自動対応: プロセスの強制終了
警告
自動応答を設定すると、Sophos Linux Sensor は攻撃に動的に対応できるようになります。これには、ホストの機能に影響を与える可能性のあるプロセスやコンテナの一時停止や強制終了などの予防措置を実行するオプションが含まれます。ソフォスでは、運用環境で自動対応をオンにする前に、予行練習 (ドライラン) を実行して、自動応答をテストすることを強く推奨します。詳細は、ドライランを参照してください。
検出に対する応答アクションとしてプロセスを強制終了するように Sophos Linux Sensor を設定できます。プロセスを強制終了させるために、SLS は SIGKILL
シグナルを送信します。これにより、プロセスはただちに強制終了されます。
注
カスタムポリシーを編集する場合、または新しいポリシーを作成する場合は、このページの情報を使用します。Sophos Linux Sensor (SLS) のデフォルト検出の対応のアクションを変更する場合は、個別検出の調整に従ってください。
kill
検出に関連付けられているプロセスを強制終了するには、responseActions
検出の設定に kill
を追加します。
program
に適用される例は 次のとおりです。
Enforced Wget Blocklist:
policy: program
responseActions:
- alert
- kill
alertMessage: Unauthorized execution of wget
comments: This policy detects and kills instances of wget running
priority: High
enabled: true
rules:
- match programName == "/usr/bin/wget"
- default ignore
kill-tree
kill
対応アクションは、ターゲットプロセスが開始した他のプロセスを強制終了しません。それらの他のプロセスも強制終了するには、kill-tree
を使用してください。kill-tree
対応アクションは、検出とそのすべての子プロセスに関連付けられたプロセスを強制終了します。
注
誤検知の可能性が非常に低い警告に対してのみ kill-tree
を使用する必要があります。重要なプロセスが開始する可能性がある警告には使用しないでください。重要なプロセスが強制終了されないようにするために、ルールで許可リストを使用できます。
次に例を示します。
Enforced Wget Blocklist:
policy: program
responseActions:
- alert
- kill-tree
alertMessage: Unauthorized execution of wget
comments: This policy detects and kills instances of wget running
priority: High
enabled: true
rules:
- match programName == "/usr/bin/wget"
- default ignore
失敗した kill 対応
kill
および kill-tree
対応アクションは失敗することがあります。たとえば、シグナルが送信された時点では、対象プロセスがも実行されなくなっている可能性があります。次の JSON は、この設定に対する警告の一部の例で、プロセスを強制終了できなかった場合を示しています。
"notifications": [
{
"timestamp": "2019-04-17T01:58:30.272044949-04:00",
"name": "Enforced Wget Blocklist",
"uuid": "25fc84c4-be3f-4159-a55e-1c31f85a29cb",
"message": "The program \"/usr/bin/wget\" was executed, which violated the \"Enforced Wget Blocklist\" Program Policy.",
"message_fields": {}
},
{
"timestamp": "2019-04-17T01:58:30.272044949-04:00",
"name": "Enforced Wget Blocklist",
"uuid": "25fc84c4-be3f-4159-a55e-1c31f85a29cb",
"message": "unable to stop process 2745: no such process",
"message_fields": {
"action_type": "kill",
"action_target_type": "process",
"action_result": "not successful",
"action_result_details": "no such process"
}
}
],