Cloud One Workload Security でいろいろ試してみた(誤検知対応編)
こんにちは、コンサル部@大阪オフィスのTodaです。
トレンドマイクロ社が提供しているCloud One Workload Security(C1WS)をご利用頂く中で設定したルールと動作しているシステムの仕様が合わず、誤検知や遮断をしてしまった場合ルールの適用修正が必要です。
誤検知や遮断が発生した場合はどのように対応するかを簡易ではございますがまとめてみました。
Cloud One Workload Security(C1WS)とは?
Cloud One Workload SecurityはDeep Securityと表現すると知っている方も多いと思いますが、Trend Microのクラウド対応のセキュリティ製品群の1つです。
EC2などのサーバのセキュリティ対策は、Workload Securityを利用いたします。
サーバ上で動くアンチマルウェア/IDS/IPS/変更監視/セキュリティログ監視/Webレピュテーションなどのセキュリティ機能を有しており、多くの脅威からサーバを保護いたします。
■ Trend Micro Cloud One™ Workload Security
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html
手順の注意事項
当手順は、検知や遮断をしたイベントが、監視対象内の正常なシステムに必要な通信である事が判明している状態からスタートいたします。 上記判断が出来ていない場合は、検出されたイベントの詳細情報をご確認頂きシステム開発元への確認をおこなってください。
今回は侵入防御ルール:1000763 - URI Length And Depth Restriction にて正常な通信が誤検知を受けた想定で対応いたします。 1000763のルールは決まったミドルウエアを対象に大量の文字列を含んだURLを送信した場合に、バッファオーバーフローが発生する対応用のルールになります。
誤検知や遮断が発生した場合の対応の流れ
誤検知や遮断の対応としては、現状システムに悪影響がある状態で早急に復旧が必要な「緊急時対応」と「通常の対応」の2パターンで考えております。
緊急時対応(赤線): システム動作に必要な通信が遮断されていて、早急に復旧が必要なケース
通常時対応(青線): 上記以外、通知のみの場合など対応のケース
それぞれの対応
❶誤検知・遮断確認
C1WSのコンソールにログインをおこない、誤検知・遮断が発生しているイベントの詳細情報を確認します。
この段階では下記3点の把握をおこないます。
- 対象のコンピュータ (インスタンス)
- イベントのルール
- 処理:リセット または 検出のみ:リセット
- 「リセット」: 検出したパケットをブロック(破棄)し、該当パケットの通信セッションを切断する処理になります。
- 「検出のみ:リセット」: 検知された内容をイベントに記録するのみの処理になります。
❷エンジンモード一時切り換え (緊急時のみ)
当操作は、運用中のシステムに影響があり早急な復旧が必要な場合、エンジンモードをタップモードに変更して復旧をおこないます。
タップモードは、C1WSのファイアウォール、侵入防御、およびWebレピュテーションの機能を検出のみ(遮断しない)の状態に強制で変更いたします。
遮断機能が無効化になるため設定時はご注意ください。
C1WSのコンソールから[コンピュータ]を選択頂き、一覧から変更対象のコンピュータをダブルクリックして詳細を表示します。
詳細画面から[設定]を選択頂き右画面のタブから[詳細]を選択します。
表示される項目の中から下記項目を探しタップに選択を変更して保存をクリックします。
- ネットワークエンジンモード: タップ
上記対応を、必要なコンピュータ全てに設定をします。
台数が複数台あり、グループ単位で設定する場合はポリシーに同じ設定項目がございますのでご利用ください。
設定後は影響がでていたシステムが復旧していることを確認いたします。
❸対象ルール確認
「❶誤検知・遮断確認」のイベント詳細情報に表示される理由から対象のルールをクリックして詳細を表示します。
ルール詳細画面にはルールの説明がございます。
ルールの説明を一読いただきルールを解除するかを判断いたします。
当ルールに記載がある脆弱性を含むミドルウェアをご利用の場合は、ルールの解除をする前にバージョンアップや脆弱性の対策を実施する必要があります。
解除をすると判断した場合は、ルールを解除する範囲を確認するため画面内の[割り当て対象]をクリックしてルールが設定されている箇所を確認します。
割り当て対象はコンピュータまたはポリシーになります。
ルールはコンピュータとポリシー両方に設定されている場合があり、この場合はポリシー > コンピュータの順に両方を解除する必要がございます。
割り当て対象を参考に、ルールの設定変更が必要な箇所を把握します。
❹ルールの変更
対象ルールの解除をおこないます。
今回は、インスタンスに設定されているルールを解除いたしますが、ポリシーの場合も同じように解除する事が可能です。
C1WS画面上部の[コンピュータ]をクリックして一覧を表示します。
対象のコンピュータをダブルクリックで選択して詳細画面を表示します。
詳細情報の左メニューから[侵入防御]をクリックして、画面内に表示される侵入防御ルールの一覧から[割り当て/割り当て解除]をクリックします。
ルールのリストから対象のルールを検索し、選択のチェックボックスを解除します。
C1WSにて推奨設定を自動的に適用をする機能をご利用の場合は下記設定もおこなってください。
ルールをダブルクリックして詳細を表示します。
詳細ルール画面の[オプション]から推奨オプションを確認頂き[推奨設定から除外]のチェックを付けてください。
チェック後は画面下の[OK]をクリックしてください。
ルールの一覧にて反映をするため画面下の[OK]をクリックします。
❺誤検知再確認
「❹ルールの変更」を頂いたタイミングでルールが解除されていますので
設定以降で[イベントとレポート]にて誤判定のイベントが発生しないことを確認します。
緊急時対応の場合は最終でエンジンモードを遮断ありに戻しますのでイベントが発生しないか慎重にご確認下さい。
❻エンジンモード設定戻す
当操作は、緊急対応で「② エンジンモード一時切り換え (緊急時のみ)」を実施した場合のみおこないます。
エンジンモードを切り替えたコンピュータを選択いただき詳細画面から[設定]を選択頂き右画面のタブから[詳細]を選択します。
表示される項目の中から下記項目を探し「継承 (インライン)」に選択を変更して保存をクリックします。
- ネットワークエンジンモード: 継承 (インライン)
❼対応の完了
上記にて誤判定を受けたコンピュータへのルール設定解除の対応は完了になります。
遮断が発生するルールは自動適用されないため、手動によるルール適用がおこなわれたと考えます。
なぜ、システムの動作に影響するルールが適用されたかは振り返りを頂く事が推奨されます。
よくあるご質問
システムに影響しないようにルールの適用をする方法
システムの動作に影響しないようにルール選定・適用する場合は、2点の方法が考えられます。
検証環境にて事前にルール適用の検証をおこなう
運用サービスと同環境の検証環境をご準備頂き、 検証環境にてルールの適用をおこない問題なければ本番に適用する方法になります。
一時的に検知モードにして対応
侵入防御のルール設定の場合、動作モードを「検出」に変更してルール適用をいただくことで遮断が発生しなくなります。
ルール適用をおこない一定期間イベントで誤判定がないことを確認頂き、防御モードに戻して頂く方法になります。
検出モード中は、他の適用ルールも通知のみの動作になるためご注意ください。
推奨設定を自動的に適用の有無
推奨設定の自動適用はコンピュータに導入されているエージェントがコンピュータにインストールをしているソフトウェア・設定・OS等を認識して必要な保護ルールを自動選別して推奨として提示 または 可能な場合は自動適用 してくれる機能になります。
※可能な場合 は コンピュータの動作に影響しないルールのみ自動適用となります。
動作に影響する可能性のあるルールは 手動による適用が必要になります。
自動的に適用を利用した場合、普段C1WSを運用頂く中でルールの調整など一部手間の軽減をおこなうことができます。
ただし、事前に検証環境で適用ルールの確認が必要などポリシーがある場合は、自動適用は無効化いただき手動によるルール適用をおこなうようにいたします。
自動適用の設定はポリシー または コンピュータ の各保護機能単位で設定が可能です。
さいごに
今回はC1WSで誤検知が発生した場合の対応についてまとめてみました。
少しでもお客様の参考になればと考えております。