第1章 Insights for RHEL マルウェア検出サービスの概要
Red Hat Insights for Red Hat Enterprise Linux のマルウェア検出サービスは、RHEL システムをスキャンしてマルウェアの存在を監視および評価するツールです。マルウェア検出サービスには、YARA パターンマッチングソフトウェアとマルウェア検出シグネチャーが組み込まれています。シグネチャーは、Red Hat 脅威インテリジェンスチームと密接に連携している IBM X-Force 脅威インテリジェンスチームと提携して提供されます。
マルウェア検出サービス UI では、User Access を許可された管理者およびビューアーが、以下を行うことができます。
- RHEL システムのスキャン時に照合されるシグネチャーのリストを確認する。
- Insights クライアントで、マルウェア検出が有効になっているすべての RHEL システムの集約結果を確認する。
- 各システムの結果を確認する。
- システムにマルウェアの存在を示す証拠がある場合に、それを把握する。
これらの機能により、セキュリティー脅威の評価者や IT インシデント対応チームは、対応準備のための貴重な情報を得ることができます。
マルウェア検出サービスでは、マルウェアのインシデントを解決または修正する解決策を推奨していません。
マルウェアの脅威に対処する戦略は、多くの基準と、各システムおよび各組織固有の考慮事項に従います。組織のセキュリティーインシデント対応チームは、状況ごとに効果的な緩和および修復戦略を設計し、実装する上で最適な資格を有しています。
1.1. YARA マルウェアシグネチャー
YARA シグネチャー検出は、Insights for Red Hat Enterprise Linux マルウェア検出サービスの基盤です。YARA シグネチャーは、マルウェアタイプをパターンとして表現したものです。各説明は、文字列のセットと、ルールを定義するブール式で構成されます。シグネチャーの条件のうち、スキャンした RHEL システムに 1 つ以上の条件が存在する場合、YARA はそのシステムに検出を記録します。
