自動対応: プロセスの停止

警告

自動応答を設定すると、Sophos Linux Sensor は攻撃に動的に対応できるようになります。これには、ホストの機能に影響を与える可能性のあるプロセスやコンテナの一時停止や強制終了などの予防措置を実行するオプションが含まれます。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。

stop 対応を指定できるポリシーの場合は、responseAction: stop を指定してください。Sophos Linux Sensor は、プロセスに SIGSTOP シグナルを送信することで、stop 対応のアクションを実行します。

これを program ポリシーに適用した例は次のとおりです。

Enforced Wget Blocklist:
  policy: program
  responseAction: stop
  alertMessage:Unauthorized execution of wget
  comments:This policy detects and kills instances of wget running
  priority:高
  enabled: true
  rules:
  - match programName == "/usr/bin/wget"
  - default ignore

Stop 対応は失敗する場合があります。たとえば、シグナルが送信された時点では、対象プロセスがも実行されなくなっている可能性があります。次の JSON は、この設定に対する警告の一部の例で、プロセスを停止できなかった場合を示しています。

"notifications": [
    {
      "timestamp":"2019-04-17T01:58:30.272044949-04:00",
      "name":"Enforced Wget Blocklist",
      "uuid":"25fc84c4-be3f-4159-a55e-1c31f85a29cb",
      "message":"The program \"/usr/bin/wget\" was executed, which violated the \"Enforced Wget Blocklist\" Program Policy.The stop response action was not successful.",
      "message_fields": {}
    },
    {
      "timestamp":"2019-04-17T01:58:30.272044949-04:00",
      "name":"Enforced Wget Blocklist",
      "uuid":"25fc84c4-be3f-4159-a55e-1c31f85a29cb",
      "message": "unable to stop process 2745: no such process",
      "message_fields": {
        "action_type": "stop",
        "action_target_type": "process",
        "action_result": "not successful",
        "action_result_details": "no such process"
      }
    }
  ],