目次

アプリケーションコントロールイベントの監視

アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。初期設定の手順については、「アプリケーションコントロールの設定」を参照してください。

初期設定では、アプリケーションコントロールを有効にすると、ソフトウェアの変更が発生したときやアプリケーションコントロールによってソフトウェアの実行がブロックされたときに、この機能によってイベントがログに記録されます。アプリケーションコントロールイベントは、[処理] 画面と [イベントとレポート] 画面に表示されます。設定されている場合は、[アラート] 画面にアラートが表示されます。

一部の アプリケーションコントロール イベントログが記録され、 が外部SIEMシステムまたはSyslogサーバに転送されるように設定できます。

コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。

  1. ログに記録するアプリケーションコントロールイベントを選択する
  2. アプリケーションコントロールイベントログを表示する
  3. 集約されたセキュリティイベントを解釈する
  4. アプリケーションコントロールアラートを監視する

ログに記録するアプリケーションコントロールイベントを選択する

  1. [管理]→[システム設定]→[システムイベント] に進みます。
  2. イベント ID 7000「アプリケーションコントロールセキュリティイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
  3. そのタイプのイベントのイベントログを記録するには、[記録する] を選択します。

    これらのイベントが発生すると、 Events> Reports> Events> システムイベントに表示されます。ログは最大保持期間に達するまで記録されます。詳細については、 のイベント収集を参照してください。Workload Security

    [コンピュータ]→[詳細]→[アプリケーションコントロール] →[イベント] に表示されるイベントは、ここでは設定されません。これらは常にログに記録されます。

  4. イベントログをSIEMまたはSyslogサーバに転送する場合は、 Forwardを選択します。

  5. 外部SIEMを使用する場合は、必要に応じて、対象となるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定します。アプリケーションコントロール イベントのリストについては、 アプリケーションコントロール イベントを参照してください。

アプリケーションコントロールイベントログを表示する

アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。

  • システムイベント: 設定の変更またはソフトウェアのアップデートの履歴を提供する監査イベントです。システムイベントを表示するには イベント&レポート>イベント>システムイベントをクリックしてください。システムイベントの一覧については、「システムイベント」 を参照してください。
  • セキュリティイベント: アプリケーションコントロールが未承認のソフトウェアをブロックまたは許可する場合、またはブロックルールに基づいてソフトウェアをブロックする場合に、エージェントで発生するイベント。セキュリティイベントを表示するには、[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] の順にクリックします。リストについては、アプリケーションコントロールイベント を参照してください。

集約されたセキュリティイベントを解釈する

エージェントのハートビートに同じセキュリティイベントのインスタンスが複数含まれている場合、 Workload Security はイベントを[セキュリティイベント]ログに集約します。イベントの集約によって、ログ内の項目数が減少するため、重要なイベントを見つけやすくなります。

  • 同じファイルに対してイベントが発生した場合 (通常は)、ログには、集約されたイベントのファイル名が記録されます。たとえば、ハートビートには、Test_6_file.sh ファイルの「許可されていないソフトウェアの実行」イベントの3つのインスタンスが含まれ、他のインスタンスは含まれません。 Workload Securityは、ファイル Test_6_file.shのこれら3つのイベントを集約します。
  • 多数のファイルでイベントが発生した場合、ルールのリンク、パス、ファイル名、およびユーザ名がログから除外されます。たとえば、1つのハートビートに、複数の異なるファイルに対して発生した「許可されていないソフトウェアの実行」イベントの21個のインスタンスが含まれているとします。 Workload Securityでは、21件のイベントが1つのイベントに集約されますが、ルールのリンク、パス、ファイル名、またはユーザ名は含まれません。

集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。

ログでは、集約されたイベントには特別なアイコンが使用され、[繰り返しカウント] 列に集約されたイベント数が表示されます。

アプリケーションコントロール の[イベント]ページのイメージ

アプリケーションコントロールアラートを監視する

アラートの原因となるアプリケーションコントロールイベントまたは重要度を設定するには、[アラート] タブで [アラートの設定] をクリックし、イベントを選択して [プロパティ] をダブルクリックします。詳細については、アラートの設定 を参照してください。

アプリケーションコントロールイベントのアラートを有効にすると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と、アプリケーションコントロールエンジンによって実行がブロックされたすべてのソフトウェアが[アラート] タブに表示されます。 [アラートステータス] ウィジェットを有効にしている場合は、アプリケーションコントロールアラートもダッシュボードに表示されます。

ダッシュボード's Alert Status widget showing Application Control alerts

どのコンピュータが管理モードになっているか監視するには、[デバイスの追加/削除] をクリックして、 アプリケーションコントロール のメンテナンスモード ウィジェットを有効にすることもできます。このウィジェットには、コンピュータとその予約期間の一覧が表示されます。