目次
このページのトピック
共有ルールセットを作成する
共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

共有ルールセットとグローバルルールセットを作成するためのAPIの使用

アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。初期設定の手順については、「アプリケーションコントロールの設定」を参照してください。

Workload Security APIを使用して、共有ルールセットおよびグローバルルールを作成できます。1種類のルールセットまたはその組み合わせを使用できます。詳細については、共有ルールセットの作成 およびグローバルルールの追加 を参照してください。

  • ローカルルールセット: コンピュータのソフトウェアインベントリの一部として追加されたルールやメンテナンスモード時に追加されたルールは、保護されたコンピュータにのみ保存され、Workload Securityには表示されません。Workload Securityで設定した許可またはブロックルールはエージェントに送信され、両方の場所に保存されます。エージェントはインベントリ情報をWorkload Securityに転送しないため、ローカルルールセットは共有ルールセットよりも優れたパフォーマンスを提供します。

    ソフトウェアが新しいか変更されたかを判断するために、Deep Securityエージェントバージョン10は、最初にインストールされたソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名とファイルを比較します (ファイルベースのローカルルールセットを持っています)。Deep Securityエージェントバージョン11以降は、ファイルのSHA-256ハッシュとファイルサイズのみを比較します (ハッシュベースのローカルルールセットを持っています)。バージョン11以降のエージェントによって作成されたルールは、一意のハッシュとファイルサイズのみを比較するため、ソフトウェアファイルの名前が変更されたり移動されたりしてもルールが適用され続けます。その結果、バージョン11以降のエージェントを使用することで、対処する必要のあるソフトウェア変更の数が減少します。バージョン10のエージェントは、バージョン11以降にアップグレードされるまで、ファイルベースのローカルルールセットを使用し続けます。アップグレードすると、そのローカルルールセットはハッシュベースのルールに変換されます。

    同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールが許可ルールになります。

  • 共有ルールセット: すべてのルールデータをDeep Security AgentとDeep Security Managerの両方に同期します。これにより、ネットワークおよびディスクスペースの使用量が増加します。ただし、初期インベントリスキャンやメンテナンスモードからルールを確認する必要がある場合や、多くのコンピュータが同一であるべきサーバファームを管理する場合には、簡単になることがあります。たとえば、同一のLAMPウェブサーバのサーバプールがある場合や、自動スケーリンググループの一部である仮想マシン (VM) の場合、共有ルールセットが役立ちます。また、管理者の作業負荷を軽減することもできます。

    [承認されていないソフトウェアを明示的に許可するまでブロックする] を有効にしていて、コンピュータが類似している (ただし同一ではない) 場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータ上のすべてのソフトウェアをブロックします。重要なファイルが含まれていると、OSが破損する可能性があります。その場合は、再インストールするか、バックアップに戻すか、OSのリカバリモードを使用する必要があります。 {: .warning }

    新しい共有ルールセットを作成する場合、ハッシュベースのルール (ファイルのハッシュとサイズのみを比較するルール) のみを含めることができます。以前のバージョンのWorkload Securityを使用して共有ルールセットを作成した場合、それにはファイルベースのルール (ファイルの名前、パス、サイズ、およびハッシュを比較するルール) が含まれています。古い共有ルールセットは、共有ルールセットを使用しているすべてのエージェントがバージョン11以降にアップグレードされるまで、ファイルベースのルールを使用し続けます。その後、共有ルールセットはハッシュベースのルールを使用するように変換されます。

    すべてのAgentがバージョン11.0以降にアップグレードされるまでは、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートするバージョン10.3以前のエージェントとは互換性がありません。 {: .warning }

    同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールが許可ルールになります。

    共有ルールを作成するには、 共有ルールセットの作成を参照してください。

  • グローバルルール: 共有ルールセットと同様に、グローバルルールはWorkload Securityによってエージェントに配布されます。これにより、ネットワークおよびディスクスペースの使用量が増加します。しかし、グローバルであるため、各ポリシーでそれらを選択する時間を費やす必要はありません。グローバルルールは、Workload Securityで表示できるルールセットの一部ではありません。グローバルルールには許可ルールではなく、ブロックルールのみを含めることができます。

    グローバルルールにはエージェントバージョン10.2以降が必要です。Workload Securityは古いエージェントにグローバルルールを送信しません。グローバルルールは他のすべてのアプリケーションコントロールルールよりも優先され、アプリケーションコントロールが有効になっているすべてのコンピュータで適用されます。グローバルルールのルールはファイルのMD5、SHA-1、またはSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意であるため、ファイルパス、ポリシー、コンピュータグループに関係なく、またアプリケーションコントロールがそのソフトウェアを以前に検出したかどうかに関係なく、特定のソフトウェアをどこでもブロックできます。

    マルチテナント展開では、各テナントにグローバルルールが個別に割り当てられます。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。

    グローバルルールを作成するには、 グローバルルールの追加を参照してください。

共有ルールセットを作成する

APIを使用して、共有の許可ルールまたはブロックルールを作成し、そのルールセットを他のコンピュータに適用できます。これは、負荷分散されたWebサーバファームなど、同一のコンピュータが多数ある場合に便利です。共有ルールセットは、まったく同じインベントリを持つコンピュータにのみ適用する必要があります。

  1. APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、 共有ルールセットの作成を参照してください。共有ルールセットを配信する前に内容を確認する場合は、「アプリケーションコントロールルールセットの表示と変更」を参照してください。
  2. [コンピュータ] または [ポリシー] エディタ [アプリケーションコントロール] に移動します。

  3. [ルールセット] セクションで [設定を継承] が選択されていないことを確認し、[共有ルールセットを使用する] を選択します。使用する共有ルールを指定します。

    これらの設定は、APIを使用して少なくとも1つの共有ルールセットを作成するまで非表示になります。共有ルールセットを作成していない場合、またはデフォルト設定を保持することを選択した場合、各コンピュータは許可およびブロックルールをローカルに保持します。ローカルルールの変更は他のコンピュータには影響しません。

  4. [保存] をクリックします。

    コンピュータ上のエージェントが次回 Workload Securityに接続するときに、これらのルールが適用されます。

    ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、AgentとWorkload Security間のネットワークデバイスによって、ハートビートポート (ポート番号を参照) の通信が許可されていることを確認します。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

APIを介して作成された共有の許可ルールまたはブロックルールを現在コンピュータで使用している場合は、次の操作を実行できます。 change it to use local rules。アプリケーションコントロールは、ファイルシステムで現在インストールされているすべてのソフトウェアを検索し、アプリケーションコントロールを最初に有効にしたときと同様に、そのソフトウェアの初期ルールセットを作成します。

開始する前に、適切なソフトウェアのみがインストールされていることを確認します。ルールセットを再構築すると、安全でないソフトウェアや不正なソフトウェアであっても、現在インストールされているすべてのソフトウェアが許可されます。何がインストールされているかわからない場合は、クリーンインストールを実行してからアプリケーションコントロールを有効にするのが最も安全な方法です。 {: .warning }

次の手順では、ローカルルールセットを使用するようにコンピュータのエージェントを設定します。すべてのコンピュータでローカルルールを使用する場合は、[ポリシー] タブで設定を編集します。

  1. コンピュータエディタ</ madcap:glossaryterm >> アプリケーションコントロールに移動します。
  2. [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。

変更を確認するには、エージェントと次回Workload Security接続するための イベントログメッセージを検索します。アプリケーションコントロールルールセット