アプリケーションコントロールの概要については、アプリケーションコントロールでソフトウェアをロックダウンするを参照してください。初期設定の手順については、アプリケーションコントロールのセットアップを参照してください。
Workload Security APIを使用すると、共有ルールセットとグローバルルールを作成できます。1種類のルールセットまたはその組み合わせを使用できます。詳細については、共有ルールセットの作成およびグローバルルールの追加を参照してください。
  • ローカルルールセット: コンピュータのソフトウェアインベントリの一部として追加されたルールやメンテナンスモード時に追加されたルールは、保護されたコンピュータにのみ保存され、Workload Securityには表示されません。Workload Securityで設定する許可またはブロックのルールはエージェントに送信され、両方の場所に保存されます。エージェントはインベントリ情報をWorkload Securityに転送しないため、ローカルルールセットは共有ルールセットよりも優れたパフォーマンスを提供します。
    ソフトウェアが新しいか変更されたかを判断するために、Deep Securityエージェントバージョン10は、最初にインストールされたソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名とファイルを比較します (ファイルベースのローカルルールセットを持っています)。Deep Securityエージェントバージョン11以降は、ファイルのSHA-256ハッシュとファイルサイズのみを比較します (ハッシュベースのローカルルールセットを持っています)。バージョン11以降のエージェントによって作成されたルールは、ユニークなハッシュとファイルサイズのみを比較するため、ソフトウェアファイルの名前が変更されたり移動されたりしてもルールが適用され続けます。その結果、バージョン11以降のエージェントを使用することで、対処する必要のあるソフトウェア変更の数が減少します。バージョン10のエージェントは、バージョン11以降にアップグレードされるまで、ファイルベースのローカルルールセットを使用し続けます。アップグレードすると、そのローカルルールセットはハッシュベースのルールに変換されます。
    同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールが許可ルールになります。
  • 共有ルールセット: すべてのルールデータをDeep Security AgentとDeep Security Managerの両方に同期します。これにより、ネットワークおよびディスクスペースの使用量が増加します。しかし、初期インベントリスキャンやメンテナンスモードからルールを確認する必要がある場合や、多くのコンピュータが同一であるべきサーバファームを管理する場合には、簡単になることがあります。例えば、同一のLAMPウェブサーバのサーバプールがある場合や、自動スケーリンググループの一部である仮想マシン (VM) の場合、共有ルールセットが役立ちます。また、管理者の作業負荷を軽減することもできます。
    警告
    警告
    [承認されていないソフトウェアを明示的に許可するまでブロック]を有効にしている場合、コンピュータが単に類似している (ただし同一ではない) 場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットにない他のコンピュータ上のすべてのソフトウェアをブロックします。それらに重要なファイルが含まれている場合、OSが破損する可能性があります。その場合、再インストール、バックアップへの復元、またはOSの回復モードの使用が必要になることがあります。
    新しい共有ルールセットを作成する場合、ハッシュベースのルール (ファイルのハッシュとサイズのみを比較するルール) のみを含めることができます。以前のバージョンのWorkload Securityを使用して共有ルールセットを作成した場合、それにはファイルベースのルール (ファイルの名前、パス、サイズ、およびハッシュを比較するルール) が含まれています。古い共有ルールセットは、共有ルールセットを使用しているすべてのエージェントがバージョン11以降にアップグレードされるまで、引き続きファイルベースのルールを使用します。その後、共有ルールセットはハッシュベースのルールを使用するように変換されます。
    警告
    警告
    すべてのAgentがバージョン11.0以降にアップグレードされるまでは、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートするバージョン10.3以前のエージェントとは互換性がありません。
    同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールが許可ルールになります。
    共有ルールを作成するには、共有ルールセットの作成を参照してください。
  • グローバルルール: 共有ルールセットと同様に、グローバルルールはWorkload Securityによってエージェントに配布されます。これにより、ネットワークとディスクスペースの使用量が増加します。しかし、グローバルであるため、各ポリシーで選択する時間を費やす必要はありません。グローバルルールは、Workload Securityで表示できるルールセットの一部ではありません。グローバルルールにはブロックルールのみを含めることができ、許可ルールは含めることができません。
    グローバルルールにはバージョン10.2以降のエージェントが必要です。Workload Securityは古いエージェントにグローバルルールを送信しません。グローバルルールは他のすべてのアプリケーションコントロールルールよりも優先され、アプリケーションコントロールが有効になっているすべてのコンピュータで適用されます。グローバルルールのルールはファイルのMD5、SHA-1、またはSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意であるため、ファイルパス、ポリシー、コンピュータグループに関係なく、またアプリケーションコントロールがそのソフトウェアを以前に検出したかどうかに関係なく、特定のソフトウェアをどこでもブロックできます。
    マルチテナント展開では、各テナントにグローバルルールが個別に割り当てられます。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。
    グローバルルールを作成するには、グローバルルールの追加を参照してください。

共有ルールセットの作成 親トピック

APIを使用して、共有の許可ルールまたはブロックルールを作成し、そのルールセットを他のコンピュータに適用できます。これは、負荷分散されたWebサーバファームなど、同一のコンピュータが多数ある場合に便利です。共有ルールセットは、まったく同じインベントリを持つコンピュータにのみ適用する必要があります。

手順

  1. APIを使用してコンピュータの共有許可およびブロックルールを作成します。詳細については、共有ルールセットの作成を参照してください。展開する前に共有ルールセットを確認したい場合は、アプリケーションコントロールルールセットの表示と変更を参照してください。
  2. [コンピュータ]または[ポリシー]エディターアプリケーションコントロールに移動します。
  3. ルールセットセクションで、[設定を継承]が選択されていないことを確認し、次に[共有ルールセットを使用]を選択してください。使用する共有ルールを示してください。
    これらの設定は、APIを使用して少なくとも1つの共有ルールセットを作成するまで非表示になります。共有ルールセットを作成していない場合、またはデフォルト設定を保持することを選択した場合、各コンピュータは許可およびブロックルールをローカルに保持します。ローカルルールの変更は他のコンピュータには影響しません。
  4. [保存] をクリックします。
    コンピュータ上のエージェントが次回 Workload Securityに接続するときに、これらのルールが適用されます。
    ルールセットのアップロードが成功しなかったというエラーが表示された場合、エージェントとWorkload Securityの間のネットワークデバイスがハートビートポートでの通信を許可していることを確認してください (ポート番号を参照)。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える 親トピック

コンピュータが現在APIを介して作成された共有の許可またはブロックルールを使用している場合、ローカルルールを使用するように変更できます。アプリケーションコントロールは、ファイルシステムをスキャンして現在インストールされているすべてのソフトウェアの初期ルールセットを作成します。これは、アプリケーションコントロールを最初に有効にしたときと同様です。
警告
警告
開始する前に、適切なソフトウェアのみがインストールされていることを確認します。ルールセットを再構築すると、安全でないソフトウェアや不正なソフトウェアであっても、現在インストールされているすべてのソフトウェアが許可されます。何がインストールされているかわからない場合は、クリーンインストールを実行してからアプリケーションコントロールを有効にするのが最も安全な方法です。
次の手順では、コンピュータのエージェントをローカルルールセットを使用するように設定します。すべてのコンピュータでローカルルールを使用したい場合は、代わりに[ポリシー]タブで設定を編集してください。
  1. [コンピュータエディタ][ ][アプリケーションコントロール] に移動します。
  2. ルールセットセクションで、[設定を継承] の選択を解除し (必要に応じて)、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。
変更を確認するには、AgentとWorkload Securityとの次回接続時に、アプリケーションコントロールルールセットの構築に関するイベントログを確認します。