アプリケーションコントロールの設定

アプリケーションコントロールは、継続的にサーバを監視し、ソフトウェアの変更が生じるたびにイベントをログに記録します。これは、一部のWebサーバやメールサーバなど、自動的に変更されるソフトウェアを使用する環境や通常実行可能ファイルを作成する環境には向いていません。アプリケーションコントロールがお使いの環境に適しているかどうかを確認するには、「アプリケーションコントロールで検出されるソフトウェア変更」を参照してください。

アプリケーションコントロールの仕組みについては、「アプリケーションコントロールによるソフトウェアのロックダウン」を参照してください。

アプリケーションコントロールを有効にしてソフトウェア変更を監視するには、次の操作を実行します。

  1. アプリケーションコントロールをオンにします。
  2. 新しいソフトウェアと変更されたソフトウェアを監視します。
  3. 計画変更を行う場合は、管理モードをオンにします。

この記事では、アプリケーションコントロールを使用する際に注意する必要がある、アプリケーションコントロールのヒントと注意事項についても説明します。

アプリケーションコントロールを有効にした後は、次のことを実行する方法について学ぶこともできます。

アプリケーションコントロールを有効にする

アプリケーションコントロールは、コンピュータの設定またはポリシーで有効にできます。

  1. [コンピュータ]または[ポリシー]エディタを開き、[ アプリケーションコントロール ] [一般] []の順に選択します。
  2. [アプリケーションコントロールの状態] を [オン] または [継承 (オン)] に設定します。
  3. [施行] で、対象の保護状態を選択します。
    • 承認されていないソフトウェアを明示的に許可するまでブロック
    • 承認されていないソフトウェアを明示的にブロックするまで許可 (最初にアプリケーションコントロールを設定するときは、このオプションを選択することをお勧めします)
  4. [保存] をクリックします。

アプリケーションコントロールが有効になっているポリシーエディタのスクリーンショット

次回 Workload Security とDeep Security Agentが接続すると、エージェントはコンピュータ上にインストールされているすべてのソフトウェアのインベントリを検索して生成し、検出されたすべてのソフトウェアを許可するルールを作成します。環境に応じて、この初期インベントリには15分以上かかることがあります。

アプリケーションコントロールが予期したとおりに動作していることを確認するには、「アプリケーションコントロールの有効化の確認」の手順に従います。

新規および変更済みソフトウェアを監視する

保護対象コンピュータでインベントリが作成されると、追加または変更されたソフトウェア実行可能ファイルは「ソフトウェア変更」として分類され、 Workload Securityの[ Actions ]画面に表示されます。承認されていないソフトウェアが実行されたり、実行の試みがブロックされたりすると、そのイベントは [イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] に表示されます。詳細については、「アプリケーションコントロールイベント」を参照してください。

最初にアプリケーションコントロールを有効にした後は、[処理] 画面に多くのソフトウェア変更が表示されることがあります。これは、通常の操作の過程で、許可されたソフトウェアが新しい実行可能ファイルを作成したり、ファイルの名前を変更したり、ファイルを移動した場合に起こります。ルールを追加してアプリケーションコントロールを調整するにつれて、表示されるソフトウェア変更は少なくなります。

すべてのコンピュータのすべてのソフトウェア変更をすばやく検索し、許可ルールまたはブロックルールを簡単に作成するには、[ Actions ]タブを使用します。

許可ルールやブロックルールの作成は、Deep Security APIを使用して自動化できます。詳細については、 未確認のソフトウェアを許可またはブロックするを参照してください。

  1. Workload Security コンソールで、[ Actions]に移動します。
  2. 承認されていないソフトウェアの特定の検出情報だけを表示するには、いくつかの方法で情報をフィルタできます。

    各コンピュータの各ソフトウェア変更を個別に評価する代わりに、この後で説明するフィルタを使用して問題のないことが分かっているソフトウェア変更を見つけて、一括で許可します。

    承認済みのソフトウェアインベントリから離れた場所に移動し、ソフトウェアの承認またはブロックを実行できます。このリストをフィルタするには、時間間隔を選択するか、青いリンクをクリックするか、または検索フィルタを入力します。

    表示されるソフトウェア変更の数を減らすには、次の操作を実行します。

    • アプリケーションコントロール:ソフトウェアの変更] []の横にあるドロップダウンリストから、 [過去7日間]などの時間範囲を選択します。画面の上部付近にあるグラフのバーをクリックして、その期間の変更を表示することもできます。
    • 左側のペインで[ Computers ]をクリックし、個々のコンピュータまたはグループを選択するか、[ スマートフォルダ ]をクリックして、特定のスマートフォルダに含まれるコンピュータのみを表示します( グループのコンピュータでは、スマートフォルダが動的に表示されます)。

      [コンピュータ] タブと異なり、[ソフトウェア変更] 画面には通常すべてのコンピュータが表示されることはありません。許可またはブロックルールがないソフトウェア変更がアプリケーションコントロールによって検出されたコンピュータのみが表示されます。

    • 検索フィルタフィールドに検索語句と演算子を入力します。これらの属性は、プロセスごとの変更、ユーザ別の変更、ファイル名、ホスト名、インストールパス、MD5、SHA1、およびSHA256 \で検索できます。たとえば、信頼する特定のユーザが加えたすべての変更を検索し、[すべて許可] をクリックしてそのユーザのすべての変更を許可できます。または、(メンテナンスモードが有効になっていないときに) 組織全体に特定のソフトウェアアップデートがインストールされた場合は、ファイルのハッシュ値に従って画面をフィルタし、[すべて許可] をクリックして発生したすべての変更を許可します。

      ソフトウェア変更に関する詳細が右側の画面に表示されます。詳細のファイル名またはコンピュータ名をクリックして、検索フィルタに追加できます。

    • [ファイル (ハッシュ) 別にグループ化] または [コンピュータ別にグループ化] を選択します。

  3. [ Allow ]または[ Block ]のいずれかをクリックして、そのコンピュータの許可ルールまたはブロックルールをそのソフトウェアに追加します。許可するかブロックするかを判断するために詳細な情報が必要な場合は、ソフトウェア名をクリックし、右側の詳細パネルを使用します。

    次回エージェントが Workload Securityに接続すると、エージェントは新しいルールを受信します。

変更の処理のヒント

  • ほとんどの環境で、[ アプリケーションコントロール ]を最初に有効にしたときにソフトウェアの変更を初期設定で許可するように Allow unrecognized software to allow it explicitly オプションを選択し、 Actionsで表示される変更の許可およびブロックのルールを追加することをお勧めします。 ページ。最終的に、ソフトウェア変更の頻度が低下します。この時点で、初期設定でソフトウェア変更をブロックし、問題のないことが分かっているソフトウェアの許可ルールを作成することを検討できます。一部の組織では、初期設定で変更を許可し、 Actions ページでブロックするソフトウェアを監視しています。
  • 承認されていないソフトウェアを最初に処理する代わりに、セキュリティイベントを評価することから始めることもできます。セキュリティイベントは、実行された (または実行が試みられた) 承認されていないソフトウェアを示します。セキュリティイベントの詳細については、「アプリケーションコントロールイベントの監視」を参照してください。
  • 承認されていないファイルの実行が許可された場合に、そのまま許可を継続するときは、許可ルールを作成します。ファイルの実行が許可されるだけでなく、ファイルに対するイベントが記録されなくなるため、ノイズが低減され、重要なイベントを見つけやすくなります
  • 既知のファイルの実行がブロックされた場合は、コンピュータからそのファイルを駆除することを検討します (特に頻繁に発生する場合)。
  • ソフトウェア変更は、発生したコンピュータごとに表示されることに注意してください。各コンピュータのソフトウェアを許可またはブロックする必要があります。
  • ルールはコンピュータに割り当てられ、ポリシーには割り当てられません。たとえば、3台のコンピュータでhelloworld.pyが検出された場合、[すべて許可] または [すべてブロック] をクリックしても反映されるのはこの3台のコンピュータのみです。他のコンピュータは独自のルールセットを使用しているため、他のコンピュータでその後同じファイルが検出されても選択した処理は適用されません。
  • 管理できるソフトウェアアップデートに関連する変更が表示された場合は、そのアップデートを実行するときにメンテナンスモード機能を使用します。「変更の計画時にメンテナンスモードをオンにする」を参照してください。

変更の計画時にメンテナンスモードをオンにする

アプリケーションコントロールはパッチのインストール、ソフトウェアのアップグレード、またはWebアプリケーションの配信も検出します。承認されていないソフトウェアの処理方法の設定によっては、[処理] タブで許可ルールを作成するまでこれらのソフトウェアがブロックされることがあります。

インストールやメンテナンスの実行時に不要なダウンタイムやアラートを回避するには、アプリケーションコントロールをメンテナンス期間用のモードに切り替えます。メンテナンスモードが有効な場合、アプリケーションコントロールによってブロックされたソフトウェアを引き続きブロックします。アプリケーションコントロール新しいソフトウェアやアップデートされたソフトウェアを実行し、コンピュータのインベントリに自動的に追加できるようになります。

メンテナンスモードは、Deep Security APIを使用して自動化できます。詳細については、 ガイドのアップグレード時の保守モードの設定を参照してください。

  1. Workload Security コンソールで、[ Computers]に移動します。
  2. 1台以上のコンピュータを選択し、[ Actions]→[Maintenance Modeをオンにする]の順にクリックします。
  3. メンテナンス期間を選択します。

    予定されているメンテナンス期間が終了した時点で、メンテナンスモードは自動的に無効になります。または、アップデートの完了時に手動でメンテナンスモードを無効にする場合は、[無期限] を選択します。

    [ダッシュボード][アプリケーションコントロール - メンテナンスモードのステータス] ウィジェットに、コマンドが成功したかどうかが示されます。

  4. ソフトウェアをインストールまたはアップグレードします。

  5. メンテナンスモードを手動で無効にするよう選択した場合、ソフトウェアの変更の検出を再び開始するにはメンテナンスモードを忘れずに無効にしてください。

アプリケーションコントロールのヒントと注意事項

  • アプリケーションコントロールのパフォーマンスを向上させるには、Windows Defenderの代わりに Workload Security の不正プログラム対策を使用してください。詳細については、「Windows Server 2016へのDeep Security不正プログラム対策のインストール後のWindows Defenderの無効化」を参照してください。
  • バッチファイルまたはPowerShellスクリプトに対するブロックルールを作成する場合は、関連するインタープリタ (PowerShellスクリプトの場合はpowershell.exe、バッチファイルの場合はcmd.exe) の使用時に、このファイルをコピー、移動、または名前変更することはできません。
  • 許可ルールまたはブロックルールを追加すると、ルールは通常、エージェントが次に Workload Securityに接続するときにエージェントに送信されます。ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、エージェントと Workload Security またはリレー間のネットワークデバイスが、ハートビートポート番号またはリレー ポート番号の通信を許可していることを確認してください。
  • ブロックルールが機能していることを確認するために、ブロックしたソフトウェアを実行してみます(Deep Security Agentによる変更の検出方法の詳細については、「アプリケーションコントロールで検出されるソフトウェア変更」を参照してください)。
  • ブロックしたソフトウェアがインストールされたままの場合、アプリケーションコントロールは引き続きソフトウェアの実行をブロックするとアラートを表示し、ログに記録します。コンピュータの権限に関するエラーログを少なくし、攻撃対象領域を縮小するには、アプリケーションコントロールがブロックしているソフトウェアをアンインストールします。その後、関連するアラートを消去するには、[アラート] または [ダッシュボード] へ進み、そのアラートをクリックし、[アラートの消去] をクリックします。ただし、すべてのアラートを消去できるわけではありません。詳細については、「事前定義アラート」を参照してください。
  • コンピュータでのソフトウェアの変更が多すぎる場合、アプリケーションコントロールは引き続き既存のルールを適用しますが、パフォーマンス上の理由からそれ以上ソフトウェアの変更は検出されず、表示もされなくなります。この問題を解決するには、「大量のソフトウェア変更後にアプリケーションコントロールをリセットする」を参照してください。