コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/esg/sls/help/ja-jp/index.html?contextId=exporting-alerts-sophos-central

イベントデータを Sophos Central にエクスポートする

Sophos Linux Sensor (SLS) の警告およびイベントデータを Sophos Central に送信できます。

概要

SLS イベントデータを Sophos Central に送信すると、検出出力が Sophos Central コンソールでアクセス可能になります。警告データは脅威解析センターに検出イベントとして表示され、ケースを生成する場合があります。Live Discover 内では、Data Lake で警告とメタイベントを検索でき、エンドポイントでは検索できません。詳細は、 Live Discover を参照してください。

SLS はデバイスごとにライセンスされます。ただし、Sophos Central の「デバイス」ビューとライセンスカウントには、SLS インスタンスは反映されません。また、SLS デバイスはサーバープロテクションに表示されません。これは、SLS は検出の詳細と警告を Sophos Central に送信できますが、Sophos Central によって管理されていないためです。

これはオプションの設定です。Sophos Central にデータを送信せず、SLS データを別の宛先に出力することもできます。

前提条件

SLS 警告データを Sophos Central に送信するには、センサーのバージョンが 5.5.2.22 以降である必要があります。このバージョンでは、Sophos Central との通信に必要な .crl および .crt ファイルを次のいずれかの場所に追加します。

  • RPM および DEB パッケージのインストール: /etc/sophos
  • コンテナ形式のインストール: /etc/sophos-certs

次に例を示します。

sophos@UbuntuVM2:/etc/sophos$ ls
sophosca1.crl sophosca1.crt sophosca2.crl sophosca2.crt sophosca3.crl sophosca3.crt sophosca4.crl sophosca4.crt

最小のセンサーバージョンに加えて、以下も必要です。

  • 次のいずれか 1つのライセンス:

    • Intercept X Advanced for Server with XDR
    • Central Managed Detection and Response Essential Server
    • Central Managed Detection and Response Complete Server

  • お客様の Sophos Central MCS URL ({MCS_URL})。詳細は、MCS URLを参照してください 。

    runtimedetections.yaml に MCS URL を入力する際には、 "https://" で始まる必要があります。

  • 有効な SLS パッケージレジストリトークン ({LINUX_REPO_API_KEY}) とお客様の Sophos Central テナント ID ({tenant-id})。詳細は、Sophos Linux Sensor パッケージレジストリ API トークンを生成する方法を参照してください 。

    • {LINUX_REPO_API_KEY} は "SLS-" で始まる短い文字列です。

    • {tenant-id} は以下の形式の文字列です。

      1a2345b6-78c9-012d-ef34-5a6b789c0de1

警告の設定

警告データを Sophos Central に送信するようにセンサーを設定するには、 alert_output 設定を /etc/sophos/runtimedetections.yaml に追加する必要があります。次の手順を実行します。

  1. テキストエディタで /etc/sophos/runtimedetections.yaml を開きます。

  2. 次の行を追加し、{tenant-id} をお客様の固有の Sophos Central ID に、{MCS_URL} をあなたの Sophos Central MCS URL に、{LINUX_REPO_API_KEY} をお客様の SLS パッケージレジストリトークンに置き換えます。

    send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "{tenant-id}"
mcs:
  token: "{LINUX_REPO_API_KEY}"
  url: "{MCS_URL}"
  enabled: true
alert_output:
  outputs:
  - type: mcs
      enabled: true

  3. 変更を保存して終了します。

  4. センサを再起動します。次のコマンドを入力します。
systemctl restart sophoslinuxsensor

設定ファイルの例を以下に示します。

customer_idapi_key の値が編集されています。

#  This configuration sends alert data to both stdout and Sophos Central.
send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
mcs:
  token:“SLS-########"
  url: “https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com”
  enabled: true
alert_output:
  outputs:
  - type: stdout
    enabled: true
    template:'Alert triggered: {{ .StrategyName}}'
  - type: mcs
    enabled: true

メタイベントを Sophos Data Lake に送信する

5.11.0 から、SLS はイベントデータを Sophos Data Lake に送信することをサポートしています。Sophos Central を警告出力として設定する際には、この設定をオンにすることをお勧めします。イベントデータを Data Lake に送信することで、Sophos Central の Live Discover クエリを使用して、デバイスの脅威とコンプライアンスを確認できます。

5.10 以前を実行している場合でも、警告データを Sophos Central に送信できます。詳細は、イベント出力エラーを参照してください。

SLS を設定してイベントデータを Data Lake に送信するには、次のようにします。

  1. テキストエディタで /etc/sophos/runtimedetections.yaml を開きます。
  2. 次の行を追加します。
investigations:
  reporting_interval:5秒
  zeromq:
    topics:
    - process_events: running_processes_linux_events
      audit_user_msg: user_events_linux
  sinks:
    - backend: mcs
      name: "mcs"
      type: mcs
  flight_recorder:
    enabled: true
    tables:
      - name: "process_events"
        enabled: true
        rows:1000
        filter:
          - match eventType == "PROCESS_EVENT_TYPE_EXEC"
          - match eventType == "BASELINE_TASK"
          - default ignore
      - name: "audit_user_msg"
        enabled: true
        rows:1000
        filter:
          - ignore programName == "cron"
          - ignore processPid == 1
          - default match
  1. 変更を保存して終了します。
  2. センサを再起動します。次のコマンドを入力します。
systemctl restart sophoslinuxsensor

設定ファイルの例を以下に示します。

customer_idapi_key の値が編集されています。

send_labs_telemetry: true
endpoint_telemetry_enabled: true
cloud_meta: auto
# Set your customer id:
customer_id: "########-####-####-####-############"
mcs:
  token:“SLS-########"
  url: “https://mcs2-cloudstation-us-west-2.prod.hydra.sophos.com”
  enabled: true
alert_output:
  outputs:
  - type: stdout
    enabled: true
    template:'Alert triggered: {{ .StrategyName}}'
  - type: mcs
    enabled: true
investigations:
  reporting_interval:5秒
  zeromq:
    topics:
    - process_events: running_processes_linux_events
      audit_user_msg: user_events_linux
  sinks:
    - backend: mcs
      name: "mcs"
      type: mcs
  flight_recorder:
    enabled: true
    tables:
      - name: "process_events"
        enabled: true
        rows:1000
        filter:
          - match eventType == "PROCESS_EVENT_TYPE_EXEC"
          - match eventType == "BASELINE_TASK"
          - default ignore
      - name: "audit_user_msg"
        enabled: true
        rows:1000
        filter:
          - ignore programName == "cron"
          - ignore processPid == 1
          - default match

イベントディスパッチャは次のテーブルのみをサポートしています。

  • process_events
  • audit_usr_msg

他のすべてのテーブルは Sophos Data Lake では利用できません。

出力をテストする

センサを設定して再起動したら、SLS が動作していることを確認し、警告とイベントデータを Sophos Central に送信するテスト警告を作成することをお勧めします。次の手順を実行します。

これらのコマンドは、SLS がホストプロセスとして配置されているインストールで機能します。SLS がコンテナイメージとして実行されている場合、警告のテストについて次を参照してください。

  1. 次のコマンドを実行して、警告のテストポリシーを開始します。

    sophoslinuxsensor -test-alert

    Linux デバイスに次の警告が表示されます。

    $ May 17 15:28:31 vagrant sophoslinuxsensor[26137]:Alert triggered:Alert Tester

  2. Sophos Central にサインインします。

  3. 脅威解析センター > 検出」を参照して、検出を表示します。

    検出が Sophos Central に表示されるまでに最大 20分かかることがあります。

その他のリソース