Deep Securityの変更監視を試してみた

2017.08.27

はじめに

Trend Micro Deep Securityの変更監視をAmazon Linuxで試してみました。
変更監視は以下のような機能を持ちます。

変更監視保護モジュールは、不審なアクティビティを示している可能性があるファイルや重要なシステム領域 (Windowsレジストリなど) への変更を検出します。 検出では、現在の状況が、以前に記録されたベースラインの読み取り値と比較されます。 Deep Securityには、事前定義された変更監視ルールが付属しています。新しい変更監視ルールは、セキュリティアップデートで提供されます。

ポリシーで使用する変更監視ルールの定義

以下の2つを試してみました。

  • トレンドマイクロが提供する変更監視ルールを使って、httpdのインストールを検知
  • カスタムルールを使って、ドキュメントルート以下のファイルの変更を検知

変更監視の有効化

EC2にDeep Security Agent(DSA)をインストールします。
Amazon Linux 2017.03を使いました。

インストール手順はこちらをご覧ください。
コンピュータエディタまたは、ポリシーエディタを開きます。
変更監視 > 一般 > 変更監視のステータス をONにします。

1

コンピュータエディタから、変更監視 > 一般 > 推奨設定の検索を実行します。

2

"割り当て/割り当て解除..."を選択し、推奨ルールを割り当てます。

3

"割り当てを推奨"を選択し、表示されたルールを選択します。

4

ベースラインの構築

ベースラインは、変更検索の比較対象となる元の状態です。
変更監視 > 一般 > ベースラインの再構築を選択します。
パッチ適用後について、新しいベースライン作成が推奨されます。

5

ベースラインの表示を選択すると、以下のように表示されます。

6

予約タスクを使って、変更を定期的に検索

管理 > 予約タスク > 新規を選択します。
今回は、日単位でコンピュータの変更を検索してみました。

7

コンピュータが自動タグルールの信頼済みのコンピュータであるかどうかに基づいて、詳細に検索を設定することもできます。
今回は"信頼済みのコンピュータに基づいて検索を設定しません。"を選択しました。

ソフトウェア追加の検知テスト

httpdをインストールし、変更監視で検知されることを確認します。
DSAで"yum install httpd"を実行します。
依存関係を含め、httpd,apr,apr-util,apr-util-ldap,httpd-toolsがインストールされました。
管理 > 予約タスクから作成したタスクを選択し、"今すぐ実行"します。

イベントが51件作成されました。
ルール「1002875 - Unix - Added or Removed Software」は5件でした。
インストールした5件のソフトウェアについての検知です。

その他のイベントは、「1002770 - Unix - File Attributes Changes In /usr/bin And /usr/sbin Locations」、「1003513 - Unix - File attributes changed in /etc location」によるものでした。
httpdをインストールすると、/etc/groupにapacheユーザが追加されたり、/usr/sbin/apachectlが作成されます。
1002770と1003513により、一連の変更や新規作成が検知されました。
イベントはCSVでダウンロード出来ます。

8

カスタムルールにより、ドキュメントルート以下の変更を検知

カスタムルールを作成し、/var/www/html以下の変更を検知します。
ポリシー > 変更監視ルール > 新規を選択します。
名前は"/var/www/html Md5 Check Rule"としました。
ルールはXMLで記述します。/var/www/htmlのファイルを監視します。

<FileSet base="/var/www/html" onChange="true">
  <include key="*"/>
    <attributes>
       <Md5/>
    </attributes>
</FileSet>

コンピュータエディタから、カスタムルールを割り当てます。

9

事前に用意したindex.htmlの内容を変更し、ベースラインを再構築します。
完了次第、予約タスクを実行します。
以下のようにイベントが作成されました。
/var/www/html/index.htmlのMD5値が更新されたことがわかります。

10

おわりに

Trend Micro Deep Securityの変更監視をAmazon Linuxで試してみました。
事前定義されたルールを使って、httpdのインストールを検知しました。
依存関係を含めたパッケージのインストールを検知しました。
また、httpdインストールに伴うファイルの変更や作成についても検知出来ました。
カスタムルールでは、index.htmlの変更を検知しました。

検証環境

  • Trend Micro Deep Security as a Service
  • Deep Security Agent 10.1.0.203、Amazon Linux 201703

参考