改ざんの自動判別

Tripwire Enterprise は、検知された変更が承認されたものなのか、改ざんなのかを、自動的に判別する機能を持っています。承認された変更であれば、プロモートを自動的に行い、新たなベースラインを作成します。この機能を用いると、変更としてレポートが上がってくるものは、改ざんの疑いがある変更として、調査すべき対象になります。

改ざんを自動判別するためには、以下の方法が用意されています。

1. 変更情報をTripwire Enterprise / Server へ登録しておく
   ファイル名、ハッシュ値、変更した時間、変更したユーザIDなどを登録しておくことにより、この条件に合致したものを自動でプロモートします。
   一般的には以下のようなプロセスを構築します。
   1. 変更情報の登録
   2. Tripwire Enterpriseの変更検知
   3. 自動プロモート
2. 他のサーバ（ステージング、テスト環境）と比べる
   ステージング環境やテスト環境のサーバと比較し、ハッシュ値が同じであれば自動でプロモートします。
   アプリのアップデート、パラメータの変更、セキュリティパッチのインストールなど、テスト環境で不具合がないかを評価した後、本番環境へ適応する運用が一般的です。テスト環境と比較して、本番環境の変更を自動プロモートすることにより、高度な変更のコントロールを実現します。
3. 変更管理チケッティングシステムとのインテグレーション
   変更管理にチケッティングシステムを導入されている環境であれば、SOAPインターフェイス等を用いて、連携することができます。Tripwire Enterprise は変更を検知すると、チケッティングシステムへ問い合わせを行い、登録されている変更作業を確認します。該当する変更作業が見つかれば、自動でプロモートします。