こんにちは、小寺です。Trend Cloud Oneで変更監視の機能をご利用されている方多いかと思います。今回は、変更監視をしたいディレクトリを指定して、より具体的な設定を行いたい方向けに、試してみた方法をお伝えいたします!
Trend Cloud Oneの「変更監視」
変更監視ルールは、エージェントがコンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更を検索および検出する方法、およびインストールされているソフトウェア、プロセス、待機ポート、および実行中のサービスの変更を記述します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。
https://cloudone.trendmicro.com/docs/jp/workload-security/integrity-monitoring-rules-create/
以下のように変更監視は2つに分けて考えることができます。
・トレンドマイクロ社が作成するマネージドルール
・ユーザが設定するカスタマイズルール
カスタマイズルールを作成してみる
変更監視ルールを新規に作る方法は以下の通り3つあります。
- [新規]→[新しい変更監視ルール] をクリックして、新しいルールを作成します。
- [新規]→[ファイルからインポート]をクリックして、XMLファイルからルールをインポートします。
- 既存のルールをコピーして変更します。 [ 変更監視ルール ] リストでルールを右クリックし、[ 複製] をクリックします。新しいルールの編集は、ルールを選択して [ プロパティ] をクリックします。
今回は「新規」から「新しい変更監視ルール」を作成してみます。
ディレクトリに変更があったときに、アラートを受け取りたいので、/tmpを監視するように試してみます。
名前はデフォルトでは、「新しい変更監視ルール」が表示され、重要度もデフォルトは「中」です。
設定を分かりやすくするために仮に名前は「/tmp」としておきます。重要度もデフォルトの「中」から「高」へ変更しました。
「コンテンツ」タブの設定で実際の監視したいファイルの情報を指定します。
「ファイル名」箇所では、特定のファイルを含めたり除外することが可能です。 1文字の場合は ? 、0個以上の文字の場合は * など、ワイルドカードを使用できます。仮に「ファイル名」設定が空白の場合、ベースディレクトリ内のすべてのファイルを監視します。不要な変更を検知してしまいそうなときは、対象を絞ることが推奨されます!
「オプション」タブでは、リアルタイム監視の設定がデフォルトでされています。
「割り当て対象」で該当のルールを割り当てるコンピュータを選ぶことができます。
ディレクトリを変更してアラートを確認する
ここまでで、カスタムルールを作って監視したいディレクトリの設定を行いました。実際にどのようなイベントが上がって、指定したアラート先に通知が届くのか確認してみます。
touch XX.txtで/tmpにファイルを作成、削除してみました。以下のようなログが作成されます。
2024-06-23 00:00:00,XX.XX.XX.XX (Hostname) [i-XXXXXXXXXXXX],/tmp,,削除,50,高,ファイル,/tmp/test.txt,root,,取得可能な説明はありません。,Agent
2024-06-23 00:00:00,XX.XX.XX.XX (Hostname) [i-XXXXXXXXXXXX],/tmp,,作成,50,高,ファイル,/tmp/test.txt,root,,取得可能な説明はありません。,Agent
あらかじめ、設定しておいたアラートメールにもメールが通知されました。メールでは、サブディレクトリも監視対象として指定している場合はファイル名やフルパスの表示がされるわけではないので、コンソールからイベントを確認するのが確実ですね!
以上、今日は変更監視の中でも特定ディレクトリの監視方法についてお伝えしました。
