Sophos Linux Runtime Detection の更新
本書は、SophosLabs が管理する Linux ランタイム検知コンテンツの更新に関するリリースノートです。検知コンテンツの更新は、ソフトウェアの更新とは独立しており、ポリシーを使用して Sophos Protection for Linux Agent に適用できます。また、API からアクセスして、Sophos Linux Sensor に展開できます。
追加情報
- Linux ランタイム検知プロファイルの Linux ランタイム検知製品ドキュメントを参照してください。
- Linux ランタイム検知コンテンツバージョンの詳細については、コンテンツバージョンを参照してください。
バージョン 5.8.0
このパッケージには、次の更新が含まれています。
新しい検出
これらは、このコンテンツの更新の一部として追加された新しい検出です。
| ルール | 最後に | 種類 | デフォルトステータス |
|---|---|---|---|
| 高度なWebshell検出 | シェルプロセスを生成するWebサーバプロセスに関連するアクティビティを検出します。 | Detection Analytics | 誤 |
| Kworkerプロセスアクセス書き込み可能パス | 悪意のあるバイナリをマスキングすることにより、正当なカーネルスレッドを模倣するアクティビティを検出します。 | Detection Analytics | 誤 |
| メモリスワップ無効 | 信頼されていないプロセスがデバイスページングのスワップを無効にしようとする試みを検出します。 | Detection Analytics | 誤 |
| ページングキャッシュがクリアされました | 信頼されていないプロセスによるページングキャッシュのクリアまたは解放の試みを検出します。攻撃者がトラックを削除しようとしているか、ワイパーが使用されたことを示している可能性があります。 | Detection Analytics | 誤 |
| セキュリティツール無効 | セキュリティツールを無効にするコマンドを発行しようとする試みを検出します。 | Detection Analytics | 正 |
| SysRqのすべての機能が有効 | Linuxマジックsysreqキーを使用して、侵害されたホストシステムを再起動するためにAwfulshredワイパーマルウェアが使用するテクニックを検出します。 | Detection Analytics | 誤 |
| Webshell事後攻撃アクティビティ | 既知のWebサーバの名前付きリスト内の任意のWebサーバの祖先であるシェルによって呼び出された、攻撃後のコマンドを検出します。 | Detection Analytics | 正 |
検出アップデート
次の検出が改善されました。
- UNIXバイナリによる制限付きシェルブレークアウト
- プログラムによるデータ破壊
検出と Smart Policy ロジックの更新
これらの詳細には、既存の検出と Smart Policy の更新が含まれます。これには、次の変更タイプが含まれています。
- リストの更新変更には、個々のルールのデフォルトの許可リストとブロックリストの追加と削除が含まれます。
- 検出の状態:デフォルトの検出の状態を変更する個々のルールを更新します。
次のルールに設定を変更した場合は、新しい変更を確認し、必要に応じてプロファイルを更新することをお勧めします。
| ルール | 参照タイプ | 変更タイプ | 変更の詳細 |
|---|---|---|---|
| SSH認証キーのchown | Detection Analytics | 検出の状態 | 新しい状態: デフォルトで有効 以前の状況: デフォルトで無効 |
| SSH認証キーのchown | Detection Analytics | リストの更新 | 更新された許可リスト |
| FUSE 使用状況 | Detection Analytics | リストの更新 | 更新された許可リスト |
バージョン 5.6.2
このパッケージには、次の更新が含まれています。
- ARM64 サーバーのランタイム検知サポート。ARM64 サーバーでの Linux ランタイム検知を参照してください。
バージョン 5.6.1
このパッケージには、次の更新が含まれています。
Suspicious Interactive Shellの検出が改善されました。
検出と Smart Policy ロジックの更新
これらの詳細には、既存の検出と Smart Policy の更新が含まれます。これには、次の変更タイプが含まれています。
- リストの更新変更には、個々のルールのデフォルトの許可リストとブロックリストの追加と削除が含まれます。
- 検出の状態:デフォルトの検出の状態を変更する個々のルールを更新します。
次のルールに設定を変更した場合は、新しい変更を確認し、必要に応じてプロファイルを更新することをお勧めします。
| ルール | 参照タイプ | 変更タイプ | 変更の詳細 |
|---|---|---|---|
| Suspicious Interactive Shell | Detection Analytics | リストの更新 | 更新されたブロックリスト |
バージョン 5.6.0
このパッケージには、次の更新が含まれています。
検出と Smart Policy ロジックの更新
これらの詳細には、既存の検出と Smart Policy の更新が含まれます。これには、次の変更タイプが含まれています。
- リストの更新変更には、個々のルールのデフォルトの許可リストとブロックリストの追加と削除が含まれます。
- 検出の状態:デフォルトの検出の状態を変更する個々のルールを更新します。
次のルールに設定を変更した場合は、新しい変更を確認し、必要に応じてプロファイルを更新することをお勧めします。
| ルール | 参照タイプ | 変更タイプ | 変更の詳細 |
|---|---|---|---|
| BPF Program Executed | Detection Analytics | リストの更新 | 追加された許可リスト:
|
| Network Sniffing Program Executed | Smart Policy | 検出の状態 | 新しい状態: デフォルトでは無効に設定されています。 以前の状況: デフォルトで有効。 |
| Suspicious Interactive Shell | Detection Analytics | リストの更新 | 追加されたブロックリスト:
|
検出と Smart Policy ネーミングの更新
これらの検出の名前が変更されました。以前のプロファイルの一部として許可リストまたはブロックリストの条件を設定している場合は、更新されたプロファイルの一部として新しいルールでリストの条件を再設定する必要があります。
| 元のルール名 | 参照タイプ | 新しいルール名 | 追加の注意事項 |
|---|---|---|---|
| Network Sniffing Behavior | Detection Analytics | Packet Inspection Behavior | 検出の状態:無効 |
| Network Sniffing Program Executed Kprobe | Smart Policy | Promiscuous Mode Set on Network Device | 検出の状態:無効 |
バージョン 5.5.3
このパッケージには、次の更新が含まれています。
Socket Filter Attachedの検出が改善されました。
サポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しております。
- ユーザー コミュニティ サイトのご利用。さまざまな問題に関する情報を検索できます。Sophos Community (英語)
- ソフォスのテクニカルサポートのご利用。ソフォスのテクニカルサポート。
- 操作方法、設定、トラブルシューティングに関するビデオのご視聴。Sophos Techvids ビデオハブ (英語)