このページのトピック
共有ルールセットとグローバルルールセットを作成するためのAPIの使用
アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。初期設定の手順については、「アプリケーションコントロールの設定」を参照してください。
Workload Security APIを使用して、共有ルールセットとグローバルルールを作成できます。1種類のルールセットを使用することも、組み合わせて使用することもできます。詳細については、 共有ルールセットの作成 および グローバルルールの追加を参照してください。
-
ローカルルールセット: コンピュータのソフトウェアインベントリの一部として追加されたルールまたは管理モードのルールは、保護されたコンピュータにのみ保存され、 Workload Securityでは表示されません。 Workload Security で設定するルールの許可またはブロックは、エージェントに送信され、両方の場所に保存されます。エージェントは Workload Securityにインベントリ情報を転送しないため、ローカルのルールセットでは共有ルールセットよりもパフォーマンスが向上します。
ソフトウェアが新規または変更されたかどうかを判断するために、バージョン10のエージェントは、最初にインストールされたソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名 (「ファイルベース」のローカルルールセットを備えている) とファイルを比較します。バージョン11以降のエージェントでは、ファイルのSHA-256ハッシュとファイルサイズのみが比較されます (ハッシュベースのローカルルールセットがあります)。バージョン11以降のエージェントで作成されたルールは一意のハッシュとファイルサイズのみを比較するため、ソフトウェアファイルの名前が変更または移動されても、ルールは引き続き適用されます。その結果、バージョン11以降のエージェントを使用すると、処理が必要なソフトウェア変更の数が削減されます。バージョン10のエージェントは、バージョン11以降にアップグレードするまで、引き続きファイルベースのローカルルールセットを使用します。アップグレードすると、ローカルルールセットはハッシュベースのルールを使用するように変換されます。
同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールが許可ルールになります。
-
共有ルールセット:すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、初期インベントリ検索またはメンテナンスモードのルールを確認する必要がある場合や、設定が同一でなければならない多数のコンピュータで構成されるサーバファームを管理する場合は、共有ルールセットを使用する方が業務を簡素化できることがあります。たとえば、同じLAMP Webサーバのサーバプールがある場合、または自動スケーリンググループの一部である仮想マシン(VM)の場合、共有ルールセットを使用すると便利です。管理作業の負荷も軽減できます。
[承認されていないソフトウェアを明示的に許可するまでブロックする] を有効にしていて、コンピュータが類似している (ただし同一ではない) 場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータ上のすべてのソフトウェアをブロックします。重要なファイルが含まれていると、OSが破損する可能性があります。その場合は、再インストールするか、バックアップに戻すか、OSのリカバリモードを使用する必要があります。
新しい共有ルールセットを作成するときは、ハッシュベースのルール (ファイルのハッシュとサイズのみを比較するルール) のみを含めることができます。以前のバージョンのWorkload Securityを使用して共有ルールセットを作成した場合は、ファイルベースのルール (ファイルの名前、パス、サイズ、およびハッシュを比較するルール) が含まれます。古い共有ルールセットでは、共有ルールセットを使用するすべてのAgentがエージェントバージョン11以降にアップグレードされるまで、ファイルベースのルールが引き続き使用されます。次に、共有ルールセットがハッシュベースのルールを使用するように変換されます。
すべてのAgentがバージョン11.0以降にアップグレードされるまでは、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートするバージョン10.3以前のエージェントとは互換性がありません。
同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールが許可ルールになります。
共有ルールを作成するには、 共有ルールセットの作成を参照してください。
-
グローバルルール: 共有ルールセットと同様、グローバルルールはWorkload Sescurityによってエージェントに配信されます (有効な場合はリレーにも配信されます)。これにより、ネットワークおよびディスク領域の使用量が増加します。ただし、これらはグローバルであるため、各ポリシーで時間をかけて選択する必要はありません。グローバルルールは、Workload Securityに表示されるルールセットには含まれていません。グローバルルールにはブロックルールのみを含めることができ、許可ルールは含めることができません。
グローバルルールには、バージョン10.2以降のエージェントが必要です。 Workload Securityは、古いエージェントにグローバルルールを送信しません。グローバルルールは、他のすべてのアプリケーションコントロールルールよりも優先され、アプリケーションコントロールが有効になっているすべてのコンピュータに適用されます。グローバルルールのルールは、ファイルのMD5、SHA-1、またはSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意であるため、ファイルパス、ポリシー、またはコンピュータグループに関係なく、またアプリケーションコントロールが以前にソフトウェアを検出したかどうかに関係なく、特定のソフトウェアをすべての場所でブロックできます。
マルチテナント展開では、各テナントにグローバルルールが個別に割り当てられます。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。
グローバルルールを作成するには、 グローバルルールの追加を参照してください。
このトピックの内容:
- 共有ルールセットを作成する
- 共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える
- Relayを介してアプリケーションコントロール共有ルールセットをインストールする
- Relayと共有ルールセットを使用する際の注意事項
共有ルールセットを作成する
APIを使用して、共有の許可ルールまたはブロックルールを作成し、そのルールセットを他のコンピュータに適用できます。これは、負荷分散されたWebサーバファームなど、同一のコンピュータが多数ある場合に便利です。共有ルールセットは、まったく同じインベントリを持つコンピュータにのみ適用する必要があります。
- APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、 共有ルールセットの作成を参照してください。共有ルールセットを配信する前に内容を確認する場合は、「アプリケーションコントロールルールセットの表示と変更」を参照してください。
- [コンピュータ] または [ポリシー] エディタ [アプリケーションコントロール] に移動します。
-
[ルールセット] セクションで [設定を継承] が選択されていないことを確認し、[共有ルールセットを使用する] を選択します。使用する共有ルールを指定します。
これらの設定は、APIを使用して少なくとも1つの共有ルールセットを作成するまで非表示になります。共有ルールセットを作成していない場合、または初期設定のままにしている場合、各コンピュータは独自の許可ルールとブロックルールをローカルに保持します。ローカルルールを変更しても、他のコンピュータには影響しません。
-
[保存] をクリックします。
コンピュータ上のエージェントが次回 Workload Securityに接続するときに、これらのルールが適用されます。
ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、エージェントと Workload Security またはリレー間のネットワークデバイスがハートビートポートまたは ポート番号の中継を許可することを確認します。
共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える
APIを介して作成された共有の許可ルールまたはブロックルールを現在コンピュータで使用している場合は、次の操作を実行できます。
開始する前に、適切なソフトウェアのみがインストールされていることを確認します。ルールセットを再構築すると、安全でないソフトウェアや不正なソフトウェアであっても、現在インストールされているすべてのソフトウェアが許可されます。何がインストールされているかわからない場合は、クリーンインストールを実行してからアプリケーションコントロールを有効にするのが最も安全な方法です。
次の手順では、ローカルルールセットを使用するようにコンピュータのエージェントを設定します。すべてのコンピュータでローカルルールを使用する場合は、[ポリシー] タブで設定を編集します。
- [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
-
[保存] をクリックします。
変更を確認するには、エージェントと次回Workload Security接続するための イベントログメッセージを検索します。アプリケーションコントロールルールセット。
Relayを介してアプリケーションコントロール共有ルールセットをインストールする
アプリケーションコントロールルールセットを作成または変更するたびに、使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりも大きくなります。また、共有ルールセットはさまざまなサーバにも適用されることがあります。同時にすべてがルールセットを Workload Security から直接ダウンロードした場合、負荷が高ければパフォーマンスが低下する可能性があります。グローバルルールセットの注意事項も同じです。
Relayを使用すると、この問題を解決できます。 Relayの設定については、Relayを使用したセキュリティアップデートとソフトウェアアップデートの配信 を参照してください。
マルチテナント環境を使用しているかどうかによって、手順が異なります。
単一テナント環境
[ 管理]→[システム設定]→[高度な ]の順に選択し、[ Serve アプリケーションコントロール ルールセットfrom relay]を選択します。
マルチテナント環境
プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtNアプリケーションコントロールルールセットが設定されません。他のテナント (tN) は独自のRelayグループを作成してから [アプリケーションコントロールルールセットをRelayから提供する] を選択する必要があります。
共有ルールセットを使用するリレーを使用する場合の考慮事項
Relayを使用する前に、Relayが導入環境と互換性があることを確認してください。ダウンロード済みで現在有効なルールセットがエージェントになく、新しいアプリケーションコントロールルールを受信していない場合、コンピュータをアプリケーションコントロールで保護することはできません。アプリケーションコントロールのルールセットのダウンロードに失敗すると、ルールセットのダウンロード失敗イベントがWorkload Securityコンソールとエージェントに記録されます。
-
プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。
エージェントのバージョン10.0以前では、Agentはプロキシを介したRelayへの接続をサポートしていませんでした。プロキシが原因でルールセットのダウンロードが失敗し、AgentでRelayまたはWorkload Securityへのアクセスにプロキシが必要な場合は、次のいずれかを実行する必要があります。- アップデートエージェントのソフトウェア、次に がプロキシを設定する
- プロキシをバイパスする。
- Relayを追加してから、[アプリケーションコントロールルールセットをRelayから提供する] を選択する。
-
共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。
- ローカルルールセットを使用している場合、Relayによってパフォーマンスが低下する可能性があります。
- テナント以外のテナント(tN)が初期設定のプライマリ(t0)リレーグループを使用している場合は、マルチテナント構成のリレーを使用しないでください。