コンテンツにスキップ

自動対応の作業の開始

概要

自動対応アクションの設定について説明します。

概要

Sophos Linux Sensor (SLS) ポリシーは、レジリエンスに優れた防御メカニズムを提供するために、リアルタイムで攻撃にダイナミックに対応するように設定して、攻撃を効果的に妨害し、運用環境への被害を防止できます。

プログラムの動作を対象にするポリシーの場合、対応アクションは、違反プロセスを中断または強制終了できます。コンテナを対象にするポリシーの場合、対応アクションは、警告に関連付けられているコンテナを強制終了できます。ファイルアクティビティを対象にするポリシーの場合、対応アクションは、警告に関連付けられているファイルを削除できます。各対応アクションは、すべてのポリシーの種類で使用できるわけではありません。現時点では、各ポリシーごとに対応アクション 1つのみがサポートされています。

対応アクションは、ポリシーの responseActions サブキーで設定されます。SLS が警告を生成し、その対応アクションが実行されると、警告の notifications フィールドには、実行された対応アクションと対応アクションの状態を message_fields に含む、新しい警告の通知が表示されます。

警告

自動応答を設定すると、Sophos Linux Sensor は攻撃に動的に対応できるようになります。これには、ホストの機能に影響を与える可能性のあるプロセスやコンテナの一時停止や強制終了などの予防措置を実行するオプションが含まれます。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。

前提条件

対応アクションを有効にするには、SLS をホストのプロセスの名前空間で実行する必要があります。コンテナの外で SLS を実行している場合は、対応アクションを有効にするために、これ以上の操作は必要ありません。ホストのプロセスの名前空間で実行していないコンテナ内では、すべての対応アクションが機能する、または使用可能になるわけではありません。

Kubernetes

hostPID: true を DaemonSet のテンプレート仕様でを設定します。詳細は、インストールを参照してください。

Docker

SLS コンテナの起動時に、docker run コマンドで --pid="host" を指定してください。詳細は、Sensor コンテナを実行するを参照してください。

ドライラン

自動対応を有効にする前に、ドライランを有効にして、対応アクションが環境に与える影響を把握することを推奨します。対応アクションをサポートするポリシーでは、設定で dryRun: true を指定して、ドライランを有効にしてください。

これを Program ポリシーに適用した例は次のとおりです。

Enforced Wget Blocklist:
  policy: program
  responseActions:
  -   kill
  -   alert
  dryRun: true
  alertMessage: Unauthorized execution of wget
  comments: This policy detects and kills instances of wget running
  priority: High
  enabled: true
  rules:
  -   match programName == "/usr/bin/wget"
  -   default ignore

次の JSON は、警告の一部の例で、成功した「ドライラン」の結果を示しています。

"notifications": [
     {
        "timestamp": "2019-04-17T01:48:37.995942203-04:00",
        "name": "Enforced Wget Blacklist",
        "uuid": "7fe1b7b5-aca0-40e5-a5b8-fc0b6fe55ca9",
        "message": "The program \"/usr/bin/wget\" was executed, which violated the \"Enforced Wget Blacklist\" Program Policy.",
        "message_fields": {}
      },
      {
        "timestamp": "2019-04-17T01:48:37.995942203-04:00",
        "name": "Enforced Wget Blacklist",
        "uuid": "7fe1b7b5-aca0-40e5-a5b8-fc0b6fe55ca9",
        "message": "Would have taken responseAction: kill",
        "message_fields": {
          "action_type": "kill",
          "action_target_type": "process",
          "action_result": "dry run"
        }
      }
     ],