アプリケーションコントロールイベントの監視

アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。初期設定の手順については、「アプリケーションコントロールの設定」を参照してください。

初期設定では、アプリケーションコントロールを有効にすると、ソフトウェアの変更が発生したときやアプリケーションコントロールによってソフトウェアの実行がブロックされたときに、この機能によってイベントがログに記録されます。アプリケーションコントロールイベントは、[処理] 画面と [イベントとレポート] 画面に表示されます。設定されている場合は、[アラート] 画面にアラートが表示されます。

どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステムまたはSyslogサーバに転送するかを設定できます。

コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。

  1. ログに記録するアプリケーションコントロールイベントを選択する
  2. アプリケーションコントロールイベントログを表示する
  3. 集約されたセキュリティイベントを解釈する
  4. アプリケーションコントロールアラートを監視する

ログに記録するアプリケーションコントロールイベントを選択する

  1. [管理]→[システム設定]→[システムイベント] に進みます。
  2. イベント ID 7000「アプリケーションコントロールセキュリティイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
  3. そのタイプのイベントのイベントログを記録するには、[記録する] を選択します。

    該当するイベントが発生すると、[イベントとレポート]→[イベント]→[システムイベント] にイベントが表示されます。ログは最大保持期間に達するまで記録されます。詳細については、Workload Securityのイベント収集を参照してください。

    ここで設定するイベントは、[コンピュータ]→[詳細]→[アプリケーションコントロール]→[イベント] に表示されるイベントではありません。ここに表示されるイベントは常に記録されます。
  4. イベントログをSIEMまたはSyslogサーバに転送するには、[転送する] を選択します。
  5. 外部SIEMを使用する場合は、必要に応じて、対象となるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定します。アプリケーションコントロールイベントのリストについては、「システムイベント」「アプリケーションコントロールイベント」を確認してください。

アプリケーションコントロールイベントログを表示する

アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。

  • システムイベント: 設定変更やソフトウェアアップデートの履歴を提供する監査イベント。システムイベントを確認するには、[イベントとレポート]→[イベント]→[システムイベント] をクリックします。システムイベントの一覧については、「システムイベント」を参照してください。
  • セキュリティイベント: アプリケーションコントロールで承認されていないソフトウェアがブロックまたは許可されるときや、ブロックルールによってソフトウェアがブロックされるときに、Agentで発生するイベント。セキュリティイベントを確認するには、[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] の順にクリックします。一覧については、「アプリケーションコントロールイベント」を参照してください。

集約されたセキュリティイベントを解釈する

エージェントのハートビートに同じセキュリティイベントのいくつかのインスタンスが含まれている場合、セキュリティイベントログにイベントが集約されます(Workload Security)。イベントの集約によって、ログ内の項目数が減少するため、重要なイベントを見つけやすくなります。

  • 一般的なケースとして、同一ファイルにイベントが発生した場合、ログにはファイル名と集約されたイベントが表示されます。たとえば、ハートビートにTest_6_file.shファイルに発生した「承認されていないソフトウェアの実行を許可」イベントの3つのインスタンスが含まれ、このイベントの他のインスタンスが含まれていない場合、Workload Securityは、Test_6_file.shの3つのイベントを集約します。
  • イベントが多くのファイルに対して発生した場合、ログではルールのリンク、パス、ファイル名、およびユーザ名が省略されます。たとえば、ハートビートに複数の異なるファイルに発生した「承認されていないソフトウェアの実行を許可」イベントの21個のインスタンスが含まれている場合、Workload Securityでは、1つのイベントで21のイベントが集計されますが、ルールのリンク、パス、ファイル名、またはユーザ名は含まれません。

集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。

ログでは、集約されたイベントには特別なアイコンが使用され、[繰り返しカウント] 列に集約されたイベント数が表示されます。

アプリケーションコントロールアラートを監視する

どのアプリケーションコントロールイベントまたは重要度でアラートを生成するかを設定するには、[アラート] タブに進み、[アラートの設定] ボタンをクリックし、次にイベントを選択して [プロパティ] をダブルクリックします。詳細については、「アラートの設定」を参照してください。

アプリケーションコントロールイベントに対してアラートが有効になっていると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と実行がブロックされたソフトウェアがすべて [アラート] タブに表示されます。[アラートステータス] ウィジェットを有効にした場合には、ダッシュボードにもアプリケーションコントロールアラートが表示されます。

アプリケーションコントロールアラートが表示された、ダッシュボードの [アラートステータス] ウィジェット。

どのコンピュータでメンテナンスモードが有効になっているかを監視するには、[ウィジェットの追加/削除] をクリックし、[アプリケーションコントロールメンテナンスモード] ウィジェットを有効にします。このウィジェットには、コンピュータのリストと各コンピュータで予定されているメンテナンス期間が表示されます。