コンテンツにスキップ

自動対応: プロセスの強制終了

警告

自動応答を設定すると、Sophos Linux Sensor は攻撃に動的に対応できるようになります。これには、ホストの機能に影響を与える可能性のあるプロセスやコンテナの一時停止や強制終了などの予防措置を実行するオプションが含まれます。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。

検出に対する応答アクションとしてプロセスを強制終了するように Sophos Linux Sensor を設定できます。プロセスを強制終了させるために、SLS は SIGKILL シグナルを送信します。これにより、プロセスはただちに強制終了されます。

カスタムポリシーを編集する場合、または新しいポリシーを作成する場合は、このページの情報を使用します。Sophos Linux Sensor (SLS) のデフォルト検出の対応のアクションを変更する場合は、個別検出の調整に従ってください。

kill

検出に関連付けられているプロセスを強制終了するには、responseActions 検出の設定に kill を追加します。

program に適用される例は 次のとおりです。

Enforced Wget Blocklist:
  policy: program
  responseActions:
    -   alert
    -   kill
  alertMessage: Unauthorized execution of wget
  comments: This policy detects and kills instances of wget running
  priority: High
  enabled: true
  rules:
  -   match programName == "/usr/bin/wget"
  -   default ignore

kill-tree

kill 対応アクションは、ターゲットプロセスが開始した他のプロセスを強制終了しません。それらの他のプロセスも強制終了するには、kill-tree を使用してください。kill-tree 対応アクションは、検出とそのすべての子プロセスに関連付けられたプロセスを強制終了します。

誤検知の可能性が非常に低い警告に対してのみ kill-tree を使用する必要があります。重要なプロセスが開始する可能性がある警告には使用しないでください。重要なプロセスが強制終了されないようにするために、ルールで許可リストを使用できます。

次に例を示します。

Enforced Wget Blocklist:
  policy: program
  responseActions:
    -   alert
    -   kill-tree
  alertMessage: Unauthorized execution of wget
  comments: This policy detects and kills instances of wget running
  priority: High
  enabled: true
  rules:
  -   match programName == "/usr/bin/wget"
  -   default ignore

失敗した kill 対応

kill および kill-tree 対応アクションは失敗することがあります。たとえば、シグナルが送信された時点では、対象プロセスがも実行されなくなっている可能性があります。次の JSON は、この設定に対する警告の一部の例で、プロセスを強制終了できなかった場合を示しています。

"notifications": [
    {
      "timestamp": "2019-04-17T01:58:30.272044949-04:00",
      "name": "Enforced Wget Blocklist",
      "uuid": "25fc84c4-be3f-4159-a55e-1c31f85a29cb",
      "message": "The program \"/usr/bin/wget\" was executed, which violated the \"Enforced Wget Blocklist\" Program Policy.",
      "message_fields": {}
    },
    {
      "timestamp": "2019-04-17T01:58:30.272044949-04:00",
      "name": "Enforced Wget Blocklist",
      "uuid": "25fc84c4-be3f-4159-a55e-1c31f85a29cb",
      "message": "unable to stop process 2745: no such process",
      "message_fields": {
        "action_type": "kill",
        "action_target_type": "process",
        "action_result": "not successful",
        "action_result_details": "no such process"
      }
    }
  ],