Red Hat Summit3.3. マルウェア検出サービスの結果の解釈
ほとんどの場合、YARA を使用してマルウェア検出スキャンを実行しても、シグネチャーの一致は検出されません。これは、YARA が既知のマルウェアシグネチャーのセットとスキャンに含まれるファイルを比較したときに、一致する文字列またはブール式が検出されなかったことを意味します。マルウェア検出サービスはこれらの結果を Red Hat Insights に送信します。システムスキャンの詳細と一致しないものは、Insights for Red Hat Enterprise Linux マルウェア検出サービス UI で確認できます。
YARA を使用したマルウェア検出スキャンで一致が検出された場合は、その一致する結果を Red Hat Insights に送信します。マルウェア検出サービスの UI で、ファイルや日付など、一致の詳細を確認できます。システムスキャンとシグネチャーの一致履歴は過去 14 日間表示されるため、パターンを検出し、この情報をセキュリティーインシデント対応チームに提供できます。たとえば、あるスキャンでシグネチャーの一致が見つかったにもかかわらず、同じシステムの次のスキャンでは見つからなかった場合は、特定のプロセスが実行されているときにのみ検出可能なマルウェアが存在していることを示している場合があります。
3.3.1. マルウェアの一致の認識および管理
マルウェアシグネチャーは、システムレベルと署名レベルの両方で確認できます。これにより、環境から無関係なメッセージや情報を削除し、マルウェアの結果のステータスを効率的に確認できるようになります。
署名ページの Status フィールドでは、確認する各システムまたは署名のステータスを選択できます。マルウェアの一致の調査と管理を継続しながら、各シグネチャーの一致のステータスを変更できます。これにより、システムユーザーは、修復の進行状況やマルウェアの一致の評価について常に情報を得ることができます。また、どの一致が無関係であるか、またはどの一致がシステムに対して脅威が低いか、またはまったく脅威がないかを判定することもできます。マルウェア検出管理者権限を持っている場合は、システムから無関係な一致を削除できます。
署名ページの Total Matches 列には、システム上の署名のすべての一致が含まれます。一致リストを使用して、環境内の個々のシステムにおけるマルウェアの一致の履歴を追跡および確認できます。Insights は、削除しない限り、マルウェアの一致を無期限に保持します。マルウェアの一致を認識してステータスを設定すると、履歴記録としても機能します。マルウェアサービスからシステムを削除すると、一致レコードは破棄されることに注意してください。
New Matches 列には、署名の新しい一致の数が表示されます。ベルアイコンは、それぞれの新しい一致を示します。新しい一致には、一致が検出されてから最大 30 日間の一致日があります。新しい一致のステータスは Not Reviewed です。30 日以上経過した一致、またはすでにレビュー済みの一致は、Total Matches の数に含まれます。
3.3.2. マルウェアシグネチャーの一致確認
前提条件
- マルウェアの一致を表示およびフィルタリングするには、Malware Read-only ロールが必要です。
- 一致を編集または削除するには、Malware Detection Administrator ロールが必要です。
手順
- Security > Malware > Signatures に移動します。署名のリストがページの下部に表示されます。
- 署名名をクリックします。その署名の情報ページが表示されます。このページには、そのマルウェアシグネチャーの影響を受けるシステムのリストが表示されます。ベルアイコンは、その署名の新しい一致を示します。
- 影響を受けるシステムのリストの上部にあるフィルターを使用して、Status 別にフィルターします。(デフォルトのフィルターは Name です。)
- Status フィルターの右側にあるドロップダウンメニューをクリックし、Not Reviewed を選択します。
- 影響を受けるシステムの名前の横にあるドロップダウン矢印をクリックします。一致リストが表示され、最新の一致が先頭に表示されます。
- 確認する一致の横にあるチェックボックスを選択します。
一致のステータスを変更するには、一致ステータスドロップダウンメニューから新しいステータスを選択します。以下のオプションから選択します。
- Not reviewed
- In review
- On-hold
- Benign
- Malware detection test
- No action
- Resolved
- オプション。一致ステータスに関する詳細情報を含めるには、メモフィールドにメモを追加します。緑色のチェックマークはメモが保存されたことを示します。
関連情報
- マルウェアシグネチャーを無効にする方法の詳細は、マルウェアシグネチャーの無効化 を参照してください。
- 一致を表示、編集、削除するために必要なユーザーアクセス設定の詳細は、Red Hat Hybrid Cloud Console のユーザーアクセス設定 を参照してください。
3.3.3. 単一一致の削除
前提条件
一致を編集または削除するには、Malware Administrator ロールが必要です。
手順
- Security > Malware > Signatures に移動します。署名のリストがページの下部に表示されます。
- 管理する署名の横にあるドロップダウン矢印をクリックします。システムの下に、最新の一致から順に、一致のリストが表示されます。
- 削除する一致の右端にあるオプションアイコン (⋮) をクリックし、Delete match を選択します。一致リストが更新されます。
3.3.4. システム上のマルウェアの一致の表示
前提条件
- マルウェアの一致を表示およびフィルタリングするには、Malware Read-only ロールが必要です。
- 一致を編集または削除するには、Malware Administrator ステータスが必要です。
影響を受けるシステムのリストには、マルウェア検出が有効になっているシステムのみが表示されます。マルウェア検出を有効にする方法の詳細は、Insights for RHEL マルウェアサービスの使用を開始する を参照してください。
- Security > Malware > Systems に移動します。システムのリストが表示されます。システムにマルウェアの一致がある場合は、システム名の横に Matched ラベルが表示されます。
- システム名をクリックします。システムの詳細ページが表示され、一致したマルウェアシグネチャーのリストが下部に表示されます。
- マルウェアシグネチャーの横にあるドロップダウンをクリックします。システム上の署名に一致するリストが表示されます。
- リスト内の一致を確認します。
詳細は、マルウェアサービスの追加概念 を参照してください。
