第2章 Insights for RHEL マルウェア検出サービスの使用

マルウェア検出サービスの使用を開始するには、次のアクションを実行する必要があります。この章では、各アクションの手順を説明します。

注記

手順によっては、システムで sudo アクセスが必要になる場合や、アクションを実行する管理者が、マルウェア検出管理者ロール を持つ User Access グループのメンバーでなければならない場合があります。

表2.1 マルウェア検出サービスを設定するための手順とアクセス要件

アクション詳細必要な特権

YARA のインストールと Insights クライアントの設定

YARA アプリケーションをインストールし、Insights クライアントがマルウェア検出サービスを使用するように設定します。

sudo アクセス

Red Hat Hybrid Cloud コンソールでの User Access の設定

Red Hat Hybrid Cloud Console > Settings アイコン (⚙) > Identity & Access Management > User Access > Groups で、マルウェア検出グループを作成し、適切なロールとメンバーをそのグループに追加します。

Red Hat アカウントの組織管理者

結果の表示

Hybrid Cloud Console でシステムスキャンの結果を表示します。

マルウェア検出ビューアーロールを持つ User Access グループのメンバーシップ

2.1. YARA のインストールおよび Insights クライアントの設定

以下の手順に従って、RHEL システムに YARA およびマルウェア検出コントローラーをインストールし、テストスキャンおよび完全なマルウェア検出スキャンを実行して、Insights for Red Hat Enterprise Linux アプリケーションにデータを報告します。

前提条件

  • システムのオペレーティングシステムのバージョンは、RHEL8 または RHEL9 でなければならない。
  • 管理者は、システムで sudo アクセスがある。
  • システムには Insights クライアントパッケージがインストールされており、Insights for Red Hat Enterprise Linux に登録されている必要がある。

手順

  1. YARA をインストールします。

    RHEL8 および RHEL9 の YARA RPM は、Red Hat カスタマーポータル から入手できます。

    $ sudo dnf install yara
    注記

    Insights for Red Hat Enterprise Linux のマルウェア検出は、RHEL7 ではサポートされていません。

  2. まだ完了していない場合は、システムを Insights for Red Hat Enterprise Linux に登録します。

    重要

    マルウェア検出サービスを使用する前に、Insights クライアントパッケージをシステムにインストールし、システムを Insights for Red Hat Enterprise Linux に登録する必要があります。

    1. Insights クライアント RPM をインストールします。

      $ sudo yum install insights-client
    2. Insights for Red Hat Enterprise Linux への接続をテストします。

      $ sudo insights-client --test-connection
    3. システムを Red Hat Enterprise Linux の Insights に登録します。

      $ sudo insights-client --register
  3. Insights クライアントのマルウェア検出コレクターを実行します。

    $ sudo insights-client --collector malware-detection

    コレクターは、この初回実行時に次のアクションを実行します。

    • /etc/insights-client/malware-detection-config.yml でマルウェア検出設定ファイルを作成します。
    • テストスキャンを実行し、結果をアップロードします。

      注記

      これは、簡易テストルールを使用して、システムのごく最小限のスキャンを行うものです。テストスキャンは主に、マルウェア検出サービスのインストール、操作、アップロードが正しく機能していることを確認する際に役立ちます。一致がいくつか検出されますが、これは意図的なものであり、心配する必要はありません。初期テストスキャンの結果は、マルウェア検出サービス UI には表示されません。

  4. ファイルシステムの完全スキャンを実行します。

    1. /etc/insights-client/malware-detection-config.yml を変更し、test_scan を false に設定します。

      test_scan: false

      スキャン時間を最小限にとどめるため、以下のオプションを設定することを検討してください。

      • filesystem_scan_only - システム上の特定のディレクトリーのみをスキャンする
      • filesystem_scan_exclude - 特定のディレクトリーをスキャンから除外する
      • filesystem_scan_since - 最近変更されたファイルのみをスキャンする
    2. クライアントコレクターを再実行します。

      $ sudo insights-client --collector malware-detection
  5. 必要に応じて、プロセスをスキャンします。まずファイルシステムをスキャンし、次にすべてのプロセスをスキャンします。ファイルシステムとプロセスのスキャンが完了したら、Security > Malware で結果を表示します。

    重要

    デフォルトでは、スキャンプロセスは無効になっています。Linux システムでは、システムパフォーマンスが低下する可能性がある YARA およびスキャンプロセスに関する 問題 があります。この問題は、YARA の次期リリースで修正される予定です。それまではプロセスをスキャンしないことが推奨されます

    1. プロセススキャンを有効にするには、/etc/insights-client/malware-detection-config.ymlscan_processes: true を設定します。

      scan_processes: true
注記

ここで、これらのプロセス関連オプションを設定することを検討してください (processes_scan_only - システム上の特定のプロセスのみをスキャン、processess_scan_exclude - スキャンから特定のプロセスを除外、processes_scan_since - 最近開始されたプロセスのみをスキャン)。

  1. 変更を保存し、コレクターを再実行します。

    $ sudo insights-client --collector malware-detection