Trend Micro Deep Security でアラートの消去できないパターン発生。サポートに問い合わせた結果を記録。 アラート: Linux/Unix - SSH authorized_keys file modified - non-root users (ATT&CKT1021.004, T1098.004, T1563.001) こちらの監視項目は、SSHにパスワードなしでログインする際のauthorized_keysファイルを監視するルールとなり、警告は監視ユーザの定義がされていないことによるものだそうだ。 対処としては、以下の手順で監視ユーザの事前定義の設定。 ①監視コンソールの【コンピュータ】タブより、対象サーバをダブルクリック。 ②詳細画面内の【変更監視】→【割り当て/割り当て解除】をクリック。 ③変更監視ルール画面より、以下項目を検索してルール名をダブルクリック。 Linux/Unix - SSH authorized_keys file modified - non-root users (ATT&CKT1021.004, T1098.004, T1563.001) ④詳細画面内の【設定】タブに遷移し、 設定オプション内【継承」に入っているチェックを外し、「*」を入力。 ⑤変更監視項目内【推奨設定の検索】を実施。 仕組みは理解できていないが、ひとつのサーバーで処理をするとほかにも伝播したようだ。 念のため、すべてのサーバーに同処理を行う。 アラートも自動消去された。