個別検出の調整
コンテンツグループを使用すると、検出グループのオン/オフを簡単に切り替えることができますが、場合によっては、より詳細なアプローチが必要になることがあります。Sophos Linux Sensor (SLS) では個別検出のメカニズムの属性を調整することが可能で、有効化/無効化の詳細な制御、警告の優先順位の変更、対応アクションの変更などが可能になります。次に、一般的な属性の上書きと例をいくつか示します。
デフォルトで無効になっている検出の有効化
デフォルトで無効になっている検出のリストは、検出カテゴリと個別検出のリストを参照してください。たとえば、New File Executed in Container 検出は SLS コンテンツパッケージに含まれていますが、デフォルトでオフになっています。この検出で必要となるファイルのテレメトリの追跡は、一部のシステムでパフォーマンスに悪影響を与える恐れがあるため、使用するにはオプトインする必要があります。
この検出を有効にするには、次の行を /etc/sophos/runtimedetections-rules.yaml に追加する必要があります。
New File Executed in Container:
enabled: true
これらの行は、New File Executed in Container 検出の enabled 属性を上書きします。上記のスニペットを適用後に SLS を再起動すると、New File Executed in Container 検出が有効になります。
「kill」対応の検出の設定
警告
自動対応を元に戻すことはできません。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。
ソフォス提供のすべての検出は、警告を生成するようにデフォルトで設定されていますが、ほとんどの検出で、追加の対応アクションを実行できます。SLS の一般的なユースケースは、特定の検出を「強制」モードに設定し、検出ルールに違反するプロセスすべてを強制終了することです。
たとえば Kernel Exploit 検出は、検出結果の確実性が非常に高いため (つまり、誤検知率が非常に低い)、強制に適しています。Kernel Exploit の「強制」モードをオンにし、違反しているプロセスを即座に強制終了するには、次の上書きスニペットをホストの設定ファイルに追加して、この検出の responseActions 属性を上書きします。
Kernel Exploit:
responseActions:
- kill
上記の設定で SLS を再起動すると、Kernel Exploit で検出されるプロセスがまだ存在する場合、この検出に違反するプロセスすべてが強制終了されます。
カスタム可能な属性
注
変更すると検出の性質が根本的に変わる属性があるため、すべてのプロパティをカスタマイズできるわけではありません。検出の設定にあたり、以下のリストにある属性だけでは不十分な場合は、カスタムポリシーを使用して、環境に合わせて検出をカスタマイズできます。詳細は、カスタム検出ポリシーの作成を参照してください。
| 検出の属性 | カスタマイズ可能? |
|---|---|
| policy | いいえ |
| enabled | はい |
| alertMessage | はい |
| comments | はい |
| priority | はい |
| responseActions | はい |
| dryRun | はい |
| rules | いいえ |
| alertLabels | はい |
| additionalCategories | はい |
| alertDetail | はい |
| contentGroups | はい |
| リストの属性 | カスタマイズ可能? |
|---|---|
| type | いいえ |
| description | はい |
| list | はい |
高度な設定: 許可リストとブロックリストの調整
許可リストおよびブロックリストの調整の詳細は、詳細トピック: リストを参照してください。