Deep Securityの正常動作を確認する: 「変更監視」編

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、虎塚です。

トレンドマイクロ社のDeep Securityには、ファイル、ディレクトリやレジストリなどの変更を監視する機能があります。

この記事では、システムに導入したDeep Security(バージョン9.5)で、変更監視(Integrity Monitoring)機能が正しく動作していることを確認する手順をまとめます。

概要

まず、保護対象サーバにSSHログインして、変更監視対象のディレクトリに、テスト用のファイルを新規に作成します。この時、変更監視が正常に動作していれば、Deep Security Agentによって変更が検知されます。

次に、Deep Security Managerを確認します。ファイルの作成を検知したイベントが発生していれば、テスト成功です。

最後に、テスト用に作成したファイルを削除するなど、後始末をしましょう。

手順

1. ターゲットルールの選択

Deep Security Managerにログインして、保護対象のサーバに適用されている変更監視ルールを確認します。[コンピュータ]で対象のサーバをダブルクリック→[変更監視]→[一般]タブ→[現在割り当てられている変更監視ルール]一覧を表示します。

現在割り当てられている変更監視ルール

上の図で表示されているルール一覧から、今回の動作確認でターゲットにするルールを選びます

Deep Securityには、保護対象のサーバの中身を調査して、適切なルールを推奨してくれる機能があります。そのため、もしサーバにApacheやPHPなどをインストールしていれば、それらのディレクトリを監視するルールが表示されているかもしれません。

ただ、テスト手順としてまとめる上では、多くのLinuxサーバにインストールされているミドルウェアを対象にしたルールを選んだほうが、後々参考にしやすいかと思います。というわけで、今回はOpen SSH、つまりルール「1003533 - Application - OpenSSH」をターゲットに選びました。

2. 監視対象ディレクトリの特定

ステップ1で選択したルールで監視しているディレクトリパスを特定します。

[現在割り当てられている変更監視ルール]一覧で、対象のルール「1003533 - Application - OpenSSH」をダブルクリックします。[詳細]タブで、デフォルトの監視パス「/usr/libexec/openssh」が確認できます。

ルールの詳細タブ

また、デフォルトの監視パスが上書きされていないか確認しておきましょう。次の図のように、[設定]タブの設定が空欄であれば、デフォルトの値が使われています。

ルールの設定タブ

3. テスト用ファイルの設置

保護対象サーバにSSHログインして、2で特定したディレクトリに、空のファイルを新規作成します。

$ sudo touch /usr/libexec/openssh/test.20150717
$ ls /usr/libexec/openssh/
ctr-cavstest  sftp-server  ssh-keysign  ssh-pkcs11-helper  test.20150717

4. 変更の検索

Deep Security Managerに戻り、変更の検索を実施します。運用時には定期タスクで変更検索をしているかと思いますが、今回はすぐに結果を知りたいので、手動で検索を起動します。

[変更監視]→[一般]タブ→[変更の検索]ボタンをクリックします。

変更の検索

変更の検索を実行している間、[コンピュータ]画面のサーバ一覧で、ステータスが変わることを確認してください。[前回の変更のフル検索]の日時が更新されたら、完了です。

[前回の変更のフル検索]が更新済み

5. イベントの確認

[変更監視]→[イベント]タブで、発生した変更監視イベントを確認します。すぐに表示されない場合は、[イベントの取得]ボタンをクリックして、しばらく待ちましょう。

次の図のように、「1003533 - Application - OpenSSH」イベントが検出されていれば成功です。

変更監視イベントの確認

イベントの行をダブルクリックして、詳細を表示します。ステップ3で作成したファイルが検出されたことを確認しておきましょう。

変更が検出されたファイルの確認

6. テスト用ファイルの削除

ここからは、後始末です。対象サーバにログインして、ステップ3で作成したファイルを削除します。

$ sudo rm /usr/libexec/openssh/test.20150717 
$ ls /usr/libexec/openssh/
ctr-cavstest  sftp-server  ssh-keysign  ssh-pkcs11-helper

7. 変更の検索(2回目)

ステップ4と同様に、変更の検索を実行します。これを実行しなければ、直近の変更検索の結果に、テスト用のファイルが含まれた状態になってしまいます。

[変更監視]→[一般]タブ→[変更の検索]ボタンをクリックします。

8. イベントの確認(2回目)

ステップ5と同様にイベントを確認します。これは、ステップ6でのファイルの削除が、変更監視イベントに捕捉されたことを確認するためです。

[変更監視]→[イベント]タブで、発生した変更監視イベントを確認します。すぐに表示されない場合は、[イベントの取得]ボタンをクリックして、しばらく待ちましょう。

注意事項

外部サービスを使って、セキュリティイベントを監視している場合は、動作確認中にアラートが発報されないように、監視を停止しておきましょう。上記のすべての手順を完了してから、監視を再開します。

動作確認の計画について、システムの関係者に情報共有しておくことも大切です。

おわりに

初期設定を実施したら、動作確認をすることが重要ですね。その他の動作確認手順も、徐々にまとめていきたいと思います。

それでは、また。