Linux エンドポイントの構成

IBM Security QRadar Endpoint Content Extension で使用する Linux エンドポイントを設定します。

このタスクについて

収集される情報の量によっては、システム・パフォーマンスが影響を受ける可能性があります。

手順

  1. 以下のコマンドを入力して、既存の auditd ルール構成ファイルのバックアップを作成します。
    cp /etc/audit/rules.d/audit.rules /etc/audit/rules.d/audit.rules.bkp
  2. /etc/audit/rules.d/audit.rulesを編集します。
    1. 次のコマンドを入力して、 vi/etc/audit/rules.d/audit.rules を開きます。
      vi /etc/audit/rules.d/audit.rules
    2. ファイルの末尾に以下のルールを追加します。
      # Program called
      -a exit,always -F arch=b64 -S execve
      -a exit,always -F arch=b32 -S execve
      #It is possible to specify single commands to reduce the load with -F <path_to_binary> (see auditd documentation)
      
      # Process spawns child
      -a exit,always -F arch=b64 -S fork -S vfork -S clone
      -a exit,always -F arch=b32 -S fork -S vfork -S clone
      
      # File monitoring for edition and attributes modification	
      -w /boot -p wa
      -w /etc/pam.d -p wa
      -w /etc/shadow -p wa
      -w /etc/passwd -p wa
      -w /etc/rsyslog -p wa
      -w /etc/openldap -p wa
      -w /etc/sysconfig/syslog -p wa
      -w /etc/syslog.conf -p wa
      -w /etc/sysconfig/network-scripts -p wa
      -w /etc/default/ufw -p wa
      -w /etc/sudoers -p wa
      モニターするファイルまたはディレクトリーを指定して、上記のリストおよび相関ルールを調整します。
  3. 次のコマンドを入力して、 auditd サービスを再始動します。
    service auditd restart