コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/esg/spl/ja-jp/index.html?contextId=protect-devices-server-Linux-agent-on-access

リアルタイム検索

Sophos Protection for Linux (SPL) が Linux デバイス上のファイルにアクセスし、アップデートする際には、リアルタイム検索が実行されます。

Linux デバイスを完全に保護するためには、「Server Protection for Linux Agent のスキャンを有効化する」をオンにしておくことをお勧めします。また、「 リアルタイムの脅威検出に関連する悪意のあるプロセスを終了します」をオンにして、検出イベントが発生した際に SPL が悪意のあるプロセスを即座に終了できるようにすることも推奨します。

Sophos Central のサーバー脅威対策ポリシーにおいて、リアルタイム検索を設定することができます。詳細は、サーバーの脅威対策ポリシーを参照してください。

設定オプション

リアルタイム検索は、サーバーのパフォーマンスとアプリケーションへの影響を最小限に抑えるように最適化されています。デフォルトではオフになっており、オンにする前に環境への影響を評価できます。

Linux デバイスのリアルタイム検索オプションでは、サーバーのワークロードに基づいて設定を行うことができます。次の詳細は、リアルタイム検索の脅威対策ポリシーで利用可能な設定と、Sophos Central SPL エージェントを介してそれらを適用する方法の概要を説明しています。

  • スキャン: これはデフォルトで有効になっています。この設定は、ポリシーの一部である Windows および Linux プラットフォームに適用されます。次のオプションから選択できます。

    • ローカル: これによって、ローカルドライブ上のファイルのみが検索されます。
    • ローカルおよびリモート: デフォルト設定。SPL は、ローカルドライブとマップされたネットワークドライブをスキャンします。マップされたドライブ上の検出は隔離されません。

    次の設定をオン/オフにすることもできます。

    • ファイルを読み込んだとき: ファイルを開く際に検索が実行されます。
    • ファイルに書き込んだとき: ファイルを保存する際に検索が実行されます。

  • Server Protection for Linux Agent のスキャンを有効化する: これをオンにすると、SPL は Linux デバイスでリアルタイム検索を実行できます。この設定はデフォルトではオフになっています。お客様の環境での最良の保護を確保するためには、この機能をオンにしてください。

    • リアルタイム検出に関連する悪意のあるプロセスを終了します。これはデフォルトで有効になっています。「Server Protection for Linux Agent のスキャンを有効化する」がオンになっている場合にのみこれが適用されます。SPL エージェントは、リアルタイム検出で検出された悪意のあるファイルに紐付いたプロセスを、自動的に終了することを試みます。

プロセスの終了

デフォルトでは、SPL エージェントは悪意のあるファイルによって起動された悪意のあるプロセスを終了しようとします。SPL には、プロセスを終了して、常駐化、追加の攻撃コンポーネントのダウンロード、権限の昇格、ラテラルムーブメント、データの窃取、暗号化、 重要なデータを破壊したりします。

SPL がプロセスを完了した際には、その詳細を /opt/sophos-spl/plugins/av/log/safestore.log に記録します。 

Terminated process /bin/bash PID 8079

SPL がプロセスの終了に失敗することがあります。SPL がプロセスを終了できないか、プロセスが既に終了しており、SPL が終了しようとした際に実行されていない可能性があります。SPLでは、このような詳細を /opt/sophos-spl/plugins/av/log/safestore.log に記録しています。 

No process found to terminate for /bin/bash PID 2487
Failed to terminate process: /bin/bash PID 2487: <error>