DeepSecurity12で変更監視の動作確認をしてみた

スポンサーリンク

はじめに

DeepSecurity12の機能について動作確認を実施していきます。今回は変更監視の動作確認です。

過去の関連記事
DeepSecurity12で不正プログラム対策の動作確認をしてみた
DeepSecurity12で侵入防御の動作確認をしてみた

前提条件

DeepSecurity12の環境が構築できているとします。もし未構築であれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install/

いずれかのサーバにDeepSecurity12のAgentがインストールできているとします。もし未インストールであれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install-script-agent/

サーバの設定

サーバの設定確認

管理コンソールから「変更監視」の状態を確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[詳細]ボタンをクリックします。
左サイドバーから[侵入防御]をクリックします。
デフォルト設定であれば、ステータスが「オン」「ルールなし」になっています。

ルールを追加します。

変更監視の設定

侵入防御の画面から「割り当て/割り当て解除」ボタンをクリックします。

侵入防御ルールの画面で検索欄に「1002773」を入力してEnterキーを押下します。「1002773」の項目が検索されたらチェックを入れて「OK」ボタンをクリックします。

「1002773」は、HOSTSファイルに変更があった場合に警告します。

ルールが1つ割り当てられたことを確認します。

動作確認

変更監視の確認

「C:\Windows\System32\drivers\etc\hosts」ファイルを変更します。

管理コンソールからイベントログを確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[イベント]ボタンから[変更監視イベント]をクリックします。
サイトへの接続がリセットされたイベントを確認できます。

アラートメールの確認

アラートメールは以下の形で届きます。

【件名】
新しいアラートの発令: 1台のコンピュータで変更監視ルール
 (1002773 - Microsoft Windows - 'Hosts' file modified) のアラートが発生しました

【本文】
ご使用のDeep Securityアカウントについて次のアラートが発生しました:

アラート: 1台のコンピュータで変更監視ルール
 (1002773 - Microsoft Windows - 'Hosts' file modified) 
のアラートが発生しました [プライマリ (0)]
重要度: 警告
アラートのインスタンスID: 15
時刻: 2021-05-17 04:22
前回のアップデート: 2021-05-17 04:22
説明: 1台以上のコンピュータで、アラートを発するように選択されている変更監視ルールに合致しました。
 アラートの詳細についてはDeep Securityヘルプセンターを参照してください。 
https://help.deepsecurity.trendmicro.com/
コンピュータ:
	WINDOWS2019

コメント

タイトルとURLをコピーしました