アプリケーションコントロールの概要については、アプリケーションコントロールでソフトウェアをロックダウンするを参照してください。初期設定の手順については、アプリケーションコントロールのセットアップを参照してください。
デフォルトでは、アプリケーションコントロールを有効にすると、ソフトウェアの変更やソフトウェアの実行をブロックした際のイベントが記録されます。アプリケーションコントロールのイベントは[処理]ページと[イベントとレポート]ページに表示されます。設定されている場合、[アラート]ページにアラートが表示されます。
どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステムまたはsyslogサーバに転送するかを設定できます。
コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。
  1. ログに記録するアプリケーションコントロールイベントを選択
  2. アプリケーションコントロールイベントログを表示する
  3. 集約されたセキュリティイベントを解釈する
  4. アプリケーションコントロールアラートをモニタ

記録するアプリケーションコントロールイベントを選択 親トピック

手順

  1. [管理][システム設定][システムイベント] の順に選択します。
  2. Event ID 7000「アプリケーション制御イベントのエクスポート」などのアプリケーション制御イベントにスクロールします。
  3. その種類のイベントのイベントログを記録したい場合は、[記録するを選択してください。
    これらのイベントが発生すると、[イベント][レポート ][イベント][ システムイベント]に表示されます。ログは最大ログ保存期間の基準に達するまで保持されます。詳細については、Workload Securityのイベント収集を参照してください。
    [コンピュータ][詳細][アプリケーションコントロール][イベント]に表示されるイベントはここでは設定されていません。それらは常に記録されます。
  4. イベントログをSIEMまたはsyslogサーバに転送したい場合は、[転送する]を選択してください。
  5. 外部のSIEMを使用する場合、考えられるアプリケーションコントロールイベントログのリストを読み込み、取るべきアクションを示す必要があるかもしれません。アプリケーションコントロールイベントのリストについては、アプリケーションコントロールイベントを参照してください。

アプリケーションコントロールイベントログを表示する 親トピック

アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。
  • [システムイベント:] 構成変更やソフトウェア更新の履歴を提供する監査イベントです。システムイベントを表示するには、[イベントとレポート][イベント][システムイベント]をクリックしてください。リストについては、システムイベントを参照してください。
  • セキュリティイベント: アプリケーションコントロールが未認識のソフトウェアをブロックまたは許可する場合、またはブロックルールによりソフトウェアをブロックする場合にエージェントで発生するイベントです。セキュリティイベントを表示するには、[イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント]をクリックします。リストについては、アプリケーションコントロールイベントを参照してください。

集約されたセキュリティイベントを解釈する 親トピック

エージェントのハートビートに同じセキュリティイベントのインスタンスが複数含まれている場合、 Workload Security はイベントを[セキュリティイベント]ログに集約します。イベントの集約によって、ログ内の項目数が減少するため、重要なイベントを見つけやすくなります。
  • イベントが同じファイルに対して発生した場合、通常はそのファイル名が集約されたイベントと共にログに含まれます。例えば、ハートビートにはTest_6_file.shファイルに対する未認識ソフトウェアの実行許可イベントの3つのインスタンスが含まれ、他のインスタンスは含まれません。Workload SecurityはTest_6_file.shファイルに対するこれら3つのイベントを集約します。
  • 多数のファイルでイベントが発生した場合、ルールのリンク、パス、ファイル名、およびユーザ名がログから除外されます。たとえば、1つのハートビートに、複数の異なるファイルに対して発生した「許可されていないソフトウェアの実行」イベントの21個のインスタンスが含まれているとします。 Workload Securityでは、21件のイベントが1つのイベントに集約されますが、ルールのリンク、パス、ファイル名、またはユーザ名は含まれません。
集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。
ログでは、集約されたイベントは特別なアイコンを使用し、[繰り返しカウント]列は集約されたイベントの数を示します。
ac_events=e5817ec3-35d0-472d-aba9-ed8d974661b1.png

アプリケーションコントロールアラートを監視する 親トピック

アプリケーションコントロールのイベントまたは重大度レベルがアラートを引き起こす条件を設定するには、[アラート] タブに移動し、[アラートの設定] をクリックして、イベントを選択し、[プロパティ] をダブルクリックします。詳細については、アラートの設定を参照してください。
アプリケーションコントロールイベントのアラートが有効になっている場合、アプリケーションコントロールエンジンが検出したソフトウェアの変更や実行をブロックしたソフトウェアは、[アラート] タブに表示されます。[アラートステータス] ウィジェットを有効にしている場合、アプリケーションコントロールのアラートは [ダッシュボード] にも表示されます。
dashboard-alert-status-app-control=64d18411-e373-467f-9153-9f1d91426be6.png
どのコンピュータがメンテナンスモードになっているかをモニタするには、[ウィジェットの追加/削除]をクリックして[アプリケーションコントロール - メンテナンスモード]ウィジェットを有効にすることもできます。このウィジェットはコンピュータの一覧とその予定されたメンテナンスウィンドウを表示します。