共有ルールセットとグローバルルールセットを作成するためのAPIの使用

アプリケーションコントロールの概要については、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。初期設定の手順については、「アプリケーションコントロールの設定」を参照してください。

Deep Security APIを使用すると、共有ルールセットとグローバルルールを作成できます。1種類のルールセットを使用することも、組み合わせて使用することもできます。詳細については、 共有ルールセットの作成 および グローバルルールの追加を参照してください。

  • ローカルルールセット: コンピュータのソフトウェアインベントリの一部として追加されたルールまたは管理モードのルールは、保護されたコンピュータにのみ保存され、 Workload Securityでは表示されません。 Workload Security で設定するルールの許可またはブロックは、エージェントに送信され、両方の場所に保存されます。エージェントは Workload Securityにインベントリ情報を転送しないため、ローカルのルールセットでは共有ルールセットよりもパフォーマンスが向上します。

    ソフトウェアが新しくなったのか、変更されたのかを判断するために、 Deep Security Agent 10は、初期インストールされたソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名(「ファイルベース」のローカルルールセットを持つ)とファイルを比較します。Deep Security Agent 11以降では、ファイルのSHA-256ハッシュとファイルサイズのみが比較されます(ハッシュベースのローカルルールセットが使用されます)。Deep Security 11 (およびそれ以降の) Agentで作成されたルールでは、一意のハッシュおよびファイルサイズのみを比較するので、ソフトウェアファイルの名前変更または移動が実行された場合にも、ルールは引き続き適用されます。その結果、 Deep Security Agent 11以降を使用すると、処理が必要なソフトウェアの変更数が減少します。Deep Security Agent 10は、 Deep Security Agent 11.0以上にバージョンアップされるまで、引き続きファイルベースのローカルルールセットを使用します。アップグレードすると、そのローカルルールセットはハッシュベースのルールを使用するように変換されます。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

  • 共有ルールセット:すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、初期インベントリ検索またはメンテナンスモードのルールを確認する必要がある場合や、設定が同一でなければならない多数のコンピュータで構成されるサーバファームを管理する場合は、共有ルールセットを使用する方が業務を簡素化できることがあります。たとえば、同じLAMP Webサーバのサーバプールがある場合、または自動スケーリンググループの一部である仮想マシン(VM)の場合、共有ルールセットを使用すると便利です。管理作業の負荷も軽減できます。

    [承認されていないソフトウェアを明示的に許可するまでブロック] が有効で、コンピュータが単に類似しているが同一ではない場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータのすべてのソフトウェアがブロックされてしまいます。重要なファイルが含まれている場合、OSが破損する可能性があります。OSが破損すると、再インストール、バックアップの復元、またはOSの復旧モードの使用が必要になる可能性があります。

    新しい共有ルールセットを作成すると、ハッシュベースのルール(ファイルのハッシュとサイズのみを比較するルール)のみを含めることができます。以前のバージョンの Workload Securityを使用して共有ルールセットを作成した場合、ファイルベースのルール(ファイルの名前、パス、サイズ、およびハッシュを比較するルール)が含まれます。共有ルールセットを使用するすべてのAgentがDeep Security Agent 11.0以降にアップグレードされるまで、古い共有ルールセットでは引き続きファイルベースのルールが使用されます。共有ルールセットは、ハッシュベースのルールを使用するように変換されます。

    すべてのエージェントがDeep Security Agent 11.0以上にアップグレードされるまで、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートするDeep Security Agent 10.3以前とは互換性がありません。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

共有ルールを作成するには、 共有ルールセットの作成を参照してください。

  • グローバルルール: グローバルルールは共有ルールセットと同様に、 Workload Security によってエージェントに配信されます(有効な場合はリレーも含まれます)。これにより、ネットワークとディスクの使用量が増加します。ただし、これらのルールセットはグローバルであるため、各ポリシーでの選択の手間を省くことができます。グローバルルールは、 Workload Securityで参照できるルールセットに含まれていません。グローバルルールにはブロックルールのみを含めることができ、ルールは許可しません。

    グローバルルールには、 Deep Security Agent 10.2以降が必要です。Workload Security はグローバルルールを古いエージェントに送信しません。グローバルルールは他のすべての アプリケーションコントロール ルールより優先され、 アプリケーションコントロール が有効になっているすべてのコンピュータで適用されます。グローバルルールのルールは、ファイルのSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意であるため、ファイルパス、ポリシー、またはコンピュータグループに関係なく、 アプリケーションコントロール がそのソフトウェアを以前に検出したかどうかに関係なく、特定のソフトウェアをブロックできます。

    マルチテナント展開では、各テナントにグローバルルールが個別に割り当てられます。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。

    グローバルルールを作成するには、 グローバルルールの追加を参照してください。

このトピックの内容:

共有ルールセットを作成する

APIを使用して、共有の許可ルールまたはブロックルールを作成し、ルールセットを他のコンピュータに適用できます。これは、同一のコンピュータが複数ある場合 (Webサーバファームで負荷を分散している場合など) に便利です。共有ルールセットはインベントリが完全に一致するコンピュータにのみ適用する必要があります。

  1. APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、 共有ルールセットの作成を参照してください。共有ルールセットを配信する前に内容を確認する場合は、「アプリケーションコントロールルールセットの表示と変更」を参照してください。
  2. コンピュータまたはポリシーエディタ> アプリケーションコントロールに移動します。
  3. ルールセットのセクションで、 [設定を継承する ]が選択されていないことを確認し、[ 共有ルールセットを使用する]を選択します。使用する共有ルールセットを指定します。

    これらの設定は、APIを使用して作成した共有ルールセットがない場合は表示されません。共有ルールセットを作成していない場合、または初期設定をそのまま使用する場合は、各コンピュータには独自の許可およびブロックルールがローカルに使用されます。ローカルルールに対する変更は他のコンピュータには反映されません。

  4. [保存] をクリックします。

    次回コンピュータのDeep Security Agentが Workload Securityに接続すると、エージェントはそれらのルールを適用します。

    ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、エージェントとDeep Security Managerまたはリレー間のネットワークデバイスがハートビートポートまたは ポート番号の中継を許可することを確認します。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

コンピュータで現在API経由で作成された共有ルールが許可されている場合は、ローカルルールを使用するように変更できます。アプリケーションコントロールをはじめて有効にしたときと同様に、ファイルシステムに現在インストールされているすべてのソフトウェアが検索され、初期ルールセットが作成されます。

この手順を開始する前に、適切なソフトウェアのみが現在インストールされていることを確認してください。ルールセットを再構築すると、安全性が確認されていないソフトウェアや不正プログラムも含め、現在インストールされているすべてのソフトウェアが許可されます。インストールされているソフトウェアを把握していない場合は、クリーンインストールを実施し、その後でアプリケーションコントロールを有効にするのが最も安全な方法です。

以下の手順は、特定のコンピュータのAgentでローカルルールセットを使用するように設定する手順です。すべてのコンピュータでローカルルールを使用する場合は、代わりに [ポリシー] タブで設定を編集します。

  1. コンピュータエディタ> アプリケーションコントロールに移動します。
  2. [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。

    変更を確認するには、エージェントと次回Workload Security接続するための イベントログメッセージを検索します。アプリケーションコントロールルールセット

Relayを介してアプリケーションコントロール共有ルールセットをインストールする

アプリケーションコントロールルールセットを作成または変更するたびに、使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりも大きくなります。また、共有ルールセットはさまざまなサーバにも適用されることがあります。同時にすべてがルールセットを Workload Security から直接ダウンロードした場合、負荷が高ければパフォーマンスが低下する可能性があります。グローバルルールセットの注意事項も同じです。

Deep Security Relayを使用すると、この問題を解決できます。(Relayの設定の詳細については、「Relayによるセキュリティとソフトウェアのアップデートの配布」を参照してください。)

マルチテナント環境を使用しているかどうかによって、手順が異なります。

単一テナント環境

[ 管理]→[システム設定]→[高度な ]の順に選択し、[ Serve アプリケーションコントロール ルールセットfrom relay]を選択します。

ローカルルールセットと共有ルールセット

マルチテナント環境

プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtNアプリケーションコントロールルールセットが設定されません。他のテナント (tN) は独自のRelayグループを作成してから [アプリケーションコントロールルールセットをRelayから提供する] を選択する必要があります。

tNルールセットRelay

共有ルールセットを使用するリレーを使用する場合の考慮事項

Relayを使用する前に、Relayに使用環境との互換性があることを確認してください。以前にダウンロードされて現在有効になっているルールセットがAgentにない場合、Agentが新しいアプリケーションコントロールルールを受け取らないと、コンピュータがアプリケーションコントロールによって保護されることはありません。 アプリケーションコントロール ルールセットのダウンロードに失敗した場合、ルールセットのダウンロード失敗イベントが Workload Security コンソールおよびエージェントに記録されます。

  • プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。

    Deep Security Agent 10.0以前では、クライアントはプロキシ経由でリレーに接続できませんでした。ルールセットのダウンロードにプロキシが原因で失敗し、ビジネスセキュリティクライアントがリレーまたは Workload Securityにアクセスするためにプロキシを必要とする場合は、次のいずれかを実行する必要があります。

  • 共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。

  • ローカルルールセットを使用している場合は、Relayを使用するとパフォーマンスが低下する可能性があります。
  • テナント以外のテナント(tN)が初期設定のプライマリ(t0)リレーグループを使用している場合は、マルチテナント構成のリレーを使用しないでください。