。

ソフォスでは、未変更のデフォルト検出のコンテンツのみに対してサポートを提供しています。変更されたコンテンツ、およびカスタム検出に関するサポートは、ソフォス プロフェッショナル サービスにお問い合わせください。

SLS 検出で提供される機能は?

機能には、次の 2つの主要カテゴリがあります: 基本および拡張。

基本検出の機能は、操作性とパフォーマンスを最大限に高めます。環境特性に依存せずに動作し、ワークロードにかかわらずパフォーマンスへの影響を最小限に抑えるさまざまな検出機能を提供します。基本検出は、窓やドアに設置する家庭用防犯装置のように、何か怪しいことが発生していることを示唆する警告として捉えることができます。

拡張検出の機能は、システムアクティビティに関するより詳細な情報を提供します。このような検出によって、SLS はシステムアクティビティのセキュリティ状態をよりインテリジェントに判断し、より充実したコンテキストをインシデントの解析に提供できます。ただし、この拡張された検出にはより大量の処理能力が必要になり、拡張検出 に限定して使用される検出のすべてが、ワークロードの全種類に適しているわけではありません。

SLS 検出のインストール

デフォルトの SLS 検出をセットアップするのは簡単です。SLS コンテンツパッケージは、センサーと共にインストールする必要があります。SLS 検出コンテンツのダウンロード、検証、およびインストールは、次のリンク先の内容に従って行うことができます。

検出の保存場所

SLS コンテンツパッケージは、デフォルト設定のすべての検出を含む単一のコンテンツファイル /var/lib/sophos/content/runtimedetections-content.yaml にインストールされます。コンテンツパッケージを更新すると上書きされるため、このファイルの内容を変更することはお勧めしません。

/etc/sophos/runtimedetections-rules.yaml 設定ファイルを作成して編集することで、このファイル内の検出とリストを上書きできます。コンテンツパッケージが更新されると、/var/lib/sophos/content/runtimedetections-content.yaml は上書きされますが /etc/sophos/runtimedetections-rules.yaml は上書きされません。これにより、お客様の環境に合わせて検出コンテンツを調整するために行った変更が保持されます。

センサーが起動し、パッケージされたコンテンツを読み取り、該当する場合、上書きを行います。センサーは、runtimedetections-content.yamlruntimedetections-rules.yaml のマージの「参照」コピーを次の場所に書き込みます: /var/run/sophos/cache_analytics.yaml。このキャッシュ yaml ファイルはマージの結果を示し、デバッグや監査用に検査または保存できます。

検出コンテンツの更新

SLS 検出を使用すると、ソフォスの新しいコンテンツで定期的に更新できます。アップデートが利用可能になったら、新しいコンテンツパッケージをダウンロードしてインストールするだけです。詳細は、SLS 検出のインストール を参照してください。

標準のパッケージマネージャを使用して SLS コンテンツをインストールした場合、アップデートはセンサーと同様に SLS パッケージのリポジトリで利用可能になります。アップデートは、設定済みのシステムアップデート管理プログラム (例: apt アップデートを毎週実行) に従います。詳細は、Sophos Linux Sensor のアップデートを参照してください。