Sophos Central Server ProtectionでWindows(EC2)を保護する
西澤です。AWS環境のマルウェア対策ソリューションとしてSophos Centralから利用できるServer Proctectionを試す機会がありましたので、ご報告します。今回はWindowsの保護から試してみます。
Sophos Centralとは?
"Sophos Central"は以前に書かれた下記記事の"Sophos Cloud"の名称が変わったものです。
名称も新しくなり、コンソールの表示や使い方も新しくなっているようだったので、執筆時点の最新情報で改めて試してみようと思います。
下記ページから評価版を使って試すことができます。Sophos Centralは統合コンソールになっており、本当は複数の機能を利用することができるのですが、今回試すのは"Server Protection"の機能のみです。
Windowsをマルウェアから保護する
エージェントのインストール
評価版アカウントが発行されたら、Sophos Centralにログインして、"デバイスの保護"->"サーバープロテクション"からエージェントのインストーラをダウンロードして利用します。
今回は、Windows Server 2012 R2環境で試してみます。インストーラは実行するだけで、前提チェック等も含め、画面に従って進めれば問題ありませんでした。
エージェントの導入に成功すると、サービスがたくさん追加されています。
ソフトウェアとしても複数のものが含まれていて連携して動作するようです。
各モジュールの詳細はSophos Endpoint Security and Control画面から確認することができました。
Sophos Centralからも対象サーバが認識されたことを確認することができました。
ちなみに通信要件ですが、80,443ポートのOutboundが開放されていれば問題ないということですので、ほとんど意識する必要が無いというところも嬉しいです。
ポリシー設定
保護ポリシーについては、原則デフォルトで推奨設定が用意されているので、デフォルトポリシーを適用すればほとんどの場合は問題ないと思います。
新しいポリシーを作成して、対象サーバに割り当てることも可能です。優先度の高いポリシーから適用されますので、デフォルトポリシーで原則管理しつつ、カスタマイズが必要なポリシーは個別に作成して適用するような運用が良いのではないかと思います。
EICARテストファイルによる検出テスト
それでは、簡単にテストをしてみます。EICARテストファイルをダウンロードして、検出されるか確認してみましょう。ブラウザ経由からだけでなく、コマンドラインからダウンロード等、いろいろなパターンで試してみたのですが、きちんと検出されることを確認できました。
Sophos Centralからも検出イベントの履歴を確認することができました。
まとめ
最低限のセキュリティ対策として、マルウェアからの防御を行いたいケースは多いと思います。AWS環境でも、予想以上に手軽に導入できることがわかりましたので、引き続き、もう少し使ってご報告したいと思います。次はAmazon Linuxの保護を試す予定です。
どこかの誰かのお役に立てば嬉しいです。
