すべてのプロダクト
Search
ドキュメントセンター

Security Center:コアファイルモニタリング機能を構成するためのベストプラクティス

最終更新日:Jul 24, 2024

コアファイル監視機能は、サーバー上のコアファイルへのアクセスをリアルタイムで監視します。 この機能は、読み取り、書き込み、削除、名前変更、権限変更などのファイル操作を監視し、疑わしい操作のアラートを生成できます。 この機能を使用して、コアファイルが盗まれたり改ざんされたりするのを防ぐことができます。 このトピックでは、コアファイルモニタリング機能の設定方法の例を示します。

ホスト侵入検知とコアファイル監視の関係

サイバーセキュリティの実践には、多層で詳細な防御戦略が推奨されます。 ほとんどの場合、ホスト侵入検出機能は、侵入特性に基づいて疑わしい侵入を検出するために使用されます。 この機能は、既知または未知の悪意のある動作とシステムアクティビティに焦点を当てています。 コアファイル監視機能は、ファイルシステム内のファイルとディレクトリの整合性を監視し、不正な変更を検出することに重点を置いています。

上記の機能は互いに補完し合い、複雑な脅威の検出効率を向上させるための包括的な保護を提供します。 セキュリティイベントに対応するには、攻撃者の行動を理解することが重要です。 作成した監視ルールの保護範囲内で攻撃者がファイルを読み取ったり変更したりすると、主要なファイル監視機能によってアラートが生成され、運用担当者が攻撃者の詳細な活動を追跡し、効率的な対応と調査を実行できるようになります。

コアファイル監視機能は、外部の脅威だけでなく、内部の人員による悪意のある行動や不正操作などの内部の脅威も検出できます。

設定ルールと例

コアファイルモニタリング機能の設定ルールと例について説明します。 次の表に、一般的なシナリオと監視ルールの設定方法を示します。 通常のO&Mアクティビティが、異なるユーザーシステムで実行される監視ルールによって攻撃者の行動として識別される場合、ルールは誤検出を生成する可能性があります。 次の表の最後の列に、アラートをトリガーする通常の操作の例を示します。

システムO&Mに対する誤検知の影響を最小限に抑えるために、モニタリングルールをさまざまなユーザーシステムに展開する前に、徐々にテストすることをお勧めします。 次のリストは、手順を説明しています。

  • 小規模トライアル: 初期段階で、少数のサーバーを選択してモニタリングルールを適用します。

  • 徹底的なモニタリング: 小規模な試用期間中に、各ルールのヒットの詳細を注意深く監視して、ルールの正確性と適用性を検証します。

  • 反復と改善: ルールの保護効果を確認します。 特定のO&Mアクティビティがアラートをトリガーし、アクティビティが脅威ではないことを確認した場合は、アクティビティのホワイトリストルールを設定します。 このように、重要なO&Mアクティビティはアラートをトリガーせず、管理する必要があるアラートの数が削減されます。

  • 公式展開: モニタリングルールを数回テストして最適化し、ルールのヒット率が安定しており、誤検知が解消されていることを確認した後、モニタリングルールを別のサーバーに適用できます。

ファイルタイプ

の説明

ファイルのサブタイプ

行動

ファイルパスの例

誤検知を引き起こす可能性のある操作

コアシステムファイル

このタイプのディレクトリには、ほとんどのシステムコマンドと共有リンクライブラリが含まれます。 これらのディレクトリ用に作成された監視ルールは、悪意のあるバイナリの挿入やシステム依存関係の改ざんなど、攻撃者による潜在的な悪意のある改ざんを検出するのに役立ちます。

実行可能なシステムバイナリディレクトリ

書き込みと削除

  • /bin/*

  • /usr/bin/*

  • /sbin/*

  • /usr/sbin/*

パッケージ管理ソフトウェアを使用して実行されるインストールや更新などのアクティビティも、ディレクトリにデータを書き込むことができます。 コードリポジトリからソースコードを手動で取得し、そのコードをコンパイルしてソフトウェアをインストールすると、誤ってディレクトリにデータを書き込む可能性があります。 ほとんどの場合、make && make installコマンドが使用されます。 通常の操作でアラートがトリガーされないようにするには、ビジネス要件に基づいてホワイトリストルールを設定する必要があります。

共有ライブラリディレクトリ

書き込みと削除

  • /usr/lib/*

  • /usr/lib64/*

設定ファイル

攻撃者は、さまざまなキーシステム構成ファイルを変更して攻撃を開始できます。 例:

  • 攻撃者は、ユーザーアカウントレコードを追加または変更して、システムへの継続的なアクセスを取得したり、システム上の特権をエスカレートしたりできます。

  • 攻撃者は、ドメインネームシステム (DNS) 解決設定を変更して、DNSハイジャックを実装できます。

  • 攻撃者は、ログ設定を変更して監査を中断または回避できます。

  • 攻撃者は、特定のセキュリティ設定を変更または無効にして攻撃を開始できます。

  • 攻撃者は、O&Mアプリケーションの構成ファイルを改ざんして認証プロセスをハイジャックし、セキュリティ対策を回避したり、特定のユーザーの権限をエスカレートしたりできます。

  • 攻撃者は、webサーバーの構成ファイルを変更して悪意のあるライブラリファイルをロードしたり、DNS解決設定を変更してトラフィックを悪意のあるwebサイトにリダイレクトしたりできます。

ユーザーと権限に関連するファイル

Write

  • /etc/passwd

  • /etc/shadow

  • /etc /グループ

  • /etc/gshadow

  • /etc/sudoers

  • /etc/sudoers.d/*

useradd、usermod、userdel、およびpasswdコマンドを使用することによって実行される動作などの通常の動作は、データをファイルに書き込むことができる。 特定のO&Mルールに基づいて適切なホワイトリストルールを作成したり、アラートデータを監査ログとして使用したりできます。

重要なシステム構成ファイル

書き込みと削除

  • /etc/resolv.conf

  • /etc/hosts

ファイルは、ネットワーク設定、名前解決設定、およびカーネルパラメータを変更するO&Mタスクを実行することによって変更されます。

O&Mアプリケーションの設定ファイル

Write

  • /etc/ssh/sshd_config

  • /etc/security/pam_env.conf

  • /*/.ssh/authorized_keys

ファイルは、システムメンテナンス、構成更新、セキュリティ強化、または定期的なキーローテーション中に変更することができます。 適切なホワイトリストルールを作成することを推奨します。

セキュリティ監査の設定ファイル

書き込みと削除

  • /etc/audit/auditd.conf

  • /etc/audit/rules.d/*

  • /etc/selinux/config

  • /etc/rsyslog.conf

  • /etc/rsyslog.d/*

システムの監査フレームワークを初めて構成するとき、またはコンプライアンスとセキュリティ要件を満たすように監視ルールを変更するときに、ファイルが変更される可能性があります。

webサービスの構成ファイル

Write

  • /etc/httpd/conf/httpd.conf

  • /etc/httpd/conf.d/*

  • /etc/apache2/apache2.conf

  • /etc/apache2/sites-available/*

  • /etc/apache2/sites-enabled/*

  • /etc/nginx/nginx.conf

  • /etc/nginx/conf.d/*

webサービスの初期構成、インストール後の設定、関連するモジュールの追加と削除、およびwebサービスの更新により、ファイルが変更される場合があります。

データベースの構成ファイル

Write

  • /etc/my.cn f

  • /etc/mysql/my.cn f

  • /etc/postgresql/*/main/postgresql.conf

  • /etc/postgresql/*/main/pg_hba.conf

  • /etc/mongod.conf

  • /etc/redis/redis.conf

データベースサービスのインストールとO&Mの変更により、ファイルが変更される場合があります。 ビジネス要件に基づいて適切なホワイトリストルールを作成することを推奨します。

一般的な永続化メカニズム

攻撃者は、スケジュールされたタスク、悪意のあるサービス、または起動スクリプトを追加して、定期的な実行中またはシステムの再起動後に永続的なアクセスを維持できます。

Cron

Write

  • /etc/crontab

  • /etc/cron.d/

  • /var /スプール /cron

  • /etc/cron.hourly/*

  • /etc/cron.daily/*

  • /etc/cron.weekly/*

  • /etc/cron.mo nthly/*

通常のO&M操作では、既存のcrontabエントリを追加、調整、または削除することがあり、その結果、cronファイルが変更されます。

サービス

Write

  • /etc/init.d/*

  • /etc/rc.d/rc.local

  • /etc/systemd/system/*

  • /lib/systemd/system/*

特定のサービスアプリケーションをインストールすると、システムサービスに対する操作 (追加操作や変更操作など) が発生する可能性があります。

シェル構成

Write

  • /*/.bashrc

  • /*/.bash_profile

  • /etc/profile

O&M担当者がデフォルトの環境設定を変更したり、頻繁に使用される複雑なコマンドのエイリアスを作成したりすると、関連ファイルが変更される場合があります。

webサービスのコードディレクトリ

webサービスのコードディレクトリを監視するルールは、webアプリケーションのセキュリティを確保するのに役立ちます。 ほとんどの場合、攻撃者は脆弱性や不正アクセスを悪用して悪意のあるWebシェルファイルをアップロードします。 webshellファイルを使用すると、攻撃者は侵害されたサーバーにリモートでアクセス、制御、管理できます。 webサービスのコードディレクトリを監視することで、潜在的なwebシェルのアップロードや、webページの改ざんや悪意のあるスクリプトの挿入などの不正な変更を効果的に検出できます。

Webコードディレクトリ

書き込みと権限の変更

/var/www/html/<code dir>/*.php

サービスの更新、サービスの展開、および特定のコンテンツ管理システム (CMS) のプラグインとテーマのインストールと更新など、定期的なビジネスとメンテナンスの操作は、コードディレクトリにwebスクリプトファイルを書き込むことができます。 Jenkins、GitLab CI/CD、Ansibleなどの特定の自動展開ツールも、継続的な統合および展開プロセス中にファイルを書き込むことができます。 このような場合、セキュリティを確保するために、特定の書き込みプロセスを構成するか、外部ファイルのアップロードを許可するディレクトリを制限し、特定のファイルサフィックスを制限する必要があります。

機密コンテンツを含むファイル

機密認証情報の漏洩は、サイバーセキュリティの主なリスクの1つです。 攻撃者はホストにアクセスした後、機密情報を検索して横方向の移動を実行し、侵入フットプリントを拡大します。 機密コンテンツを含むファイルの読み取り操作を監視することで、侵入や悪意のあるアクティビティをできるだけ早く検出できます。

クラウドサービスCLIの認証情報

読み取り権限

  • /*/.aliyun/config.json

  • /*/.ossutilconfig

ほとんどの場合、機密情報を含むファイルは、ファイルが属するアプリケーションによって読み取られます。 たとえば、Alibaba Cloud CLIは ~/.aliyun/config.jsonを読み取って認証情報を読み込み、kubectlは ~/.kube/configを読み取ってKubernetes証明書情報を取得します。 特定のセキュリティソフトウェアは、このタイプのファイルをスキャンして、サーバ上の悪意のあるファイルを識別する。 ホワイトリストルールを作成するときは、これらの通常の読み取り操作を考慮する必要があります。

バージョン管理の認証情報

読み取り権限

/*/.git-credentials

データベースの構成

読み取り権限

/*/config/database.yml

O&Mおよびオーケストレーションシステムの秘密鍵情報

読み取り権限

/*/.ssh/id_rsa, /*/.kube/config

関連ドキュメント