アプリケーションコントロールイベントの監視

アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。初期設定の手順については、「アプリケーションコントロールの設定」を参照してください。

初期設定では、アプリケーションコントロールを有効にすると、ソフトウェアの変更が発生したときやアプリケーションコントロールによってソフトウェアの実行がブロックされたときに、この機能によってイベントがログに記録されます。アプリケーションコントロールイベントは、[処理] 画面と [イベントとレポート] 画面に表示されます。設定されている場合は、[アラート] 画面にアラートが表示されます。

一部の アプリケーションコントロール イベントログが記録され、 が外部SIEMシステムまたはSyslogサーバに転送されるように設定できます。

コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。

  1. ログに記録するアプリケーションコントロールイベントを選択する
  2. アプリケーションコントロールイベントログを表示する
  3. 集約されたセキュリティイベントを解釈する
  4. アプリケーションコントロールアラートを監視する

ログに記録するアプリケーションコントロールイベントを選択する

  1. [管理]→[システム設定]→[システムイベント] に進みます。
  2. イベント ID 7000「アプリケーションコントロールセキュリティイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
  3. そのタイプのイベントのイベントログを記録するには、[記録する] を選択します。

    これらのイベントが発生すると、 Events> Reports> Events> システムイベントに表示されます。ログは最大保持期間に達するまで記録されます。詳細については、 のイベント収集を参照してください。Workload Security

    ここで設定するイベントは、[コンピュータ]→[詳細]→[アプリケーションコントロール]→[イベント] に表示されるイベントではありません。ここに表示されるイベントは常に記録されます。

  4. イベントログをSIEMまたはSyslogサーバに転送する場合は、 Forwardを選択します。

  5. 外部SIEMを使用する場合は、必要に応じて、対象となるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定します。 アプリケーションコントロール イベントのリストについては、 アプリケーションコントロール イベントを参照してください。

アプリケーションコントロールイベントログを表示する

アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。

  • システムイベント: 設定の変更またはソフトウェアのアップデートの履歴を提供する監査イベントです。システムイベントを表示するには イベント&レポート>イベント>システムイベントをクリックしてください。システムイベントの一覧については、「システムイベント」を参照してください。
  • セキュリティイベント: アプリケーションコントロール がブロックルールに基づいて認識できないソフトウェアをブロックまたは許可したり、ソフトウェアをブロックしたりしたときにエージェントで発生するイベントです。セキュリティイベントを表示するには、[ イベント] [&レポート]→[イベント]→[ アプリケーションコントロール イベント]→[セキュリティイベント]の順にクリックします。リストについては、[アプリケーションコントロール イベント](../ application-control-events)を参照してください。

集約されたセキュリティイベントを解釈する

エージェントのハートビートに同じセキュリティイベントのインスタンスが複数含まれている場合、 Workload Security はイベントを[セキュリティイベント]ログに集約します。イベントの集約によって、ログ内の項目数が減少するため、重要なイベントを見つけやすくなります。

  • 一般的なケースとして、同一ファイルにイベントが発生した場合、ログにはファイル名と集約されたイベントが表示されます。たとえば、ハートビートにTest_6_file.shファイルに発生した「承認されていないソフトウェアの実行を許可」イベントの3つのインスタンスが含まれ、このイベントの他のインスタンスが含まれていない場合、Workload Security は、これら3つのイベントをTest_6_file.shファイルに集約します。
  • 多くのファイルに対してイベントが発生すると、ルールのリンク、パス、ファイル名、およびユーザ名はログに記録されません。たとえば、ハートビートに複数の異なるファイルに発生した「承認されていないソフトウェアの実行を許可」イベントの21個のインスタンスが含まれている場合、Workload Security は、21のイベントを1つのイベントで集約しますが、ルールのリンク、パス、ファイル名、またはユーザ名は含んでいません。

集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。

ログでは、集約されたイベントには特別なアイコンが使用され、[繰り返しカウント] 列に集約されたイベント数が表示されます。

アプリケーションコントロール の[イベント]ページのイメージ

アプリケーションコントロールアラートを監視する

どの アプリケーションコントロール イベントまたは重大度レベルでアラートが発生するかを設定するには、[ アラート]タブに移動し、[アラートの設定] ボタンをクリックしてイベントを選択し、[ プロパティ] の順にダブルクリックします。詳細については、「アラートの設定」を参照してください。

アプリケーションコントロール イベントに対してアラートが有効になっている場合、 アプリケーションコントロール エンジンが検出したソフトウェアの変更と、そのブロックで実行されるソフトウェアが[ アラート]タブに表示されます。アラートステータス ウィジェットを有効にしている場合、 アプリケーションコントロール アラートもダッシュボードに表示されます。

ダッシュボード's Alert Status widget showing Application Control alerts

どのコンピュータが管理モードになっているか監視するには、 [デバイスの追加/削除] をクリックして、 アプリケーションコントロール のメンテナンスモード ウィジェットを有効にすることもできます。このウィジェットには、コンピュータとその予約期間の一覧が表示されます。