FedRAMP に準拠した RHEL システム上のマルウェアシグネチャーの評価とレポート


Red Hat Insights 1-latest

RHEL インフラストラクチャーのシステムがマルウェアのリスクにさらされる状況を把握する

Red Hat Customer Content Services

概要

FedRAMP® に準拠した Insights for Red Hat Enterprise Linux マルウェア検出サービスと IBM X-Force 脅威インテリジェンスシグネチャーを使用して、インフラストラクチャー内のシステムがマルウェア攻撃の被害を受けているかを把握します。
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Insights for RHEL マルウェア検出サービスの概要

Red Hat Insights for Red Hat Enterprise Linux のマルウェア検出サービスは、RHEL システムをスキャンしてマルウェアの存在を監視および評価するツールです。マルウェア検出サービスには、YARA パターンマッチングソフトウェアとマルウェア検出シグネチャーが組み込まれています。シグネチャーは、Red Hat 脅威インテリジェンスチームと密接に連携している IBM X-Force 脅威インテリジェンスチームと提携して提供されます。

マルウェア検出サービス UI では、User Access を許可された管理者およびビューアーが、以下を行うことができます。

  • RHEL システムのスキャン時に照合されるシグネチャーのリストを確認する。
  • Insights クライアントで、マルウェア検出が有効になっているすべての RHEL システムの集約結果を確認する。
  • 各システムの結果を確認する。
  • システムにマルウェアの存在を示す証拠がある場合に、それを把握する。

これらの機能により、セキュリティー脅威の評価者や IT インシデント対応チームは、対応準備のための貴重な情報を得ることができます。

マルウェア検出サービスでは、マルウェアのインシデントを解決または修正する解決策を推奨していません。

マルウェアの脅威に対処する戦略は、多くの基準と、各システムおよび各組織固有の考慮事項に従います。組織のセキュリティーインシデント対応チームは、状況ごとに効果的な緩和および修復戦略を設計し、実装する上で最適な資格を有しています。

1.1. YARA マルウェアシグネチャー

YARA シグネチャー検出は、Insights for Red Hat Enterprise Linux マルウェア検出サービスの基盤です。YARA シグネチャーは、マルウェアタイプをパターンとして表現したものです。各説明は、文字列のセットと、ルールを定義するブール式で構成されます。シグネチャーの条件のうち、スキャンした RHEL システムに 1 つ以上の条件が存在する場合、YARA はそのシステムに検出を記録します。

1.2. IBM X-Force 脅威インテリジェンスシグネチャー

Insights for Red Hat Enterprise Linux マルウェア検出サービスには、RHEL システムで動作しているマルウェアを発見するために、IBM X-Force Threat Intelligence チームが開発した定義済みのシグネチャーが組み込まれています。X-Force 脅威インテリジェンスチームがコンパイルしたシグネチャーは、マルウェア検出サービスで XFTI 接頭辞 (XFTI_FritzFrog など) によって識別できます。

第2章 Insights for RHEL マルウェア検出サービスの使用

マルウェア検出サービスの使用を開始するには、次のアクションを実行する必要があります。この章では、各アクションの手順を説明します。

注記

手順によっては、システムで sudo アクセスが必要になる場合や、アクションを実行する管理者が、マルウェア検出管理者ロール を持つ User Access グループのメンバーでなければならない場合があります。

表2.1 マルウェア検出サービスを設定するための手順とアクセス要件
Action詳細必要な特権

YARA のインストールと Insights クライアントの設定

YARA アプリケーションをインストールし、Insights クライアントがマルウェア検出サービスを使用するように設定します。

sudo アクセス

Red Hat Hybrid Cloud コンソールでの User Access の設定

Red Hat Hybrid Cloud Console > Settings アイコン (⚙) > Identity & Access Management > User Access > Groups で、マルウェア検出グループを作成し、適切なロールとメンバーをそのグループに追加します。

Red Hat アカウントの組織管理者

結果の表示

Hybrid Cloud Console でシステムスキャンの結果を表示します。

マルウェア検出ビューアーロールを持つ User Access グループのメンバーシップ

2.1. YARA のインストールおよび Insights クライアントの設定

以下の手順に従って、RHEL システムに YARA およびマルウェア検出コントローラーをインストールし、テストスキャンおよび完全なマルウェア検出スキャンを実行して、Insights for Red Hat Enterprise Linux アプリケーションにデータを報告します。

前提条件

  • システムのオペレーティングシステムのバージョンは、RHEL8 または RHEL9 でなければならない。
  • 管理者は、システムで sudo アクセスがある。
  • システムには Insights クライアントパッケージがインストールされており、Insights for Red Hat Enterprise Linux に登録されている必要がある。

手順

  1. YARA をインストールします。

    RHEL8 および RHEL9 の Yara RPM は、Red Hat カスタマーポータルから入手できます。

    $ sudo dnf install yara
    注記

    Insights for Red Hat Enterprise Linux のマルウェア検出は、RHEL7 ではサポートされていません。

  2. まだ完了していない場合は、システムを Insights for Red Hat Enterprise Linux に登録します。

    重要

    マルウェア検出サービスを使用する前に、Insights クライアントパッケージをシステムにインストールし、システムを Insights for Red Hat Enterprise Linux に登録する必要があります。

    1. Insights クライアント RPM をインストールします。

      $ sudo yum install insights-client
    2. Insights for Red Hat Enterprise Linux への接続をテストします。

      $ sudo insights-client --test-connection
    3. システムを Red Hat Enterprise Linux の Insights に登録します。

      $ sudo insights-client --register
  3. Insights クライアントのマルウェア検出コレクターを実行します。

    $ sudo insights-client --collector malware-detection

    コレクターは、この初回実行時に次のアクションを実行します。

    • /etc/insights-client/malware-detection-config.yml でマルウェア検出設定ファイルを作成します。
    • テストスキャンを実行し、結果をアップロードします。

      注記

      これは、簡易テストルールを使用して、システムのごく最小限のスキャンを行うものです。テストスキャンは主に、マルウェア検出サービスのインストール、操作、アップロードが正しく機能していることを確認する際に役立ちます。一致がいくつか検出されますが、これは意図的なものであり、心配する必要はありません。初期テストスキャンの結果は、マルウェア検出サービス UI には表示されません。

  4. ファイルシステムの完全スキャンを実行します。

    1. /etc/insights-client/malware-detection-config.yml を変更し、test_scan を false に設定します。

      test_scan: false

      スキャン時間を最小限にとどめるため、以下のオプションを設定することを検討してください。

      • filesystem_scan_only - システム上の特定のディレクトリーのみをスキャンする
      • filesystem_scan_exclude - 特定のディレクトリーをスキャンから除外する
      • filesystem_scan_since - 最近変更されたファイルのみをスキャンする
    2. クライアントコレクターを再実行します。

      $ sudo insights-client --collector malware-detection
  5. 必要に応じて、プロセスをスキャンします。まずファイルシステムをスキャンし、次にすべてのプロセスをスキャンします。ファイルシステムとプロセスのスキャンが完了したら、Security > Malware で結果を表示します。

    重要

    デフォルトでは、スキャンプロセスは無効になっています。Linux システムでは、システムパフォーマンスが低下する可能性がある YARA およびスキャンプロセスに関する 問題 があります。この問題は、YARA の次期リリースで修正される予定です。それまではプロセスをスキャンしないことが推奨されます

    1. プロセススキャンを有効にするには、/etc/insights-client/malware-detection-config.ymlscan_processes: true を設定します。

      scan_processes: true
注記

ここで、これらのプロセス関連オプションを設定することを検討してください (processes_scan_only - システム上の特定のプロセスのみをスキャン、processess_scan_exclude - スキャンから特定のプロセスを除外、processes_scan_since - 最近開始されたプロセスのみをスキャン)。

  1. 変更を保存し、コレクターを再実行します。

    $ sudo insights-client --collector malware-detection

2.2. Red Hat Hybrid Cloud Console のユーザーアクセス設定

アカウントのどのユーザーも、Insights for Red Hat Enterprise Linux のほとんどのデータにアクセスできます。

2.2.1. 定義済みのユーザーアクセスグループとロール

グループとロールを管理しやすくするために、Red Hat は 2 つの定義済みグループと一連の定義済みロールを提供しています。

2.2.1.1. 定義済みグループ

Default access group には、組織内のすべてのユーザーが含まれます。このグループには、多くの定義済みロールが割り当てられています。Red Hat によって自動的に更新されます。

注記

組織管理者が Default access グループに変更を加えると、名前が Custom default access グループに変更され、Red Hat による更新の対象外となります。

Default admin access グループには、組織管理者権限を持つユーザーのみが含まれます。このグループは自動的に維持され、このグループ内のユーザーとロールは変更できません。

2.2.2. マルウェア検出サービスの User Access ロール

Red Hat Hybrid Cloud Console の次の事前定義済みロールを使用すると、Insights for Red Hat Enterprise Linux のマルウェア検出機能にアクセスできます。

重要

マルウェア検出サービスユーザーには "default-group" ロールがありません。マルウェア検出サービスのデータの表示や設定の制御を実行できるようにするには、次のいずれかのロールを持つ User Access グループのメンバーである必要があります。

表2.2 User Access ロールに付与される権限
User Access ロール権限

Malware detection viewer

  • すべての読み取り

Malware detection administrator

  • すべての読み取り
  • ユーザー確認の設定
  • ヒットの削除
  • 署名権限の無効化

2.3. Red Hat Hybrid Cloud Console でのマルウェア検出スキャンの結果の表示

Hybrid Cloud Console でシステムスキャンの結果を表示します。

前提条件

  • YARA と Insights クライアントが RHEL システムにインストールされ、設定されている。
  • Hybrid Cloud コンソールにログインしている必要がある。
  • マルウェア検出管理者 または マルウェア検出ビューアー ロールを持つ Hybrid Cloud Console User Access グループのメンバーである。

手順

  1. Security > Malware > Systems に移動します。
  2. ダッシュボードを表示して、マルウェア検出が有効になっているすべての RHEL システムの概要とレポート結果を簡単に確認します。
  3. 特定のシステムの結果を表示するには、Filter by name 検索ボックスを使用して、システムを名前で検索します。

第3章 マルウェア検出サービスのその他の概念

マルウェア検出サービスを使用する際に役立つ関連情報を以下に示します。

3.1. システムスキャン

リリース時に、マルウェア検出管理者は Insights for Red Hat Enterprise Linux マルウェア検出サービスコレクタースキャンをオンデマンドで開始する必要があります。あるいは、管理者は、Playbook として、または別の自動化方法を使用して、collector コマンドを実行できます。

注記

推奨されるスキャンの頻度はお客様のセキュリティーチームの判断となります。スキャンにはかなりの時間がかかる可能性があるため、Insights for Red Hat Enterprise Linux マルウェア検出サービスチームは、マルウェア検出スキャンを毎週実行することを推奨します。

3.1.1. マルウェア検出スキャンの開始

マルウェア検出スキャンを実行するには、次の手順を実行します。スキャンが完了すると、Insights for Red Hat Enterprise Linux マルウェア検出サービスにデータが報告されます。スキャン時間は、設定オプション、実行中のプロセス数など、多くの要因により異なります。

前提条件

Insights クライアントコマンドを実行するには、システムで sudo アクセスが必要である。

手順

  1. $ sudo insights-client --collector malware-detection を実行します。
  2. Security > Malware で結果を表示します。
注記

スケジュールされた間隔でマルウェア検出スキャンを実行するように cron ジョブを設定できます。詳細は、「Insights サービスの定期スキャンの設定」を参照してください。

3.1.2. Insights サービスの定期スキャンの設定

コンプライアンスやマルウェア検出などの Red Hat Insights サービスから最も正確な推奨事項を取得するには、定期的に手動でスキャンし、データ収集レポートをサービスにアップロードする必要がある場合があります。スケジューリングの詳細は、以下を参照してください。

3.2. マルウェアシグネチャーの無効化

マルウェアシグネチャーには、重要でないものが含まれている場合があります。その原因としては、意図的な設定やテストスキャンが挙げられるほか、マルウェア検出サービスによって組織のセキュリティー優先事項に該当しない一致が報告されるため、ノイズが多いという状況も考えられます。

たとえば、シグネチャー XFTI_EICAR_AV_Test および XFTI_WICAR_Javascript_Test は、EICAR Anti Malware Testfile および WICAR Javascript Crypto Miner テストマルウェアを検出するために使用されます。これらは意図的なテストシグネチャーであり、実際のマルウェアの脅威を表すものではありません。このようなシグネチャーを無効にして、それらとの一致が Red Hat Hybrid Cloud Console で報告されないようにすることができます。

シグネチャーを無効にすると、マルウェア検出サービスはそのシグネチャーとの既存の一致を Hybrid Cloud Console から削除し、以後のスキャンでそのシグネチャーを無視します。シグネチャーを再度有効にすると、マルウェア検出サービスは以後のマルウェア検出スキャンでそのシグネチャーを再度検索し、一致結果を表示します。

注記

シグネチャーを無効にしても、そのシグネチャーに対する以前の一致の履歴は消去されません。

前提条件

  • Malware detection administrator ロールを持つ Hybrid Cloud Console User Access グループのメンバーである。このロールを持つユーザーのみがシグネチャーを無効化および再有効化できます。

シグネチャーを無効にする手順

  1. Security > Malware > Signatures に移動します。
  2. 無効にするシグネチャーを探します。
  3. シグネチャー行の最後にあるオプションアイコン (⋮) をクリックし、Disable signature from malware analysis を選択します。

    Signatures ページからマルウェアシグネチャーを無効にする

シグネチャーを無効にする別の手順

シグネチャー情報ページからシグネチャーを無効にすることもできます。

  1. Security > Malware > Signatures に移動します。
  2. 無効にするシグネチャーを探します。
  3. シグネチャー名をクリックします。
  4. シグネチャーの詳細ページで、Actions ドロップダウンをクリックし、Disable signature from malware analysis を選択します。

    シグネチャーの詳細ページからマルウェアシグネチャーを無効にする

複数のシグネチャーを同時に無効にする

複数のシグネチャーを同時に無効にするには、各シグネチャー行の先頭にあるボックスにチェックを入れ、フィルターフィールドの横にあるオプションアイコン (⋮) をクリックして Disable signatures from malware analysis を選択します。

複数のマルウェアシグネチャーを同時に無効にする

無効化されたマルウェアシグネチャーの表示

すべてのユーザーは、無効化されたマルウェアシグネチャーを表示できます。

  1. Security > Malware > Signatures に移動します。ページ上部のダッシュボードで無効化されたマルウェアシグネチャーの数を確認します。
  2. 無効化されたシグネチャーを表示するようにフィルターを設定します。

    1. プライマリーフィルターを Signatures included in malware analysis に設定します。
    2. セカンダリーフィルターを Disabled signatures に設定します。

マルウェアシグネチャーの再有効化

上記と同様の手順に従って、以前に無効にしたシグネチャーを再度有効にします。

3.3. マルウェア検出サービスの結果の解釈

ほとんどの場合、YARA を使用してマルウェア検出スキャンを実行しても、シグネチャーの一致は検出されません。これは、YARA が既知のマルウェアシグネチャーのセットとスキャンに含まれるファイルを比較したときに、一致する文字列またはブール式が検出されなかったことを意味します。マルウェア検出サービスはこれらの結果を Red Hat Insights に送信します。システムスキャンの詳細と一致しないものは、Insights for Red Hat Enterprise Linux マルウェア検出サービス UI で確認できます。

YARA を使用したマルウェア検出スキャンで一致が検出された場合は、その一致する結果を Red Hat Insights に送信します。マルウェア検出サービスの UI で、ファイルや日付など、一致の詳細を確認できます。システムスキャンとシグネチャーの一致履歴は過去 14 日間表示されるため、パターンを検出し、この情報をセキュリティーインシデント対応チームに提供できます。たとえば、あるスキャンでシグネチャーの一致が見つかったにもかかわらず、同じシステムの次のスキャンでは見つからなかった場合は、特定のプロセスが実行されているときにのみ検出可能なマルウェアが存在していることを示している場合があります。

3.3.1. マルウェアの一致の認識および管理

マルウェアシグネチャーは、システムレベルと署名レベルの両方で確認できます。これにより、環境から無関係なメッセージや情報を削除し、マルウェアの結果のステータスを効率的に確認できるようになります。

マルウェアシグネチャーの一致をステータス別にフィルタリングする

署名ページの Status フィールドでは、確認する各システムまたは署名のステータスを選択できます。マルウェアの一致の調査と管理を継続しながら、各シグネチャーの一致のステータスを変更できます。これにより、システムユーザーは、修復の進行状況やマルウェアの一致の評価について常に情報を得ることができます。また、どの一致が無関係であるか、またはどの一致がシステムに対して脅威が低いか、またはまったく脅威がないかを判定することもできます。マルウェア検出管理者権限を持っている場合は、システムから無関係な一致を削除できます。

署名ページの Total Matches 列には、システム上の署名のすべての一致が含まれます。一致リストを使用して、環境内の個々のシステムにおけるマルウェアの一致の履歴を追跡および確認できます。Insights は、削除しない限り、マルウェアの一致を無期限に保持します。マルウェアの一致を認識してステータスを設定すると、履歴記録としても機能します。マルウェアサービスからシステムを削除すると、一致レコードは破棄されることに注意してください。

New Matches 列には、署名の新しい一致の数が表示されます。ベルアイコンは、それぞれの新しい一致を示します。新しい一致には、一致が検出されてから最大 30 日間の一致日があります。新しい一致のステータスは Not Reviewed です。30 日以上経過した一致、またはすでにレビュー済みの一致は、Total Matches の数に含まれます。

3.3.2. マルウェアシグネチャーの一致確認

前提条件

  • マルウェアの一致を表示およびフィルタリングするには、Malware Read-only ロールが必要です。
  • 一致を編集または削除するには、Malware Detection Administrator ロールが必要です。

手順

  1. Security > Malware > Signatures に移動します。署名のリストがページの下部に表示されます。
  2. 署名名をクリックします。その署名の情報ページが表示されます。このページには、そのマルウェアシグネチャーの影響を受けるシステムのリストが表示されます。ベルアイコンは、その署名の新しい一致を示します。
  3. 影響を受けるシステムのリストの上部にあるフィルターを使用して、Status 別にフィルターします。(デフォルトのフィルターは Name です。)
  4. Status フィルターの右側にあるドロップダウンメニューをクリックし、Not Reviewed を選択します。
  5. 影響を受けるシステムの名前の横にあるドロップダウン矢印をクリックします。一致リストが表示され、最新の一致が先頭に表示されます。
  6. 確認する一致の横にあるチェックボックスを選択します。
  7. 一致のステータスを変更するには、一致ステータスドロップダウンメニューから新しいステータスを選択します。以下のオプションから選択します。

    • Not reviewed
    • In review
    • On-hold
    • Benign
    • Malware detection test
    • No action
    • Resolved
  8. オプション。一致ステータスに関する詳細情報を含めるには、メモフィールドにメモを追加します。緑色のチェックマークはメモが保存されたことを示します。

関連情報

3.3.3. 単一一致の削除

前提条件

一致を編集または削除するには、Malware Administrator ロールが必要です。

手順

  1. Security > Malware > Signatures に移動します。署名のリストがページの下部に表示されます。
  2. 管理する署名の横にあるドロップダウン矢印をクリックします。システムの下に、最新の一致から順に、一致のリストが表示されます。
  3. 削除する一致の右端にあるオプションアイコン (⋮) をクリックし、Delete match を選択します。一致リストが更新されます。

3.3.4. システム上のマルウェアの一致の表示

前提条件

  • マルウェアの一致を表示およびフィルタリングするには、Malware Read-only ロールが必要です。
  • 一致を編集または削除するには、Malware Administrator ステータスが必要です。
手順

影響を受けるシステムのリストには、マルウェア検出が有効になっているシステムのみが表示されます。マルウェア検出を有効にする方法の詳細は、Insights for RHEL マルウェアサービスの使用を開始する を参照してください。

  1. Security > Malware > Systems に移動します。システムのリストが表示されます。システムにマルウェアの一致がある場合は、システム名の横に Matched ラベルが表示されます。
  2. システム名をクリックします。システムの詳細ページが表示され、一致したマルウェアシグネチャーのリストが下部に表示されます。
  3. マルウェアシグネチャーの横にあるドロップダウンをクリックします。システム上の署名に一致するリストが表示されます。
  4. リスト内の一致を確認します。

詳細は、マルウェアサービスの追加概念 を参照してください。

3.4. マルウェア検出コレクターのその他の設定オプション

/etc/insights-client/malware-detection-config.yml には、いくつかの設定オプションが含まれています。

設定オプション

  • filesystem_scan_only

    これは、基本的に許可リストオプションで、スキャンするファイル/ディレクトリーを指定します。指定した項目のみがスキャンされます。1 つのアイテム、またはアイテムのリスト (アイテムのリストを指定する yaml 構文に従う) のいずれかを指定できます。このオプションが空の場合は、基本的にすべてのファイル/ディレクトリー (その他のオプションによる) をスキャンすることを意味します。

  • filesystem_scan_exclude

    これは、基本的には拒否リストオプションで、スキャンしないファイル/ディレクトリーを指定します。多くのディレクトリーがすでにリストに記載されています。つまり、ディレクトリーはデフォルトでは除外されます。これには、仮想ファイルシステムのディレクトリー (例: /proc、/sys、/cgroup)、外部にマウントされたファイルシステム (例: /mnt、/media) が存在する可能性のあるディレクトリー、およびスキャンしないことが推奨されるその他のディレクトリー (例: /dev および /var/log/insights-client) (誤検出を防ぐため) が含まれます。ファイル/ディレクトリーを追加 (または削除) するリストは自由に変更できます。

    同じ項目が filesystem_scan_only と filesystem_scan_exclude の両方で指定されている場合 (例: /home) は、filesystem_scan_exclude が ‘優先’ されます。つまり、/home はスキャンされません。別の例として、親ディレクトリー (例:/ var) を filesysem_scan_only してから、その中の特定のディレクトリー (例: /var/lib や /var/log/insights-client) を filesystem_scan_exclude することができます。これにより、/var/lib および /var/log/insights-client を除く /var 内のすべてのデータがスキャンされます。

  • filesystem_scan_since

    ‘since’ から変更されたファイルのみをスキャンします。ここで、since は日数を表す整数、または前回のファイルシステムスキャン以降を示す ‘last’ にすることができます。たとえば、filesystem_scan_since: 1 は、1 日前 (最後の日のみ) 以降に作成または変更したファイルだけを、filesystem_scan_since: 7 は、7 日前から (1 週間以内に) 作成/修正されたスキャンファイルだけをスキャンすることを意味します。filesystem_scan_since: last は、malware-client の最後の filesystem_scan が成功してから作成/修正されたスキャンファイルのみを意味します。

  • exclude_network_filesystem_mountpoints and network_filesystem_types

    exclude_network_filesystem_mountpoints: true を設定すると、マルウェア検出コレクターは、マウントされたネットワークファイルシステムのマウントポイントをスキャンしません。これがデフォルト設定で、外部ファイルシステムのスキャンを防ぐため、ネットワークトラフィックが増加し、スキャンに時間がかかります。ネットワークファイルシステムと見なされるファイルシステムは、network_filesystem_types オプションにリスト表示されています。そのため、そのリストにあり、マウントされているファイルシステムタイプは、スキャンから除外されます。これらのマウントポイントは、基本的には、filesystem_scan_exclude オプションから除外されるディレクトリーのリストに追加されます。exclude_network_filesystem_mountpoints: false を設定しても、filesystem_scan_exclude オプションでマウントポイントを除外できます。

  • network_filesystem_types

    ネットワークファイルシステムの種類を定義します。

  • scan_processes
注記

scan_process は、多数または大規模なプロセスをスキャンするときのシステムパフォーマンスへの影響を防ぐために、デフォルトで無効になっています。ステータスが false の場合、プロセスはスキャンされず、後続の processes_scan オプションは無視されます。

+ スキャンに実行中のプロセスを含めます。

  • processes_scan_only

    これは filesystem_scan_only に似ていますが、プロセスに適用されます。プロセスは、単一の PID (123 など) または PID の範囲 (1000..2000 など) として指定することも、プロセス名 (Chrome など) で指定することもできます。たとえば、123、1000..2000 の値、および Chrome は、PID 123、1000 から 2000 までの PID、および文字列 chrome を含むプロセス名の PID のみがスキャンされることを意味します。

  • processes_scan_exclude

    これは filesystem_scan_exclude に似ていますが、プロセスに適用されます。プロセスは processes_scan_only と同様に、単一の PID、PID の範囲、またはプロセス名で指定できます。プロセスが processes_scan_only と processes_scan_exclude の両方に表示される場合は、processes_scan_exclude が ‘優先’ され、プロセスは除外されます。

  • processes_scan_since

    これは filesystem_scan_since に似ていますが、プロセスに適用されます。‘since’ から開始されたプロセスのみをスキャンします。since は数日前を表す整数、または最後にマルウェアクライアントのスキャンが成功したプロセス以降を意味する ‘last’ にすることができます。

環境変数

/etc/insights-client/malware-detection-config.yml ファイル内のすべてのオプションは、環境変数を使用して設定することもできます。環境変数を使用すると、設定ファイル内の同じオプションの値が上書きされます。環境変数は設定ファイルオプションと同じ名前ですが、大文字になります。たとえば、設定ファイルオプションの test_scan は、環境変数の TEST_SCAN です。

FILESYSTEM_SCAN_ONLYFILESYSTEM_SCAN_EXCLUDEPROCESSES_SCAN_ONLYPROCESSES_SCAN_EXCLUDE、および NETWORK_FILESYSTEM_TYPES 環境変数には、コンマ区切りの値のリストを使用します。たとえば、/etc/tmp、および /var/lib のディレクトリーのみをスキャンする場合は、以下の環境変数を使用します。

FILESYSTEM_SCAN_ONLY=/etc,/tmp,/var/lib

コマンドラインでこれを指定する (テストスキャンを無効にする) には、以下のコマンドを使用します。

$ sudo FILESYSTEM_SCAN_ONLY=/etc,/tmp,/var/lib TEST_SCAN=false insights-client --collector malware-detection

関連情報

Insights クライアントの詳細は、FedRAMP に準拠した Red Hat Insights のクライアント設定ガイド を参照してください。

3.5. マルウェアイベントの通知と統合の有効化

マルウェアサービスが少なくとも 1 つのシステムスキャンでシグネチャーの一致を検出し、アラートを生成するたびに通知を送信するように、Red Hat Hybrid Cloud Console の通知サービスを有効にすることができます。通知サービスを使用すると、Red Hat Insights for Red Hat Enterprise Linux ダッシュボード でアラートを継続的にチェックする必要がなくなります。

たとえば、通知サービスを設定して、マルウェアサービスがシステムに対する潜在的な脅威を検出するたびに電子メールメッセージを自動的に送信したり、マルウェアサービスが毎日生成するすべてのアラートの電子メールダイジェストを送信したりできます。

メールメッセージの送信に加え、他の方法でイベントデータを送信するように通知サービスを設定できます。

  • 認証済みクライアントを使用して Red Hat Insights API にイベントデータをクエリーする
  • Webhook を使用して受信要求を受け入れるサードパーティーのアプリケーションにイベントを送信する。
  • 通知を Splunk などのアプリケーションと統合して、マルウェアイベントをアプリケーションダッシュボードにルーティングする。

マルウェアサービスの通知には、次の情報が含まれます。

  • 影響を受けるシステムの名前
  • システムスキャン中に検出された署名の一致数
  • Red Hat Hybrid Cloud Console で詳細を表示するためのリンク

通知サービスを有効にするには、以下の 3 つの主要なステップが必要です。

  • まず、組織管理者は Notifications 管理者ロールを持つ User アクセスグループを作成し、そのグループにアカウントメンバーを追加します。
  • 次に、通知管理者が通知サービス内のイベントの動作グループを設定します。動作グループは、通知ごとに配信方法を指定します。たとえば、動作グループは、電子メール通知をすべてのユーザーに送信するか、組織の管理者にのみ送信するかを指定できます。
  • 最後に、イベントから電子メール通知を受信するユーザーは、各イベントの個別電子メールを受け取るようにユーザー設定する必要があります。

関連情報

Red Hat ドキュメントへのフィードバック (英語のみ)

Red Hat ドキュメントに関するフィードバックをお寄せください。いただいたご要望に迅速に対応できるよう、できるだけ詳細にご記入ください。

前提条件

  • Red Hat カスタマーポータルにログインしている。

手順

フィードバックを送信するには、以下の手順を実施します。

  1. Create Issue にアクセスします。
  2. Summary テキストボックスに、問題または機能拡張に関する説明を入力します。
  3. Description テキストボックスに、問題または機能拡張のご要望に関する詳細を入力します。
  4. Reporter テキストボックスに、お客様のお名前を入力します。
  5. Create ボタンをクリックします。

これによりドキュメントに関するチケットが作成され、適切なドキュメントチームに転送されます。フィードバックをご提供いただきありがとうございました。

法律上の通知

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.