個別検出の調整
コンテンツグループを使用すると、検出グループのオン/オフを簡単に切り替えることができますが、場合によっては、より詳細なアプローチが必要になることがあります。Sophos Linux Sensor (SLS) では個別検出のメカニズムの属性を調整することが可能で、有効化/無効化の詳細な制御、警告の優先順位の変更、対応アクションの変更などが可能になります。次に、一般的な属性の上書きと例をいくつか示します。
デフォルトで無効になっている検出の有効化
デフォルトで無効になっている検出のリストは、検出カテゴリと個別検出のリストを参照してください。たとえば、New File Executed in Container 検出は SLS コンテンツパッケージに含まれていますが、デフォルトでオフになっています。この検出で必要となるファイルのテレメトリの追跡は、一部のシステムでパフォーマンスに悪影響を与える恐れがあるため、使用するにはオプトインする必要があります。
この検出を有効にするには、次の行を /etc/sophos/runtimedetections-rules.yaml
に追加する必要があります。
New File Executed in Container:
enabled: true
これらの行は、New File Executed in Container 検出の enabled
属性を上書きします。上記のスニペットを適用後に SLS を再起動すると、New File Executed in Container 検出が有効になります。
「kill」対応の検出の設定
警告
自動対応を元に戻すことはできません。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。
ソフォス提供のすべての検出は、警告を生成するようにデフォルトで設定されていますが、ほとんどの検出で、追加の対応アクションを実行できます。SLS の一般的なユースケースは、特定の検出を「強制」モードに設定し、検出ルールに違反するプロセスすべてを強制終了することです。
たとえば Kernel Exploit 検出は、検出結果の確実性が非常に高いため (つまり、誤検知率が非常に低い)、強制に適しています。Kernel Exploit の「強制」モードをオンにし、違反しているプロセスを即座に強制終了するには、次の上書きスニペットをホストの設定ファイルに追加して、この検出の responseActions
属性を上書きします。
Kernel Exploit:
responseActions:
- kill
上記の設定で SLS を再起動すると、Kernel Exploit で検出されるプロセスがまだ存在する場合、この検出に違反するプロセスすべてが強制終了されます。
カスタム可能な属性
注
変更すると検出の性質が根本的に変わる属性があるため、すべてのプロパティをカスタマイズできるわけではありません。検出の設定にあたり、以下のリストにある属性だけでは不十分な場合は、カスタムポリシーを使用して、環境に合わせて検出をカスタマイズできます。詳細は、カスタム検出ポリシーの作成を参照してください。
検出の属性 | カスタマイズ可能? |
---|---|
policy | いいえ |
enabled | はい |
alertMessage | はい |
comments | はい |
priority | はい |
responseActions | はい |
dryRun | はい |
rules | いいえ |
alertLabels | はい |
additionalCategories | はい |
alertDetail | はい |
contentGroups | はい |
リストの属性 | カスタマイズ可能? |
---|---|
type | いいえ |
description | はい |
list | はい |
高度な設定: 許可リストとブロックリストの調整
許可リストおよびブロックリストの調整の詳細は、詳細トピック: リストを参照してください。