このページのトピック
アプリケーションコントロールの設定
アプリケーションコントロールは、サーバを継続的に監視し、ソフトウェアの変更が発生するたびにイベントをログに記録します。 Webサーバやメールサーバなど、自動で変更されるソフトウェアを使用する環境や、通常は実行可能ファイルを作成する環境での使用は想定していません。アプリケーションコントロールが環境に適していることを確認するには、アプリケーションコントロールで検出されるソフトウェアの変更内容 を確認します。
詳細については、アプリケーションコントロールについて および アプリケーションコントロールの信頼エンティティ を参照してください。
アプリケーションコントロールを有効にしてソフトウェア変更を監視するには、次の操作を実行します。
アプリケーションコントロールを有効にすると、次の方法も学習できます。
- アプリケーションコントロールルールセットの表示と変更
- ソフトウェアの変更後にアプリケーションコントロールをリセットする
- アプリケーションコントロールイベントの監視
- APIを使用して共有ルールセットとグローバルルールセットを作成する
アプリケーションコントロールを有効にする
アプリケーションコントロールは、コンピュータの設定またはポリシーで有効にできます。
- [コンピュータ]または[ポリシー]エディタを開き、[アプリケーションコントロール]→[一般]の順に選択します。
- [アプリケーションコントロールの状態] を [オン] または [継承 (オン)] に設定します。
- [施行] で、対象の保護状態を選択します。
- 承認されていないソフトウェアを明示的に許可するまでブロック
- 明示的にブロックされるまで、認識されないソフトウェアを許可する (アプリケーションコントロールの初期設定時にこのオプションを選択する必要があります)
- [保存] をクリックします。
Workload Security とエージェントが次回接続したときに、エージェントはコンピュータにインストールされているすべてのソフトウェアのインベントリを検索して生成し、検出したすべてのソフトウェアを許可するルールを作成します。環境に応じて、この初期インベントリには15分以上かかることがあります。
アプリケーションコントロールが予期したとおりに動作していることを確認するには、「アプリケーションコントロールの有効化の確認」の手順に従います。
新規および変更済みソフトウェアを監視する
保護対象のコンピュータでインベントリが作成されると、追加または変更されたソフトウェア実行可能ファイルはすべてソフトウェア変更として分類され、Workload Securityの処理ページに表示されます。認識されていないソフトウェアが実行された場合、または実行を試みてブロックされた場合、そのイベントは[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] に表示されます。詳細については、アプリケーションコントロールイベント を参照してください。
最初にアプリケーションコントロールを有効にした後は、[処理] 画面に多くのソフトウェア変更が表示されることがあります。これは、許可されたソフトウェアが通常の処理を通じて新しい実行可能ファイルを作成したり、ファイル名を変更したり、ファイルを再配置したりする場合に発生します。アプリケーションコントロールを調整するルールを追加すると、ソフトウェアの変更が少なくなります。
すべてのコンピュータのすべてのソフトウェア変更をすばやく検索し、許可ルールまたはブロックルールを簡単に作成するには、[ Actions ]タブを使用します。
Workload Security APIを使用して、ソフトウェアルールセットの許可ルールまたはブロックルールの作成を自動化できます。詳細については、 未確認のソフトウェアを許可またはブロックするを参照してください。
- Workload Security コンソールで、[Actions]に移動します。
-
承認されていないソフトウェアの特定の検出情報だけを表示するには、いくつかの方法で情報をフィルタできます。
各コンピュータの各ソフトウェア変更を個別に評価する代わりに、この後で説明するフィルタを使用して問題のないことが分かっているソフトウェア変更を見つけて、一括で許可します。
表示されるソフトウェア変更の数を減らすには、次の操作を実行します。
- アプリケーションコントロール:ソフトウェアの変更の横にあるドロップダウンリストから、 [過去7日間]などの時間範囲を選択します。画面の上部付近にあるグラフのバーをクリックして、その期間の変更を表示することもできます。
-
左側のペインで[ Computers ]をクリックし、個々のコンピュータまたはグループを選択するか、[ スマートフォルダ ]をクリックして、特定のスマートフォルダに含まれるコンピュータのみを表示します( グループのコンピュータでは、スマートフォルダが動的に表示されます)。
Computers タブとは異なり、 Software Changes ペインには、通常、すべてのコンピュータが表示されるわけではありません。許可ルールまたはブロックルールが設定されていないソフトウェアの変更が検出されたコンピュータのみが表示されアプリケーションコントロール。
-
検索フィルタフィールドに検索語句と演算子を入力します。これらの属性は、プロセスごとの変更、ユーザ別の変更、ファイル名、ホスト名、インストールパス、MD5、SHA1、およびSHA256 \で検索できます。たとえば、信頼する特定のユーザが加えたすべての変更を検索し、[すべて許可] をクリックしてそのユーザのすべての変更を許可できます。または、(メンテナンスモードが有効になっていないときに) 組織全体に特定のソフトウェアアップデートがインストールされた場合は、ファイルのハッシュ値に従って画面をフィルタし、[すべて許可] をクリックして発生したすべての変更を許可します。
ソフトウェア変更に関する詳細が右側の画面に表示されます。詳細のファイル名またはコンピュータ名をクリックして、検索フィルタに追加できます。
-
[ファイル (ハッシュ) 別にグループ化] または [コンピュータ別にグループ化] を選択します。
-
[ Allow ]または[ Block ]のいずれかをクリックして、そのコンピュータの許可ルールまたはブロックルールをそのソフトウェアに追加します。許可するかブロックするかを判断するために詳細な情報が必要な場合は、ソフトウェア名をクリックし、右側の詳細パネルを使用します。
次回エージェントが Workload Securityに接続すると、エージェントは新しいルールを受信します。
変更の処理のヒント
- ほとんどの環境で、[ アプリケーションコントロール ]を最初に有効にしたときにソフトウェアの変更を初期設定で許可するように Allow unrecognized software to allow it explicitly オプションを選択し、 Actionsで表示される変更の許可およびブロックのルールを追加することをお勧めします。 ページ。最終的に、ソフトウェア変更の頻度が低下します。この時点で、初期設定でソフトウェア変更をブロックし、問題のないことが分かっているソフトウェアの許可ルールを作成することを検討できます。一部の組織では、初期設定で変更を許可し、 Actions ページでブロックするソフトウェアを監視しています。
- 承認されていないソフトウェアを最初に処理する代わりに、セキュリティイベントを評価することから始めることもできます。セキュリティイベントは、実行された (または実行が試みられた) 承認されていないソフトウェアを示します。セキュリティイベントの詳細については、「アプリケーションコントロールイベントの監視」を参照してください。
- 承認されていないファイルの実行が許可された場合に、そのまま許可を継続するときは、許可ルールを作成します。ファイルの実行が許可されるだけでなく、ファイルに対するイベントが記録されなくなるため、ノイズが低減され、重要なイベントを見つけやすくなります
- 既知のファイルの実行がブロックされた場合は、コンピュータからそのファイルを駆除することを検討します (特に頻繁に発生する場合)。
- ソフトウェア変更は、発生したコンピュータごとに表示されることに注意してください。各コンピュータのソフトウェアを許可またはブロックする必要があります。
- ルールはコンピュータに割り当てられ、ポリシーには割り当てられません。たとえば、3台のコンピュータで
helloworld.py
が検出された場合、[すべて許可] または [すべてブロック] をクリックしても反映されるのはこの3台のコンピュータのみです。他のコンピュータは独自のルールセットを使用しているため、他のコンピュータでその後同じファイルが検出されても選択した処理は適用されません。 - 管理できるソフトウェアアップデートに関連する変更が表示された場合は、そのアップデートを実行するときにメンテナンスモード機能を使用します。「変更の計画時にメンテナンスモードをオンにする」を参照してください。
- 自動アップデートが有効になっているコンピュータおよびサーバでは、アプリケーションコントロールをロックダウンモードで実行しないでください。
変更の計画時にメンテナンスモードをオンにする
アプリケーションコントロールはパッチのインストール、ソフトウェアのアップグレード、またはWebアプリケーションの配信も検出します。承認されていないソフトウェアの処理方法の設定によっては、[処理] タブで許可ルールを作成するまでこれらのソフトウェアがブロックされることがあります。
インストールやメンテナンスの実行時に不要なダウンタイムやアラートを回避するには、アプリケーションコントロールをメンテナンス期間用のモードに切り替えます。メンテナンスモードが有効な場合、アプリケーションコントロールによってブロックされたソフトウェアを引き続きブロックします。アプリケーションコントロール新しいソフトウェアやアップデートされたソフトウェアを実行し、コンピュータのインベントリに自動的に追加できるようになります。
Workload Security APIを使用して、メンテナンスモードを自動化できます。詳細については、アップグレード時のメンテナンスモードの設定 を参照してください。
- Workload Security コンソールで、 Computersに移動します。
- 1台以上のコンピュータを選択し、[Actions]→[Maintenance Modeをオンにする]の順にクリックします。
-
メンテナンス期間を選択します。
メンテナンスモードは、メンテナンス期間の終了が予定されているときに自動的に無効になります。または、アップデートの完了時にメンテナンスモードを手動で無効にする場合は、[無期限] を選択します。
[ダッシュボード] の [アプリケーションコントロール - メンテナンスモードのステータス] ウィジェットに、コマンドが成功したかどうかが示されます。
-
ソフトウェアをインストールまたはアップグレードします。
- メンテナンスモードを手動で無効にするよう選択した場合、ソフトウェアの変更の検出を再び開始するにはメンテナンスモードを忘れずに無効にしてください。
アプリケーションコントロールのヒントと注意事項
- アプリケーションコントロールのパフォーマンスを向上させるには、Windows Defenderの代わりに Workload Security の不正プログラム対策を使用してください。詳細については、「Windows Server 2016へのDeep Security不正プログラム対策のインストール後のWindows Defenderの無効化」を参照してください。
- バッチファイルまたはPowerShellスクリプトのブロックルールを作成した場合、関連付けられたインタープリタ (PowerShellスクリプトの場合は
powershell.exe
、バッチファイルの場合はcmd.exe
) を使用しているときに、ファイルのコピー、移動、または名前変更を行うことはできません。 - 追加した許可ルールまたはブロックルールは、通常、次回エージェントがWorkload Securityに接続したときにエージェントに送信されます。ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、エージェントとWorkload SecurityまたはRelayの間のネットワークデバイスで、ハートビートポート番号またはRelay ポート番号 での通信が許可されていることを確認します。
- ブロックルールが機能していることを確認するには、ブロックしたばかりのソフトウェアを実行してみます。エージェントが変更を検出する方法の詳細については、アプリケーションコントロールでソフトウェアの変更として検出されるもの を参照してください。
- ブロックしたソフトウェアがインストールされたままの場合、アプリケーションコントロールは引き続きソフトウェアの実行をブロックするとアラートを表示し、ログに記録します。コンピュータの権限に関するエラーログを少なくし、攻撃対象領域を縮小するには、アプリケーションコントロールがブロックしているソフトウェアをアンインストールします。その後、関連するアラートを消去するには、[アラート] または [ダッシュボード] へ進み、そのアラートをクリックし、[アラートの消去] をクリックします。ただし、すべてのアラートを消去できるわけではありません。詳細については、「事前定義アラート」を参照してください。
- パフォーマンス上の理由から、コンピュータのソフトウェア変更が多すぎる場合、アプリケーションコントロールは既存のルールを引き続き適用しますが、ソフトウェア変更の検出と表示は停止します。この問題を解決するには、ソフトウェアの変更が多すぎる場合にアプリケーションコントロールをリセットする を参照してください。