コンテンツにスキップ

作業の開始: 警告のエクスポート

Sophos Linux Sensor (SLS) は、既存のワークフローと自然に適合する方法で、SLS の警告データを簡単に出力できるように設計されています。SLS には、警告をエクスポートするための複数のオプションがあります。これは単一の警告出力設定に限定されません。複数の外部データソースを SLS 警告の宛先ポイントとして使用できます。たとえば、SplunkとSlack、または stdout と Sophos Central に警告を送信します。

ファイルからの警告の取得

出力の種類 file は、SLS のローカルファイルシステム上のファイルに警告を書き込みます。この出力の種類は一般に、ログファイルを読み取ることができる、既存のログ配布ツールと統合するために使用されます。

設定:

必須 説明
種類 はい 出力の種類。
有効 はい セッションをオンまたはオフにします。
名前 はい ファイル名。
max_size いいえ ログファイルがローテーションされるまでの最大ファイルサイズ (MB 単位)。デフォルトは 100 です。
最大バックアップ数(_B) いいえ 保持するログファイルの最大数。デフォルトでは、古いログファイルは削除されません。

次に SLS が 2つのローカルファイルに書き込む例を示します。

alert_output:
  outputs:    # Write the full Alert to a local log file
    -   type: file
      enabled: true
      name: /var/log/sophos-alerts.json

    # Write a truncated Alert summary to a different local log file
    -   type: file
      enabled: true
      template: "{{.UUID}} {{.StrategyName}} {{.ProcessInfo.Tgid}} {{.ProcessInfo.Program.Path}}"
      name: /var/log/sophos-alert-summaries.json

stdout からの警告の取得

出力の種類 stdout は、SLS の標準出力に警告を出力します。この出力の種類は一般に、開発中の新しいポリシー設定を迅速にテストしたり、コンテナ化された環境で既存のログ配布ツールと簡単に統合したりするために使用されます。

警告は、初期化情報やログに記録されたエラーなど、SLS によって stdout に出力される他の情報と混合して表示されます。

設定:

必須 説明
種類 はい 出力の種類。
有効 はい セッションをオンまたはオフにします。

次に、警告を stdout に出力する例を示します。

alert_output:
  outputs:
    -   type: stdout
      enabled: true

syslog からの警告の取得

出力の種類 syslog は、syslog サーバーに警告を送信します。

必須 説明
種類 はい 出力の種類。
有効 はい セッションをオンまたはオフにします。
url はい syslog サーバの URL (ローカルまたはリモート)。

次に、警告をローカル syslog サーバーに送信する例を示します。

alert_output:
  outputs: # This could also be a remote syslog server
    -   type: syslog
      enabled: true
      url: tcp://127.0.0.1:514/sophos_alerts

これは、環境変数を使用して設定することもできます。

RUNTIMEDETECTIONS_ALERT_SYSLOG_URL=tcp://syslog-server:514/sophos_alerts

Web フックからの警告の取得

出力の種類 webhook は、Web フックエンドポイントに HTTP リクエストで警告を送信します。この出力の種類を警告テンプレートと組み合わせると、ユーザーは複数のサードパーティサービスとのアドホック統合を作成できるため、非常に効果的です。一般的なユースケースには、警告の概要を Slack に送信したり、優先度の高い警告が表示された際に Jira チケットを自動作成したり、さらには Splunk のクラウドインスタンスに警告を直接送信したりする、などがあります。

| Key | Required | Description | | type | yes | The output type.| | enabled | yes | Turns the output on or off.| | url | yes | The URL to send the request to.| | headers | no | The headers to pass along with the request.デフォルト: "Content-Type: application/json".| | method | no | The HTTP method to use.デフォルトの場所は以下です。POST.| | timeout | no | The timeout in seconds.デフォルトの場所は以下です。30.|

次に例を示します。

alert_output:
  outputs:
    # Send Alerts to a local web server
    -   type: webhook
      enabled: true
      url: http://localhost:8080/alerts

    # Send Alerts to an arbitrary service with all settings
    -   type: webhook
      enabled: true
      url: https://api.example-company.com/sophos_alerts
      template: "New Sophos Alert {{.UUID}}"
      timeout: 5
      method: PUT
      headers:
        "Content-Type": "text/plain"
        "X-COMPANY-AUTH": "123456"

    # Send Alerts to Slack using their webhook JSON format
    -   type: webhook
      enabled: true
      url: https://hooks.slack.com/services/123ABC/ab914B12eeigVh2xZ
      template: '{"text": "New Sophos Alert {{.PolicyType}} {{.Description}}"}'