コンテンツにスキップ

個別検出の調整

コンテンツグループを使用すると、検出グループのオン/オフを簡単に切り替えることができますが、場合によっては、より詳細なアプローチが必要になることがあります。Sophos Linux Sensor (SLS) では個別検出のメカニズムの属性を調整することが可能で、有効化/無効化の詳細な制御、警告の優先順位の変更、対応アクションの変更などが可能になります。次に、一般的な属性の上書きと例をいくつか示します。

デフォルトで無効になっている検出の有効化

デフォルトで無効になっている検出のリストは、検出カテゴリと個別検出のリストを参照してください。たとえば、New File Executed in Container 検出は SLS コンテンツパッケージに含まれていますが、デフォルトでオフになっています。この検出で必要となるファイルのテレメトリの追跡は、一部のシステムでパフォーマンスに悪影響を与える恐れがあるため、使用するにはオプトインする必要があります。

この検出を有効にするには、次の行を /etc/sophos/runtimedetections-rules.yaml に追加する必要があります。

New File Executed in Container:
  enabled: true

これらの行は、New File Executed in Container 検出の enabled 属性を上書きします。上記のスニペットを適用後に SLS を再起動すると、New File Executed in Container 検出が有効になります。

「kill」対応の検出の設定

警告

自動対応を元に戻すことはできません。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。

ソフォス提供のすべての検出は、警告を生成するようにデフォルトで設定されていますが、ほとんどの検出で、追加の対応アクションを実行できます。SLS の一般的なユースケースは、特定の検出を「強制」モードに設定し、検出ルールに違反するプロセスすべてを強制終了することです。

たとえば Kernel Exploit 検出は、検出結果の確実性が非常に高いため (つまり、誤検知率が非常に低い)、強制に適しています。Kernel Exploit の「強制」モードをオンにし、違反しているプロセスを即座に強制終了するには、次の上書きスニペットをホストの設定ファイルに追加して、この検出の responseActions 属性を上書きします。

Kernel Exploit:
  responseActions:
    -   kill

上記の設定で SLS を再起動すると、Kernel Exploit で検出されるプロセスがまだ存在する場合、この検出に違反するプロセスすべてが強制終了されます。

カスタム可能な属性

変更すると検出の性質が根本的に変わる属性があるため、すべてのプロパティをカスタマイズできるわけではありません。検出の設定にあたり、以下のリストにある属性だけでは不十分な場合は、カスタムポリシーを使用して、環境に合わせて検出をカスタマイズできます。詳細は、カスタム検出ポリシーの作成を参照してください。

検出の属性 カスタマイズ可能?
policy いいえ
enabled はい
alertMessage はい
comments はい
priority はい
responseActions はい
dryRun はい
rules いいえ
alertLabels はい
additionalCategories はい
alertDetail はい
contentGroups はい


リストの属性 カスタマイズ可能?
type いいえ
description はい
list はい

高度な設定: 許可リストとブロックリストの調整

許可リストおよびブロックリストの調整の詳細は、詳細トピック: リストを参照してください。