Red Hat Summit第2章 Insights for RHEL マルウェア検出サービスの使用
マルウェア検出サービスの使用を開始するには、次のアクションを実行する必要があります。この章では、各アクションの手順を説明します。
手順によっては、システムで sudo アクセスが必要になる場合や、アクションを実行する管理者が、マルウェア検出管理者ロール を持つ User Access グループのメンバーでなければならない場合があります。
| Action | 詳細 | 必要な特権 |
|---|---|---|
| YARA のインストールと Insights クライアントの設定 | YARA アプリケーションをインストールし、Insights クライアントがマルウェア検出サービスを使用するように設定します。 | sudo アクセス |
| Red Hat Hybrid Cloud コンソールでの User Access の設定 | Red Hat Hybrid Cloud Console > Settings アイコン (⚙) > Identity & Access Management > User Access > Groups で、マルウェア検出グループを作成し、適切なロールとメンバーをそのグループに追加します。 | Red Hat アカウントの組織管理者 |
| 結果の表示 | Hybrid Cloud Console でシステムスキャンの結果を表示します。 | マルウェア検出ビューアーロールを持つ User Access グループのメンバーシップ |
2.1. YARA のインストールおよび Insights クライアントの設定
以下の手順に従って、RHEL システムに YARA およびマルウェア検出コントローラーをインストールし、テストスキャンおよび完全なマルウェア検出スキャンを実行して、Insights for Red Hat Enterprise Linux アプリケーションにデータを報告します。
前提条件
- システムのオペレーティングシステムのバージョンは、RHEL8 または RHEL9 でなければならない。
- 管理者は、システムで sudo アクセスがある。
- システムには Insights クライアントパッケージがインストールされており、Insights for Red Hat Enterprise Linux に登録されている必要がある。
手順
YARA をインストールします。
RHEL8 および RHEL9 の Yara RPM は、Red Hat カスタマーポータルから入手できます。
$ sudo dnf install yara
注記Insights for Red Hat Enterprise Linux のマルウェア検出は、RHEL7 ではサポートされていません。
まだ完了していない場合は、システムを Insights for Red Hat Enterprise Linux に登録します。
重要マルウェア検出サービスを使用する前に、Insights クライアントパッケージをシステムにインストールし、システムを Insights for Red Hat Enterprise Linux に登録する必要があります。
Insights クライアント RPM をインストールします。
$ sudo yum install insights-client
Insights for Red Hat Enterprise Linux への接続をテストします。
$ sudo insights-client --test-connection
システムを Red Hat Enterprise Linux の Insights に登録します。
$ sudo insights-client --register
Insights クライアントのマルウェア検出コレクターを実行します。
$ sudo insights-client --collector malware-detection
コレクターは、この初回実行時に次のアクションを実行します。
-
/etc/insights-client/malware-detection-config.ymlでマルウェア検出設定ファイルを作成します。 テストスキャンを実行し、結果をアップロードします。
注記これは、簡易テストルールを使用して、システムのごく最小限のスキャンを行うものです。テストスキャンは主に、マルウェア検出サービスのインストール、操作、アップロードが正しく機能していることを確認する際に役立ちます。一致がいくつか検出されますが、これは意図的なものであり、心配する必要はありません。初期テストスキャンの結果は、マルウェア検出サービス UI には表示されません。
-
ファイルシステムの完全スキャンを実行します。
/etc/insights-client/malware-detection-config.ymlを変更し、test_scanを false に設定します。test_scan: false
スキャン時間を最小限にとどめるため、以下のオプションを設定することを検討してください。
-
filesystem_scan_only- システム上の特定のディレクトリーのみをスキャンする -
filesystem_scan_exclude- 特定のディレクトリーをスキャンから除外する -
filesystem_scan_since- 最近変更されたファイルのみをスキャンする
-
クライアントコレクターを再実行します。
$ sudo insights-client --collector malware-detection
必要に応じて、プロセスをスキャンします。まずファイルシステムをスキャンし、次にすべてのプロセスをスキャンします。ファイルシステムとプロセスのスキャンが完了したら、Security > Malware で結果を表示します。
重要デフォルトでは、スキャンプロセスは無効になっています。Linux システムでは、システムパフォーマンスが低下する可能性がある YARA およびスキャンプロセスに関する 問題 があります。この問題は、YARA の次期リリースで修正される予定です。それまではプロセスをスキャンしないことが推奨されます。
プロセススキャンを有効にするには、
/etc/insights-client/malware-detection-config.ymlでscan_processes: trueを設定します。scan_processes: true
ここで、これらのプロセス関連オプションを設定することを検討してください (processes_scan_only - システム上の特定のプロセスのみをスキャン、processess_scan_exclude - スキャンから特定のプロセスを除外、processes_scan_since - 最近開始されたプロセスのみをスキャン)。
変更を保存し、コレクターを再実行します。
$ sudo insights-client --collector malware-detection
