produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

F-Secure PSB管理下のAmazon Linux 2でリアルタイムスキャンしてみた

セキュリティ製品特集

hayashi.masaya

2020.08.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは。大阪オフィスの林です。

今回は、F-Secure PSBで管理されているAmazon Linux 2のリアルタイムスキャンの検証をしていきます。Amazon Linux 2へのLinux Protectionインストール方法や、F-Secure PSBで管理できるLinux Protectionの設定一覧は下記をご参照頂ければと思います。

環境

Amazon Linux 2

ami-0cc75a8978fbbc969

F-Secure

F-Secure PSB Server Protection Premium v20.3
F-Secure Linux Security v12.0.191

やってみた

デフォルト設定だとリアルタイムスキャンは動きません！

F-Secure PSB管理下のLinuxProtectionのデフォルト設定ではリアルタイムスキャンが動作しません。デフォルトのプロフィールを見てみるとリアルタイムスキャンの設定が有効になっているので一見動作してくれそうですが動きません。

理由は「スキャンするファイルとフォルダ」の設定が空のためです。

試しに、デフォルトの設定のままeicarを使ったリアルタイムスキャンの動作を見てみます。

[ec2-user@ip-10-2-2-213 work]$ wget https://secure.eicar.org/eicar.com
（省略）
2020-08-30 13:33:32 (9.08 MB/s) - ‘eicar.com’ saved [68/68]

今回の検証ではマルウェア検知時の動作として削除するというアクションを設定しているのですが、ダウンロードしたテスト用のウイルスファイルがそのまま残っていて、リアルタイムスキャンが動いていないことがわかります。

[ec2-user@ip-10-2-2-213 work]$ ll
total 4
-rw-rw-r-- 1 ec2-user ec2-user 68 Jul  1 19:34 eicar.com

設定してみる

それでは「スキャンするファイルとフォルダ」の設定をいれてから動作を見ていきたいと思います。今回の検証ではスキャンするファイルとフォルダの設定に / (ルートディレクトリ) をいれ、動作を見ていきます。

同じようにeicarを使ってリアルタイムスキャンの動作を見てみます。

[ec2-user@ip-10-2-2-213 work]$ wget https://secure.eicar.org/eicar.com
（省略）
2020-08-30 13:41:56 (9.51 MB/s) - ‘eicar.com’ saved [68/68]

マルウェア検知時の動作として削除するというアクションを設定しているので、ダウンロードした直後にテスト用のウイルスファイルが削除され、リアルタイムスキャンが動作したことがわかります。

[ec2-user@ip-10-2-2-213 work]$ ll
total 0
[ec2-user@ip-10-2-2-213 work]$

F-Secure PSBの管理ポータルからイベントログを確認してみます。ソースが「ウイルスのリアルタイムスキャン」でイベントが記録されていることがわかります。

サーバ側での設定確認方法

管理対象サーバでリアルタイムスキャンの設定を確認する場合は下記のコマンドで現在割り当てられている設定を確認することができます。F-Secure PSBの管理ポータルで割り当てた設定がサーバ側に反映されているかどうかの確認にも使うことができます。

[ec2-user@ip-10-2-2-213 work]$ sudo /opt/f-secure/linuxsecurity/bin/lsctl get oas
{
  "actions": {
    "malware": "remove",
    "pua": "none",
    "suspected": "none"
  },
  "archive_max_nested": 5,
  "block_archive_max_nested": false,
  "block_encrypted_archives": false,
  "detect_pua": true,
  "enabled": true,
  "exclude_paths": [],
  "include_paths": [
    "/"
  ],
  "scan_archives": false,
  "scan_only_executables": false
}

まとめ

デフォルトのプロフィールのままではリアルタイムスキャンが動作しないといった点は少し注意が必要ですが、設定自体は簡単でリアルタイムスキャンを行えることがわかりました。ログもF-Secure PSBの管理ポータルから確認できるため、集中管理といった観点でも効率的な運用が出来そうです。

以上、大阪オフィスの林がお送りしました！

F-Secure PSB管理下のAmazon Linux 2でリアルタイムスキャンしてみた

はじめに

環境

やってみた

デフォルト設定だとリアルタイムスキャンは動きません！

設定してみる

サーバ側での設定確認方法

まとめ

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

F-Secure PSB管理下のAmazon Linux 2でリアルタイムスキャンしてみた

はじめに

環境

やってみた

デフォルト設定だとリアルタイムスキャンは動きません！

設定してみる

サーバ側での設定確認方法

まとめ

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

関連記事

NW X Security JAWS勉強会#3レポート #nwsecjaws3 #jawsug

SIEM で Windows Event Log の不審なイベントを検知する

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

インシデントレスポンスのライフサイクルを廻すポイントってなに 【資料公開】 #devio_osakaday1

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

インシデントレスポンスのライフサイクルを廻すポイントってなに【資料公開】 #devio_osakaday1