アプリケーションコントロールソフトウェアルールセットの表示と変更

各コンピュータには、独自のアプリケーションコントロールソフトウェアルールセットがあります。次の操作を実行できます。

• Viewアプリケーションコントロールソフトウェアのルールセット に含まれているルールを確認します。

  最初にコンピュータのアプリケーションコントロールを有効にすると、コンピュータにインストールされているソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。ただし、Deep Securityの従来のREST APIを使用しない限り、インベントリに関連付けられているルールはWorkload Securityから表示できません (「APIを使用した高度な アプリケーションコントロール の機能」を参照してください)。Workload Security コンソールでは、コンピュータのいくつかの許可/ブロックルールを作成するまで、コンピュータのルールセットは空白になります。

• 1つのアプリケーションコントロールソフトウェアルールセットルールの処理を変更する ソフトウェアファイルをブロックするか許可しないかを指定します。

• 個々のアプリケーションコントロールソフトウェアルールセットルールの削除 ソフトウェアが削除されており、元に戻らない可能性がある場合。
• ルールセットに関連付けられたコンピュータが削除されている場合は、アプリケーションコントロールソフトウェアルールセット を削除します。

特定のコンピュータで実行する必要のあるソフトウェアがアプリケーションコントロールによってブロックされているとユーザから報告された場合は、そのコンピュータでブロックルールを取り消すことができます。 [イベントとレポート]→[アプリケーションコントロールイベント]→[セキュリティイベント] の順に選択し、コンピュータを検索してブロックイベントを見つけ、[ルールの表示] をクリックします。表示されるダイアログで、ブロックルールを許可ルールに変更できます。

アプリケーションコントロールソフトウェアルールセットの表示

アプリケーションコントロールソフトウェアルールセットのリストを表示するには、[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット] の順に選択します。

ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして[ルール] タブに移動します。 [ルール] タブには、ルールが関連付けられているソフトウェアファイルが表示され、許可ルールをブロックするように変更したり、許可ルールをブロックするように変更したりできます。 1つのアプリケーションコントロールルールの処理を変更する を参照してください。

セキュリティイベント

[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] には、コンピュータ上で実行されているか、アクティブに実行がブロックされているすべての承認されていないソフトウェアが表示されます。このリストは、期間および他の基準によってフィルタできます。詳細については、「アプリケーションコントロールイベント」を参照してください。

イベント (集約イベント以外) ごとに、[ルールの表示] をクリックすると、ルールの許可とブロックを切り替えることができます。

バージョン10.2以降のエージェントには、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが組み込まれています。 集約されたセキュリティイベントの解釈 を参照してください。

アプリケーションコントロールルールの処理を変更する

以前にブロックしたソフトウェアを許可 (または以前に許可したソフトウェアをブロック) する場合は、該当するルールの処理を編集します。ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、「個々のアプリケーションコントロールルールを削除する」を参照してください。

1. [Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット]ます。
2. 変更するルールを含むルールセットをダブルクリックして選択します。
3. 表示されるダイアログで、[ルール] タブに移動します。

4. ブロック (または許可) されたソフトウェアに注目する場合は、[アプリケーションコントロールルール] の横にあるメニューで [処理別] を選択し、類似するルールをグループ化します。または、検索を使用してリストをフィルタすることもできます。

   

   ソフトウェアファイルの処理を変更する場合、ファイル名が複数ある場合は、[ ファイル名 ]を選択して、関連するルールをグループ化します。

5. 許可またはブロックするソフトウェアに対応する行を探します。

6. [処理] 列で、許可するかブロックするかの設定を変更し、[OK] をクリックします。

   エージェントが次にWorkload Securityに接続したときにルールが更新され、バージョン番号が増加します。

個々のアプリケーションコントロールルールを削除する

作成したルールを取り消す場合は、[Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット]の順に移動し、ルールを含むルールセットをダブルクリックして[ ルール ]タブに移動し、ルールを選択します。 [ 削除]をクリックします。

次の点に注意してください。

• ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、RAMとCPUの使用量が削減され、パフォーマンスが向上します。
• ルールを削除すると、アプリケーションコントロールはそのソフトウェアを認識できなくなります。ソフトウェアを再度インストールすると、[処理] タブに再度表示されます。
• ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。
• 最も古いルールを見つけるには、[Policies]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット]の順に選択し、[ 列]をクリックします。日時（最終変更） を選択して OK をクリックし、その列のヘッダをクリックすると、日付順にソートできます。

アプリケーションコントロールルールセットを削除する

ルールセットに関連付けられたコンピュータがもう存在しない場合など、アプリケーションコントロールルールセットがもう使用されていない場合は、削除できます。

ルールセットを削除するには、[Policies]→[ルール]→[アプリケーションコントロールルール]→[ソフトウェアルールセット]に移動し、ルールセットをクリックして選択し、[ 削除]をクリックします。