Deep Securityの変更監視をWindowsで試してみた

はじめに

Trend Micro Deep Securityの変更監視をWindows Server 2016で試してみました。
変更監視は以下のような機能を持ちます。

変更監視保護モジュールは、不審なアクティビティを示している可能性があるファイルや重要なシステム領域 (Windowsレジストリなど) への変更を検出します。 検出では、現在の状況が、以前に記録されたベースラインの読み取り値と比較されます。 Deep Securityには、事前定義された変更監視ルールが付属しています。新しい変更監視ルールは、セキュリティアップデートで提供されます。

変更監視の設定

以下の3つを試してみました。

  • hostsファイルの変更を検知
  • ソフトウェアのインストールを検知
  • カスタムルールにより、ドキュメントルート以下の変更を検知

変更監視でのリアルタイム検知

変更監視でのリアルタイム検知はプラットフォームや監視対象によって、動作が異なります。
詳細は、トレンドマイクロ Q&Aページをご覧ください。

リアルタイム検知では、リアルタイムにSyslog経由でSIEMに、または次回のDeep Security Manager(DSM)とのハートビート通信時に転送されます。

変更監視の有効化

EC2にDeep Security Agent(DSA)をインストールします。
Windows Server 2016を使いました。

インストール手順はこちらをご覧ください。
コンピュータエディタまたは、ポリシーエディタを開きます。
変更監視 > 一般 > 変更監視のステータスをONに、リアルタイム検索を有効にします。

1

コンピュータエディタから、変更監視 > 一般 > 推奨設定の検索を実行します。
OSやインストールされたアプリケーションに応じて事前定義ルールが割り当てられます。

2

ベースラインの構築

ベースラインは、変更検索の比較対象となる元の状態です。
変更監視 > 一般 > ベースラインの再構築を選択します。
パッチ適用後について、新しいベースライン作成が推奨されます。

3

ベースラインの表示を選択すると、以下のように表示されました。
"ファイル"のベースラインを例にあげると、所有者やハッシュ値などの属性を確認できます。

4

hostsファイルの変更を検知

C:\Windows\System32\drivers\etc\hostsファイルを変更し、検知されることを確認します。
メモ帳でhostsファイルを開き、「192.0.2.1 example.com」を追記しました。

5

DSMとのハートビート通信後にイベントに表示されました。
ルール"1002773 - Microsoft Windows - 'Hosts' file modified"にて検知されました。

6

イベントを開くとhostsファイルのハッシュ値が変更されたことがわかります。

7

ソフトウェアのインストールを検知

Windows ServerにChromeをインストールし、検知されることを確認します。
ChromeSetup.exeをデスクトップに配置しインストールします。

ポーリングされた時点でイベントが作成されました。12件のイベントが表示されました。
または、「イベントの取得」を選択すると即イベントが作成されます。

9

ルール「1006076 - Task Scheduler Entries Modified」では3件検知されました。
Chromeに関するタスクスケジューラの検知です。

10

ルール「Microsoft Windows - Attributes of a service modified」では、9件検知されました。
Chromeに関するサービスが作成された旨の検知は2件でした。

カスタムルールにより、ドキュメントルート以下の変更を検知

ここまで定義済みルールを使いテストしました。
カスタムルールを作成し、ドキュメントルート以下の検知を試してみました。
Webサーバー(IIS)をインストールし、ドキュメントルート以下にindex.htmlを配置しました。

ポリシー > 変更監視ルール > 新規を選択します。
名前は"wwwroot Sha1 Check Rule"としました。
ルールはXMLで記述します。wwwrootフォルダのファイルを監視します。

<FileSet base="${env.SystemDrive}\inetpub\wwwroot" onChange="true">
  <include key="*"/>
    <attributes>
       <Sha1/>
    </attributes>
</FileSet>

コンピュータエディタから、カスタムルールを割り当てます。

11

index.htmlを変更すると、以下のようにイベントが作成されました。
index.htmlのSHA-1が変更されたことがわかります。

12

おわりに

Deep Securityの変更監視を試してみました。
定義済みルールを使って、hostsファイルの変更とソフトウェアのインストールを検知しました。
カスタムルールを作成し、ドキュメントルート以下のindex.htmlファイルの変更を検知しました。

検証環境

  • Trend Micro Deep Security as a Service
  • Deep Security Agent 10.1.0.205、Windows_Server-2016-Japanese-Full-Base-2017.08.09 (ami-4fe11429)

参考