はじめに
DeepSecurity12の機能について動作確認を実施していきます。今回は変更監視の動作確認です。
過去の関連記事
・DeepSecurity12で不正プログラム対策の動作確認をしてみた
・DeepSecurity12で侵入防御の動作確認をしてみた
前提条件
DeepSecurity12の環境が構築できているとします。もし未構築であれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install/
いずれかのサーバにDeepSecurity12のAgentがインストールできているとします。もし未インストールであれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install-script-agent/
サーバの設定
サーバの設定確認
管理コンソールから「変更監視」の状態を確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[詳細]ボタンをクリックします。
左サイドバーから[侵入防御]をクリックします。
デフォルト設定であれば、ステータスが「オン」「ルールなし」になっています。
ルールを追加します。
変更監視の設定
侵入防御の画面から「割り当て/割り当て解除」ボタンをクリックします。
侵入防御ルールの画面で検索欄に「1002773」を入力してEnterキーを押下します。「1002773」の項目が検索されたらチェックを入れて「OK」ボタンをクリックします。
「1002773」は、HOSTSファイルに変更があった場合に警告します。
ルールが1つ割り当てられたことを確認します。
動作確認
変更監視の確認
「C:\Windows\System32\drivers\etc\hosts」ファイルを変更します。
管理コンソールからイベントログを確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[イベント]ボタンから[変更監視イベント]をクリックします。
サイトへの接続がリセットされたイベントを確認できます。
アラートメールの確認
アラートメールは以下の形で届きます。
【件名】
新しいアラートの発令: 1台のコンピュータで変更監視ルール
(1002773 - Microsoft Windows - 'Hosts' file modified) のアラートが発生しました
【本文】
ご使用のDeep Securityアカウントについて次のアラートが発生しました:
アラート: 1台のコンピュータで変更監視ルール
(1002773 - Microsoft Windows - 'Hosts' file modified)
のアラートが発生しました [プライマリ (0)]
重要度: 警告
アラートのインスタンスID: 15
時刻: 2021-05-17 04:22
前回のアップデート: 2021-05-17 04:22
説明: 1台以上のコンピュータで、アラートを発するように選択されている変更監視ルールに合致しました。
アラートの詳細についてはDeep Securityヘルプセンターを参照してください。
https://help.deepsecurity.trendmicro.com/
コンピュータ:
WINDOWS2019
コメント