Trend Micro Deep Security でアラートの消去できないパターン発生。サポートに問い合わせた結果を記録。
アラート:
Linux/Unix - SSH authorized_keys file modified - non-root users (ATT&CKT1021.004, T1098.004, T1563.001)
こちらの監視項目は、SSHにパスワードなしでログインする際のauthorized_keysファイルを監視するルールとなり、警告は監視ユーザの定義がされていないことによるものだそうだ。
対処としては、以下の手順で監視ユーザの事前定義の設定。
①監視コンソールの【コンピュータ】タブより、対象サーバをダブルクリック。
②詳細画面内の【変更監視】→【割り当て/割り当て解除】をクリック。
③変更監視ルール画面より、以下項目を検索してルール名をダブルクリック。
Linux/Unix - SSH authorized_keys file modified - non-root users
(ATT&CKT1021.004, T1098.004, T1563.001)
④詳細画面内の【設定】タブに遷移し、
設定オプション内【継承」に入っているチェックを外し、「*」を入力。
⑤変更監視項目内【推奨設定の検索】を実施。
仕組みは理解できていないが、ひとつのサーバーで処理をするとほかにも伝播したようだ。
念のため、すべてのサーバーに同処理を行う。
アラートも自動消去された。
コメント