有効化されたコンテンツの管理
Sophos Linux Sensor (SLS) 検出に精通し、また環境にデフォルト検出を追加することができたら、SLS のデフォルト検出を環境に合わせて調整することを検討できます。このガイドでは、調整できる項目について説明します。
コンテンツグループ
SLS 検出のコンテンツは、検出グループ (Detection Analytics と Smart Policy) の全体的な管理に対応するためにグループ化されています。有効化できるコンテンツグループを管理するには、enabled_content_groups
設定ディレクティブを、ホストの設定ファイル (/etc/sophos/runtimedetections-rules.yaml
) で使用できます。
enabled_content_groups
のデフォルト設定は以下のとおりです。
enabled_content_groups:
- Detection Analytics
- Smart Policy
- Audit
この設定によって、Detection Analytics と Smart Policy のコンテンツグループに関連付けられている検出すべてが有効になります。
注
ここに記載されているように、メッセージの種類に「Audit」を含めるようにしてください。
検出のグループ化は階層構造になっており、すべての検出または検出の一部を有効にできます。以下の設定例では、すべての Smart Policy 検出は有効になっていますが、Detection Analytics で有効になっているのは「System Exploitation」のみです。
enabled_content_groups:
- Detection Analytics.System Exploitation
- Smart Policy
- Audit
この設定によって、System Exploitation に関連しない Detection Analytics 検出すべては、事実上無効になります。
注
SLS コンテンツパッケージに含まれる検出のなかには、個々の検出レベルで、デフォルトで無効になっているものもあります。これは、検出がパフォーマンスに影響を与える可能性があるため、または検出によって誤検知の警告が生成されるリスクが増える可能性があるためです。有効化されたコンテンツグループに、このような検出のいずれかが含まれている場合、その検出はデフォルトで有効化されていないため、手動で有効にする必要があります。詳細は、個別検出の調整を参照してください。