リアルタイムスキャン機能について
一般的な質問
■共通
運用上でファイル更新する場合、どのようにすればいいのでしょうか。
リアルタイムスキャンの機能がONになっている場合、検知する対象ディレクトリ、ファイルを手動で変更すると自動的にファイルを復帰したり、ウイルス検知します。 運用上、リアルタイムスキャンの対象ディレクトリ、ファイルを更新する場合、一旦リアルタイム機能を停止、ファイル更新(追加、削除、変更)をおこなった後、再度リアルタイム機能を起動してください。 停止、起動はGUI管理画面より操作可能です。
リアルタイムスキャンでは、DBやログファイルなど常時更新されているファイルを対象にできますか。
いいえ。ファイル更新があった都度、ファイルのバックアップや、ウイルススキャンをおこないますので、DBやログファイルは対象にしません。 このようなファイルもしくはディレクトリは、ホワイトリストに記載することで、リアルタイムスキャンの対象から外すことができます。
改ざん検知には、監視の間隔のようなものがありますか?
ファイルの追加、変更、削除、移動の際に発生する『イベント』を捉え検知いたします。 そのため、検知はファイル改ざんとほぼ同時に行われます。 よって、監視の間隔は存在せず、検知はリアルタイムに行われます。
技術的な質問
■共通
インストール時にカーネルのコンパイルが不要なのはなぜですか。
Linux カーネルのバージョン2.6.13以降で、カーネル外部I/Fよりファイルの更新および追加が検知できるようになりました。 したがって、カーネルのコンパイルが不要になり、アドオンでインストールできるようになりました。 具体的には、RedHat Enterprise Linux 5以降、CentOS5.x 以降であればインストール可能です。
改ざん検知は、どのような情報を元に行いますか?
Kernel上でファイル情報を司るinodeというファイルシステムにて書換えが起こった時のイベント(inotify)をトリガとしてファイルの書換えを検知しております。
セキュリティポリシー設定で、報告書作成支援、侵入の追証ができるとありますが、具体的にはどのようなことができますか。
リアルタイムスキャンの有益な機能の一つに、セキュリティポリシーの設定があります。 通常、マルウェアがシステムに侵入すると、システムを改ざんすることで、自分の侵入痕跡を残さないようにします。 したがって、侵入された後の行動履歴が残らないので、後で侵入の経路、原因、影響の範囲などの解析には手間取ります。 そこで、ファイル改ざんをリアルタイムで検知した段階で、即座に、別ディレクトリに置かれたシステムコマンドを実行し、侵入した時刻、ユーザ名、ポート番号、IPアドレス、起動プロセス名、ファイル変更履歴、などのスナップショットをとることができます。 スクリプト言語でポリシィーは記述できますので、システム固有なポリシー記述が可能です。 例えば、特定のファイル改ざんがあった場合、当該のサービスを停止したり外部から、もしくは外部へのアクセスを拒否するなど自動でファイアウオール機能を動作できます。
オープンソース版Tripwire(Open Source Tripwire)との違い
Tripwireの場合、以下の機能を有しています。
- ファイル群の任意の時点からの詳細な変更情報をレポートにしてメールする
そのため、ある時点からの詳細な変更点を全て知りたい場合に有用です。
例えば、サーバーの不正改ざんなどが発生した場合、どのようなファイルをどう変更したかを詳しく知ることが可能です。 間違い探し、ではありませんがある時点からの異なる点を詳細に確認できます。
一方、リアルタイムスキャンの場合は、以下の機能を有しています。
- ファイルが変更を検知し、即時に自動で復元する・コマンド実行を行い記録を残す
コマンド実行により、そのときどのような接続があったか、誰がログインしていたか、どんなプロセスが動作していたかを知ることが可能です。
例えば、発生してしまったWeb改ざんによる二次被害を防ぎ、改ざん原因を突き止めたい場合に向いています。 改ざんされたファイルは即時復元され、改ざんファイルは隔離し、そのときのネットワーク、ログイン、プロセス状況を記録することで、二次被害を防ぎつつ、原因を突き止めることが可能です。
以下にOpen Source Tripwireとリアルタイムスキャンの比較概要を記述します。
| Tripwire | リアルタイムスキャン | |
|---|---|---|
| インストールの容易さ | 1コマンドで完了 (RPMパッケージの場合) |
2コマンドで完了 (ダウンロード&インストールコマンド実行) |
| 動作までのセットアップ | ポリシー設定 DB初期化 |
インストール直後から動作 |
| 検出のリアルタイム性 | 1日1度などスケジュール実行のため、リアルタイム性は落ちる | 即時検出するため、リアルタイム性は高い |
| 検出時の負荷 | 高い。全てのファイルの属性・内容をDBと照らし合わせる。そのため、ファイル数が多い場合には注意が必要 | かなり低い。ディレクトリをLinuxカーネルの機構によって捕らえるため負荷はほとんどかからない。ただしアンチウイルス機能を利用している場合は、ファイルをウイルスチェックするコストが掛かる |
| 変更ファイルの検出範囲 | ファイルの内容 ファイルの属性 ファイルのオーナー ファイルのグループ ファイル変更日時 |
ファイルの内容 |
| ウイルスチェック | できない | 可能(Kaspersky) |
| 検出後のアクション | 英語テキストでのレポート機能 (メール配信可能) |
ログ出力機能 変更検知時のメール配信機能 読み込み禁止に変更(ファイル属性を000) ファイル隔離 自動復元 任意コマンド実行(セキュリティポリシー機能) |
| 日本語ファイル名の対応 | 未対応 | 対応。監視ディレクトリ毎に文字コードが設定可能 |
| 対応ディストリビューション | 古いディストリビューションでも対応可能 (ただしRPMパッケージはRHEL 5以降の64bit版のみ) |
RHEL 5以降など比較的最近のディストリビューションのみ対応 |
| GUI | 標準では用意されていない | あり。ログの自動更新機能付き日本語Web GUI |
