Sophos Central Server ProtectionでWindows(EC2)を保護する

2017.01.21

西澤です。AWS環境のマルウェア対策ソリューションとしてSophos Centralから利用できるServer Proctectionを試す機会がありましたので、ご報告します。今回はWindowsの保護から試してみます。

Sophos Centralとは?

"Sophos Central"は以前に書かれた下記記事の"Sophos Cloud"の名称が変わったものです。

名称も新しくなり、コンソールの表示や使い方も新しくなっているようだったので、執筆時点の最新情報で改めて試してみようと思います。

下記ページから評価版を使って試すことができます。Sophos Centralは統合コンソールになっており、本当は複数の機能を利用することができるのですが、今回試すのは"Server Protection"の機能のみです。

Sophos_Central_評価版

Windowsをマルウェアから保護する

エージェントのインストール

評価版アカウントが発行されたら、Sophos Centralにログインして、"デバイスの保護"->"サーバープロテクション"からエージェントのインストーラをダウンロードして利用します。

Sophos_Central_001

今回は、Windows Server 2012 R2環境で試してみます。インストーラは実行するだけで、前提チェック等も含め、画面に従って進めれば問題ありませんでした。

SophosWin1

エージェントの導入に成功すると、サービスがたくさん追加されています。

SophosWin2

ソフトウェアとしても複数のものが含まれていて連携して動作するようです。

SophosWin3

各モジュールの詳細はSophos Endpoint Security and Control画面から確認することができました。

SophosWin4

Sophos Centralからも対象サーバが認識されたことを確認することができました。

Sophos_Central_win001

Sophos_Central_win002

Sophos_Central_win003

ちなみに通信要件ですが、80,443ポートのOutboundが開放されていれば問題ないということですので、ほとんど意識する必要が無いというところも嬉しいです。

ポリシー設定

保護ポリシーについては、原則デフォルトで推奨設定が用意されているので、デフォルトポリシーを適用すればほとんどの場合は問題ないと思います。

Sophos_Central_policy001

新しいポリシーを作成して、対象サーバに割り当てることも可能です。優先度の高いポリシーから適用されますので、デフォルトポリシーで原則管理しつつ、カスタマイズが必要なポリシーは個別に作成して適用するような運用が良いのではないかと思います。

Sophos_Central_policy002

Sophos_Central_policy003

EICARテストファイルによる検出テスト

それでは、簡単にテストをしてみます。EICARテストファイルをダウンロードして、検出されるか確認してみましょう。ブラウザ経由からだけでなく、コマンドラインからダウンロード等、いろいろなパターンで試してみたのですが、きちんと検出されることを確認できました。

SophosWin7

SophosWin6

Sophos Centralからも検出イベントの履歴を確認することができました。

Sophos_Central_win004

まとめ

最低限のセキュリティ対策として、マルウェアからの防御を行いたいケースは多いと思います。AWS環境でも、予想以上に手軽に導入できることがわかりましたので、引き続き、もう少し使ってご報告したいと思います。次はAmazon Linuxの保護を試す予定です。

どこかの誰かのお役に立てば嬉しいです。