アプリケーションコントロールルールセットの表示と変更

各コンピュータには独自のアプリケーションコントロールルールセットがあります。次の手順を実行します。

特定のコンピュータで実行する必要のあるソフトウェアがアプリケーションコントロールによってブロックされていることがユーザから報告された場合は、そのコンピュータに対するブロックルールを取り消すことができます。[イベントとレポート]→[アプリケーションコントロールイベント]→[セキュリティイベント] の順に選択して、コンピュータを探して、ブロックイベントを見つけ、[ルールの表示] をクリックします。表示されたポップアップで、ブロックルールを許可ルールに変更できます。

アプリケーションコントロールルールセットを表示する

アプリケーションコントロール ルールセットのリストを表示するには、[ Policies]→[Common Objects]→[Rules]→[ アプリケーションコントロール Rulesets]の順に選択します。

アプリケーションコントロールルールセット

どのルールがルールセットの一部であるかを確認するには、ルールセットをダブルクリックし、[ ルール] [ ルール]タブに移動します。[ルール] タブにはルールが関連付けられているソフトウェアファイルが表示され、許可ルールをブロックルールに変更したり、その逆に変更したりすることもできます(「アプリケーションコントロールルールの処理を変更する」を参照)。

セキュリティイベント

[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] には、コンピュータ上で実行されているか、アクティブに実行がブロックされているすべての承認されていないソフトウェアが表示されます。このリストは、期間および他の基準によってフィルタできます。詳細については、「アプリケーションコントロールイベント」を参照してください。

イベント (集約イベント以外) ごとに、[ルールの表示] をクリックすると、ルールの許可とブロックを切り替えることができます。

Deep Security Agent 10.2以上には、同じイベントが繰り返し発生した場合にログの量を減らすためのイベント集約ロジックがあります。(「集約されたセキュリティイベントを解釈する」を参照してください)。

アプリケーションコントロールルールの処理を変更する

以前にブロックしたソフトウェアを許可 (または以前に許可したソフトウェアをブロック) する場合は、該当するルールの処理を編集します。ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、「個々のアプリケーションコントロールルールを削除する」を参照してください。

  1. [ Policies]→[Common Objects]→[Rules]→[ アプリケーションコントロール Rulesets]の順に選択します。
  2. 変更するルールを含むルールセットをダブルクリックして選択します。
  3. 表示されたポップアップ画面で、[ルール] タブを選択します。
  4. ブロックされたソフトウェア(または), の許可が必要な場合は、[ アプリケーションコントロール ルール]の横にあるメニューで、 による処理 を選択して同様のルールをグループ化します。また、検索を使用してリストをフィルタすることもできます。

    アプリケーションコントロールルールの処理

    ソフトウェアファイルの処理を変更する場合、ファイル名が複数ある場合は、[ ファイル名 ]を選択して、関連するルールをグループ化します。

  5. 許可またはブロックするソフトウェアに対応する行を探します。

  6. [処理] 列で、許可するかブロックするかの設定を変更し、[OK] をクリックします。

    次回エージェントが Workload Securityに接続すると、ルールがアップデートされ、バージョン番号が増加します。

個々のアプリケーションコントロールルールを削除する

作成したルールを元に戻す場合は、[ Policies]→[Common Objects]→[Rules]→[ アプリケーションコントロール Rulesets]の順に選択して、ルールが含まれるルールセットをダブルクリックし、[ Rules ]タブに移動してルールを選択します。 [ Delete]をクリックします。

次のことに注意してください。

  • ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、RAMとCPUの使用量が削減され、パフォーマンスが向上します。
  • ルールを削除すると、そのソフトウェアはアプリケーションコントロールで認識されなくなります。ソフトウェアが再度インストールされると、[ Actions ]タブに再度表示されます。
  • ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。
  • 最も古いルールを検索するには、[ Policies]→[Rules]→[ アプリケーションコントロール Rulesets]の順に選択し、[ Columns]をクリックします。[前回の変更日時] を選択して [OK] をクリックし、その列のヘッダをクリックすると、日付順にソートできます。

アプリケーションコントロールルールセットを削除する

ルールセットに関連付けられたコンピュータがもう存在しない場合など、アプリケーションコントロールルールセットがもう使用されていない場合は、削除できます。

ルールセットを削除するには、[ Policies]→[Rules]→[ アプリケーションコントロール Rulesets]の順に選択し、ルールセットをクリックして選択し、[ Delete]をクリックします。