Trust Entitiesは、信頼ルールセットに割り当てられた信頼ルールのプロパティに一致するソフトウェアの変更を自動承認します。各信頼ルールには、ソフトウェアの変更を自動承認するためのパラメータを定義する1つ以上のプロパティが含まれています。
エンティティの信頼機能を使用すると、Agentでのソフトウェアの変更を事前に自動承認できるため、 Workload Securityに送信されるソフトウェア変更イベントの数を減らすことができます。たとえば、OSを定期的にアップデートするAgentは、パッチが適用されるたびに新しいソフトウェアの変更をいくつか作成します。適切な信頼ルールを構成してそれらのAgentに適用することにより、Agentのソフトウェア変更を自動承認し、 Workload Security[処理] タブから、または アプリケーションコントロール セキュリティイベントとして手動で管理する必要をなくすことができます。
信頼エンティティを使用してソフトウェアの変更を自動承認するには、信頼ルールを構成し、それらを信頼ルールセットに割り当て、ルールセットを割り当ててポリシーまたはコンピューターに適用する必要があります。
信頼エンティティ機能で自動承認されていないソフトウェアの変更を許可またはブロックする方法については、アプリケーションコントロールのソフトウェアルールセットの表示と変更を参照してください。
APIドキュメントは信頼ルールセットで利用可能です。
このドキュメント全体で、sourceはソフトウェアの変更を作成するプロセスを指し、targetはソフトウェアの変更自体を指します。

信頼ルールセット 親トピック

信頼ルールセットは、1つ以上のユーザ設定の信頼ルールで構成されます。Workload Securityでポリシーやコンピュータに信頼ルールセットを割り当てると、そのルールセットに含まれるルールが関連するワークロードに適用され、そのルールのプロパティ要件を満たすソフトウェアの変更が自動的に承認されます。

信頼ルールセットを作成する 親トピック

新しい信頼ルールセットを作成するには、次のいずれかを実行します。

手順

  1. Workload Securityポリシータブから、[Common Objects][Rules][Application Control Rules][Trust Entities]に移動します。
  2. [信頼ルールセット]セクションで、[新規]を選択します。
  3. [新しいルールセット]ウィンドウで、新しいルールセットの名前を入力し、必要に応じて説明を入力します。
  4. リストから1つ以上の信頼ルールを選択して、信頼ルールセットに割り当てます。
    application-control-trust-entities-newrulesetok=29b10d71-f6e2-4838-a422-c601d5750586.png
  5. [OK]をクリックします。
    割り当てたルールを含む信頼ルールセットが作成されます。
  6. Workload Securityの [コンピュータ] または [ポリシー] タブで、コンピュータまたはポリシーをダブルクリックします (または右クリックして [詳細] を選択します)。
  7. [アプリケーションコントロール] に移動し、[設定] が [オン] または [継承 (オン)] に設定されていることを確認します。
  8. [信頼ルールセット]リストで、[新規]を選択します。
    application-control-trust-entities-newrulesetcomputerpolicy=284a2b30-c53e-41b1-a7df-8113787ce9e4.png
  9. [新しいルールセット]ウィンドウで、新しいルールセットの名前を入力し、必要に応じて説明を入力します。
    application-control-trust-entities-newruleset=db3de0b8-124b-4e15-b462-70cc817747b3.png
  10. リストから1つ以上の信頼ルールを選択して信頼ルールセットに割り当て、[保存] をクリックして、割り当てたルールを含む信頼ルールセットを作成します。
  11. 必要に応じて、[保存] をクリックして、新しい信頼ルールセットをコンピュータまたはポリシーに割り当てます。
    信頼ルールセットを最初から作成する代わりに、[複製][信頼エンティティの管理] 画面 ([ポリシー][ 共通オブジェクト][ ルール][ アプリケーションコントロールルール][ 信頼するエンティティ]) でクリックして既存のルールセットのコピーを作成し、必要に応じて設定できます。

信頼ルールセットの割り当てまたは割り当て解除 親トピック

信頼ルールセットを割り当てるには 親トピック

手順

  1. Workload Securityの [コンピュータ] または [ポリシー] タブで、コンピュータまたはポリシーをダブルクリックします (または右クリックして [詳細] を選択します)。
  2. [アプリケーションコントロール] に移動し、[設定][オン] または [継承 (オン)] に設定されていることを確認します。
  3. リストから[信頼ルールセット]を選択してください。
    application-control-trust-entities-assignruleset=9e81f364-546a-482b-bc36-164f854bc17a.png
  4. [保存]をクリックします。
    これで、選択した信頼ルールセットがコンピュータまたはポリシーに割り当てられました。

信頼ルールセットの割り当てを解除するには: 親トピック

手順

  1. [共通オブジェクト][ルール][アプリケーションコントロールルール][信頼エンティティ]に移動し、信頼ルールセットを選択します。
  2. 右側に表示される「信頼ルールセットのプロパティ」ウィンドウで、「割り当て」の横にある番号を選択します。
    application-control-trust-entities-rulesetassignments=854d54d1-8de5-4e00-94bf-092380ee58b0.png
  3. 「割り当て先」ウィンドウで、コンピュータまたはポリシーを選択します。
    application-control-trust-entities-trustrulesetassignedto=1746e9ec-d262-4914-85ab-9b475e43c416.png
  4. コンピュータまたはポリシーウィンドウの[アプリケーションコントロール]タブから、Trust RulesetドロップダウンリストでNoneを選択してルールセットの割り当てを解除します。
    application-control-trust-entities-unassignruleset=281f2fb6-6a96-43df-9b21-a4e5e31add96.png
  5. [保存]をクリックします。
    信頼ルールセットがコンピュータまたはポリシーに割り当てられていません。

信頼ルールセットを削除する 親トピック

手順

  1. [共通オブジェクト][ルール][アプリケーションコントロールルール][信頼エンティティ]に移動します。
  2. [ 信頼ルールセット]セクションで、削除するルールセットを選択し、[ 削除] を選択します。
  3. [ルールセットの削除] 確認ダイアログで、[ OK] をクリックします。
    application-control-trust-entities-deleteruleset=67d21577-1c73-4f68-bb18-b4afe4680d3b.png
    信頼ルールセットが削除されます。
    信頼ルールセットは、現在コンピュータまたはポリシーに継承されているか、割り当てられている場合、削除することはできません。削除する前に、信頼ルールセットの割り当てを解除する必要があります。

信頼ルール 親トピック

信頼ルールには、 アプリケーションコントロールによって自動承認されるソフトウェアの変更を決定する1つ以上のプロパティが含まれます。信頼ルールのプロパティに一致するソフトウェアの変更は自動承認され、 Workload Securityにイベントは作成されません。
空の信頼ルールプロパティはすべてワイルドカードとして扱われます。これにより、信頼ルールをカスタマイズする方法が自由になりますが、システムのセキュリティに影響する可能性もあります。システムのセキュリティを最大化し、不要なソフトウェアの変更が許可されないようにするには、信頼ルールを作成するときにできるだけ多くのプロパティを入力してください。信頼ルールがセキュリティに与える影響がよくわからない場合は、システムのセキュリティについて十分な知識がある人に確認するか、信頼ルールセットに追加する前にトレンドマイクロに問い合わせてください。
現在、一部の信頼ルールプロパティはサポートされているWindowsプラットフォーム上のエージェントにのみ適用され、Linuxではまだ利用できません。詳細については、Linuxの信頼ルールプロパティの制限事項を参照してください。

信頼ルールの種類 親トピック

  • [ソースから許可] ルールは、信頼されたアップデータまたはインストーラプロセスがシステムに新しいソフトウェアをインストールすることを許可します。信頼できるアップデータによって作成された承認済みの実行可能ファイルは、自動的に承認されます。このルールを使用するには、プロセスやインストーラなどのソースのプロパティをルールで指定する必要があります。さらに、パス 属性を使用して、指定したディレクトリに許可されたソフトウェアのみを作成するようにプロセスを制限する必要があります。このルールを適用すると、[処理] 画面のソフトウェア変更イベントが最小限に抑えられます。
[ソースから許可] ルールはソフトウェアの作成時に評価されるため、インストーラを実行する前に設定する必要があります。
  • [対象別に許可] ルールは、指定されたプロパティに一致する実行可能ファイルの実行を許可します。ルールで指定するプロパティは、実行可能ファイルなど、対象のプロパティと一致する必要があります。このルールは実行時に評価されるため、[アラート] 画面でファイルのセキュリティイベントが検出された後に適用できます。
  • [対象別にブロック] ルールは、指定されたプロパティに一致する実行可能ファイルを実行しないようにします。ルールで指定するプロパティは、実行可能ファイルなど、対象のプロパティと一致する必要があります。このルールは実行時に評価されるため、[アラート] 画面でファイルのセキュリティイベントが検出された後に適用できます。
注意
注意
[対象別にブロック] ルールは、 Deep Security Agent 20.0.0-3288以降でサポートされます。
  • [ソースから無視] ルールはプロセス除外を設定します。これにより、指定されたプロセスは、アプリケーションコントロールによって監視されることなく、指定されたディレクトリでソフトウェアを実行または作成できます。除外ルールが削除されると、除外はただちに解除されます。[ソースルールで無視] でパスのみを指定した場合、すべてのプロセスは、アプリケーションコントロールによる監視を受けることなく、それらのディレクトリでソフトウェアを実行または作成できます。このオプションは、アプリケーションコントロール検索によって一部のプロセスまたはパスとの互換性の問題 (パフォーマンスの問題や共有違反など) が発生している場合にのみ使用してください。ソースから無視ルールは、Workload Security APIを使用して作成されたすべてのグローバルルールよりも優先されます。グローバルルールの詳細については、共有ルールセットとグローバルルールセットを作成するためのAPIの使用 を参照してください。
[ソースから許可] ルールによってソフトウェアの変更が自動承認されるたびに、変更が発生したAgentのローカルインベントリにエントリが追加されます。これは、ソースからの無視ルールには適用されません。

信頼ルールを作成する 親トピック

手順

  1. [共通オブジェクト][ルール][アプリケーションコントロールルール][信頼エンティティ]に移動します。
  2. [信頼ルール]セクションで[新規]を選択し、リストから信頼ルールタイプのいずれかを選択します。
  3. [新しいルール]ウィンドウで、新しいルールの名前と (オプションで) 説明を入力します。
  4. [プロパティの追加] リストからプロパティを選択して、新しいルールに追加します。
    application-control-trust-entities-createruleaddproperty=eacfd97a-ce4d-49bc-8306-abf6f8493633.png
  5. 表示されたフィールドにプロパティの値を入力します。
    application-control-trust-entities-createruleenterpropertyvalue=f2d77d7c-b2ae-416d-8e2a-78da1d8ed08e.png
  6. 必要に応じて、手順4と5を繰り返して、この信頼ルールにプロパティを追加します。
  7. [OK]をクリックします。
    新しい信頼ルールが作成され、信頼ルールセットに割り当てる準備ができました。
    信頼ルールプロパティ値の構成に関する情報については、信頼ルールプロパティの種類を参照してください。
    ヒント
    ヒント
    信頼ルールを選択し ([ポリシー][ 共通オブジェクト][ ルール][ アプリケーションコントロールルール][ 信頼エンティティ])、[割り当て/割り当て解除] を使用して、この信頼ルールを含める信頼ルールセットを定義します。これは、多数のルールセットに新しいルールをすばやく割り当てたり割り当て解除したりする場合に特に便利です。

信頼ルールのプロパティを変更する 親トピック

手順

  1. Workload Securityの[信頼エンティティ]タブ ([ポリシー][共通オブジェクト][ルール][アプリケーションコントロールルール][信頼エンティティ]) でルールを選択し、[編集]を選択します (またはルールをダブルクリックします)。
    application-control-trust-entities-changeproperties=4f0daa18-cf18-444c-aeaa-a882bdb22a0a.png
  2. [ルールの編集] ウィンドウで、次のいずれかを実行します。
    • 新しいプロパティを追加するには、[プロパティの追加]リストからプロパティを選択し、その値を入力します。
    • 既存のプロパティを編集するには、そのフィールドの値を変更します。
    • 既存のプロパティを削除するには、[削除]を選択します。
  3. [OK]を選択します。

信頼ルールを削除する 親トピック

手順

  1. Workload Securityの[信頼エンティティ]タブ ([ポリシー][共通オブジェクト][ルール][アプリケーションコントロールルール][信頼エンティティ]) で、ルールを選択し、[削除]を選択します。
  2. [ルールの削除] ダイアログで [OK] をクリックして、削除を確定します。
    application-control-trust-entities-deleterule=83d57ebf-f262-429b-88f7-c9798fcd9dde.png
    いずれかの信頼ルールセットに現在割り当てられている信頼ルールを削除すると、警告プロンプトが表示された後、自動的に割り当てが解除されます。
    application-control-trust-entities-deleteassignedrule=b25d4e9c-0cbf-4d37-ad53-12e25d653d58.png

信頼ルールのプロパティの種類 親トピック

信頼ルールに含まれるプロパティと値は、そのルールによって自動承認されるソフトウェア変更を定義します。次のセクションでは、信頼ルールの設定に使用できる信頼ルールのプロパティの種類について、プロパティ値の設定に必要な情報を見つけるための手順を含めて説明します。

プロセス名 親トピック

このプロパティは、ソフトウェア変更を作成するプロセスの名前を指定します。プロセス名には、ファイル名を含むプロセスの絶対パスを使用する必要があります。
ソフトウェア変更のプロセス名を確認するには

手順

  1. Workload Securityの[処理]タブに移動します。
  2. ソフトウェア変更を検索して選択します。
    プロセス名は、他の詳細とともに [プロセスによる変更] の下の右側に表示されます。
    Deep Security Agentでは、プロセス名にワイルドカードを使用します。プロセス名にプロセスへのフルパスが含まれる場合、パスでglobstar ** を使用するとプロセス名内の任意の数の追加文字に一致し、単一のアスタリスクまたはスター*は現在のディレクトリ内の任意の数の追加文字に一致します。のみであり、?は1文字に一致します。*文字はディレクトリパス区切り文字 (/\) で検索を停止します。?文字は、一致するディレクトリパス区切り文字に一致しません。ドライブ文字は、対象パス内の他の文字と同様に扱われ、照合する際の特別な意味はありません。
    ソースから無視ルールで使用する場合、プロセス名プロパティはDeep Securityエージェント20.0.0-3165以降でのみサポートされます。

パス 親トピック

このプロパティは、信頼ルールに適用される対象パスを指定します。すべてのサブディレクトリを含む、このプロパティに入力されたパス内で発生したソフトウェアの変更は、アプリケーションコントロールによって自動的に承認されます。セミコロンで区切って複数のパスを設定できます。例: C:\Windows;C:\Program Files\
パスの値を入力するときは、パスの最後のスラッシュ (\ または /) がどのディレクトリに含まれるかを考慮してください。
  • 末尾がスラッシュのパスは、そのフルパスの下にあるすべてのサブディレクトリに一致します。たとえば、C:\Windows\System\ would match any sub-directories in the System ディレクトリです。
  • 最後のスラッシュの後に指定された値は、正規表現のワイルドカードとして扱われ、特定のディレクトリおよび同じ値で始まる他のディレクトリに一致します。たとえば、C:\Windows\System には、C:\Windows\System*に一致するすべてのディレクトリとサブディレクトリが含まれます。これには、C:\Windows\System\C:\Windows\System32\C:\Windows\SystemApps\ などが含まれます。
Deep Security Agentバージョン20.0.0-5137以降では、パスでグロブスター (**) ワイルドカードを使用できます。パスでグロブスター ** を使用すると、現在のディレクトリとそのサブディレクトリ内の任意の数の追加文字と一致し、単一のアスタリスク * は現在のディレクトリ内の任意の数の追加文字とのみ一致し、疑問符 ? は単一の文字と一致します。 * 文字は、ディレクトリパスの区切り文字 (/ および \) で検索を停止します。 ? 文字はディレクトリパスの区切り文字と一致しません。ドライブ文字は、ターゲットパス内の他の文字と同じように扱われ、照合に特別な意味はありません。

SHA-256 親トピック

[ソースから許可] ルールで使用する場合、ソフトウェア変更を作成するソースプロセスのチェックサム (SHA-256) を指定します。 [対象別に許可] または [対象別にブロック] ルールで使用された場合は、ソフトウェア変更自体のチェックサム (SHA-256) になります。
SHA256を見つけるには、次のいずれかを実行します。

Windows PowerShell (ソースまたはターゲットから): 親トピック

Windows PowerShellコマンドのGet-FileHashの手順に従います。

Workload Security から (ターゲットのみ): 親トピック

Workload Securityの[処理]タブで、ソフトウェア変更を見つけて選択します。
右側の「SHA256」の下に、他の詳細とともにSHA256が表示されます。

ベンダ 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェアのベンダを指定します。
ベンダを見つけるには、次のいずれかを実行します。

ファイルエクスプローラーから: 親トピック

手順

  1. プロセスまたはファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ (名前、変更日など) のいずれかを右クリックし、[詳細]を選択します。
  2. [会社]を選択し、[OK]をクリックします。
    ベンダーが[ファイルエクスプローラ]ウィンドウに表示されます。

Workload Securityから: 親トピック

Workload Securityの[処理]タブで、ソフトウェア変更を見つけて選択します。
「ベンダー」の下にベンダーが他の詳細と共に右側に表示されます。

製品名 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア製品名を指定します。
製品名を確認するには、次のいずれかを実行します。

ファイルのプロパティから: 親トピック

手順

  1. ファイルを含むディレクトリで、プロセスまたはファイルを右クリックし、[プロパティ]を選択します。
  2. [詳細]タブで、製品名の値を確認します。

ファイルエクスプローラーから: 親トピック

手順

  1. ファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ (名前、変更日など) のいずれかを右クリックし、[詳細]をクリックします。
  2. [製品名] を選択して、[OK] をクリックします。
    [製品名]列に製品名が表示されます。

Workload Securityから: 親トピック

Workload Securityの[処理]タブで、ソフトウェア変更を見つけて選択します。
製品名は、右側の [製品名] の下にその他の詳細とともに表示されます。

署名者名 親トピック

[ソースから許可] ルールで使用する場合、ソフトウェア変更を作成するソースプロセスの署名者名を指定します。 [対象別に許可] または [対象別にブロック] ルールで使用する場合は、対象ファイルに署名した証明書の署名者名になります。
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書に署名した会社の名前を指定します。
証明書署名者名を確認するには

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [デジタル署名] タブの [署名リスト] テーブルで署名者の名前を探します。
    署名者名は、[署名者名]の下に表示されます。
    ソフトウェア変更イベントまたはセキュリティイベントの最大数を除外するには、署名者名ルールプロパティを使用して、特定の署名者からのすべてのイベントを照合します。

発行者の一般名 親トピック

このプロパティは現在Windowsでのみサポートされており、署名するソフトウェア証明書の発行者の共通名 (CN) を指定します。
発行者の一般名を確認するには、次の手順に従います。

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [ [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書を表示] を選択します。
  5. [詳細] タブに移動し、[発行者] を選択します。
    証明書に発行者のCNが含まれている場合は、[発行者]の下に表示されます。

発行者の組織単位 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の組織単位 (OU) を指定します。
発行者の組織単位を見つけるには

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [ デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書を表示] を選択します。
  5. [詳細]タブに移動し、[発行者]を選択してください
    証明書に含まれている場合は、発行者のOUが表示されます。

発行者の組織 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者組織 (O) を指定します。
発行元の組織を確認するには

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書を表示] を選択します。
  5. [詳細] タブに移動し、[発行者] を選択します。
    証明書に含まれている場合は、発行者Oが表示されます。

発行者の地域 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の地域 (L) を指定します。
発行元の場所を確認するには

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書を表示] を選択します。
  5. [詳細] タブに移動し、[発行者] を選択します。
    証明書に含まれている場合は、発行者Lが表示されます。

発行者の都道府県 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の都道府県 (S) を指定します。
発行者の都道府県を確認するには

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [デジタル署名]^タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書を表示] を選択します。
  5. [詳細] タブに移動し、[発行者] を選択します。
    証明書に含まれている場合は、発行者Sが表示されます。

発行国 親トピック

このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行元の国(C)を指定します。
発行国を確認するには:

手順

  1. プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
  2. [ デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書を表示] を選択します。
  5. [詳細] タブに移動し、[発行者] を選択します。
    証明書に含まれている場合は、発行者Cが表示されます。

アプリケーションコントロールイベントの集約と分析 親トピック

サーバでの動的なソフトウェアアップデートにより、何千ものドリフトイベント ([処理] ページ) やセキュリティイベント ([アプリケーションコントロールイベント] ページ) が発生する可能性があります。これは、事後に何を承認するかを判断するのが難しいため、アプリケーションコントロールを使用する際の課題となります。Deep Security Agent 20.0.0.5761以降を使用している場合にこの状況を軽減するには、異常なドリフトイベントとセキュリティイベントのみを表示する信頼ルールを作成します。これにより、サーバをロックダウンして、不正なソフトウェアの実行を防ぐこともできます。
ドリフトイベントはプロセス名とターゲットパスに基づいて集約されます。セキュリティイベントはSHA256ハッシュとターゲットパスに基づいて集約されます。例えば、同じプロセスが同じパスで10,000個のドリフトアイテムを作成した場合、ドリフトはprocessNameおよびpaths属性を持つ単一の信頼ルールに集約されます。
エージェントの診断が要求されると、集約された変更イベントとセキュリティイベントが信頼ルール形式でJSONファイルに保存され、診断に含まれます。次に、 [信頼ルール] エディタでJSONファイルを使用して、サーバの信頼ルールを追加できます。

変更イベント 親トピック

JSON形式の変更イベントには、次の属性があります。
{
"time":1615999592250,
"eventType":"ApplicationControl",
"uid":1063,
"gid":1064,
"operationType":"create",
"user":"ribapp",
"group":"ribapp",
"md5":"57579EF7681147B84774F69F44783A67",
"sha256":"90B0418DCB3B29440EE6F69FEE05BD54265CEE3BCFABDA8ED355E257FECC2939",
"processName":"/opt/IBM/WebSphere/AppServer/java/jre/bin/java",
"type":4,
"rdev":0,
"lastModificationTime":1615999090000,
"mode":33188,"size":3984617,
"sha1":"B226BDB9DB39AD38C4BEB6FE4F1C1C7151207848",
"nlink":1,
"procUser":"ribapp",
"isAuthorized":1,
"pid":10223,
"fileExtension":"jar",
"operationDate":1615999591534,
"procUid":1063,
"procGroup":"ribapp",
"path":"/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/",
"fileName":"DC.jar",
"recordTime":1615999592215,
"fileSystemType":"ext4",
"procGid":1063,
"dev":64775,
"source":4,
"ino":3801778
}
  • processName はターゲットファイルを作成または更新したプロセスの名前です。前の例では、/opt/IBM/WebSphere/AppServer/java/jre/bin/java に設定されています。
  • pathは、プロセスが実行可能ファイルを更新または作成した場所です。前の例では、/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/に設定されています。

変更イベントの信頼ルール 親トピック

イベントのドリフトを自動承認するための信頼ルールを作成できます。このルールのためにtrustTypeを1に設定することで信頼されたアップデーターを定義でき、pathsにリストされた任意のパスでソフトウェアを作成するプロセスを信頼します。
"trustrules": [{
"trustType":"1",
"processName":"/opt/IBM/WebSphere/AppServer/java/jre/bin/java",
"paths":"/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/"
}]
ドリフトイベントを処理して信頼ルールを作成することは、多対一の操作になることがあります。例えば、/opt/IBM/WebSphere/AppServer/java/jre/bin/javaという名前のプロセスがパス/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/に数千のJARファイルを作成する場合、前述の信頼ルールはこれらすべてのJARファイルのドリフトを排除し、信頼ルールがドリフトを集約するのに効率的であることを示します。
信頼ルールは、ルールの配列で構成され、各ルールには一意のプロセスが含まれます。各信頼ルールには、paths属性に複数のパスを定義できます。例えば、process1という名前のプロセスが3つの異なる場所path1path2path3でドリフトを作成した場合、1つの信頼ルールでprocess1がこれらすべての場所で作成したドリフトをキャプチャできます。
"trustrules": [{
"trustType":"1",
"processName":"process1",
"paths":"path1;path2;path3"
}]
hitcountという追加属性があり、その目的はプロセスヒットカウントです。この属性を使用して、特定の信頼ルールが何回ヒットしたかを判断できます。
拡張子のヒットカウントもあります: 拡張子は、プロセスが特定の拡張子を持つファイルを更新するたびに増分することで追跡されます。
"trustrules": [{
"trustType":"1",
"processName":"process1",
"paths":"path1;path2;path3",
"hitcount":12342,
".jar":1234,
".py":323,
".":456
}]
前述の例では、JARファイルが1234回、piファイルが323回、拡張子のないファイルが456回更新されたプロセスを示しています。

セキュリティイベント 親トピック

JSON形式のセキュリティイベントには、次の属性があります。
{
"time":1492100772165,
"eventType":"ApplicationControl",
"sha1":"066A02D230F3B16439396B049DC912DB376B96CE",
"fileName":"svchost.exe",
"operationType":"detectOnly",
"blockReason":2,
"size":311544,
"sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA",
"type":1,
"path":"C:\\Windows\\System32\\",
"pid":1832,
"operationDate":1492100772149,
"processName":"\\device\\harddiskvolume2\\windows\\system32\\cmd.exe",
"md5":"5F7B8544F7A20800069107FC93384F0E"
},
{
"time":1492100772165,
"eventType":"ApplicationControl",
"blockReason":2,
"sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA",
"size":311544,
"processName":"\\device\\harddiskvolume2\\windows\\system32\\cmd.exe",
"sha1":"066A02D230F3B16439396B049DC912DB376B96CE",
"operationType":"detectOnly",
"pid":1832,
"md5":"5F7B8544F7A20800069107FC93384F0E",
"path":"C:\\Program Files\\Trend Micro\\Deep Security Agent\\",
"operationDate":149210077
}
前述の例では、sha25662EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA に設定され、pathC:\Windows\System32\ に設定されています。

セキュリティイベントの信頼ルール 親トピック

セキュリティイベントのドリフトを自動承認するための信頼ルールを作成できます。このルールでは、trustTypeを2に設定し、SHA256ハッシュに基づいて、pathsにリストされている任意のパスで信頼されたターゲットを定義できます。
"trustrules": [{
"trustType":"2",
"sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA",
"paths":"C:\\Windows\\System32\\"
}]
セキュリティイベントを処理して信頼ルールを作成することは複雑な操作です。信頼ルールは、ルールごとに一意のSHA256を持つルールの配列で構成されます。各信頼ルールには、paths属性に複数のパスを定義できます。例えば、ファイルが異なる場所path1path2、およびpath3からsha256コンテンツハッシュAAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDDで実行された場合、1つの信頼ルールでこれを次のように表すことができます:
"trustrules": [{
"trustType":"2",
"sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDD",
"paths":"path1;path2;path3"
}]
SHA256ヒットカウントを目的とするhitcountという追加属性があります。この属性を使用して、特定の信頼ルールが何回ヒットしたかを判断できます。
ファイル名のヒット数もあります: 異なる名前のファイルが同じSHA256コンテンツハッシュを持つことがあります。この属性を使用して、特定の名前のファイルが同じSHA256を実行した回数をカウントできます。次の例では、SHA256 AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE が12342回実行され、filename1 が2342回使用され、filename2 が10000回使用されました。filename1filename2 は同じコンテンツハッシュを持っています。
異なる名前のプロセスが同じSHA256コンテンツハッシュを持つ同じターゲットを実行できるため、プロセス名が同じSHA256を実行するために使用された回数をカウントすることもできます。以下の例では、SHA256 AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEEが12342回実行され、filename1が2342回使用され、filename2が10000回使用されました。filename1filename2の両方が同じコンテンツハッシュを持っています。プロセス名/opt/process1はターゲットを12000回実行するために使用され、/opt/process2はターゲットを342回実行するために使用されました。
"trustrules": [{
"trustType":"2",
"sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE",
"paths":"path1;path2;path3",
"hitcount":12342,
"filename1":2342,
"filename2":10000
"/opt/process1":12000,
"/opt/process2":342
}]
プロセスは絶対パスで表され、ファイル名はいずれかのパスへの相対パスで表されることに注意してください。

イベント分析出力 親トピック

アプリケーションコントロールイベント分析の出力は、ac_event_analysis.txtというファイルに送られます。このファイルには、追加のヒットカウント属性および拡張ヒットカウント属性を持つ信頼ルール形式が含まれています。
"trustrules": [{
"trustType":"1",
"processName":"process1",
"paths":"path11;path12;path13",
"hitcount":12342,
".jar":12342
},
{
"trustType":"1",
"processName":"process2",
"paths":"path21;path22;path23",
"hitcount":23232,
".py":23232
},
{
"trustType":"1",
"processName":"process3",
"paths":"path31;path32;path33",
"hitcount":34332,
".exe":34322
},
{
"trustType":"1",
"processName":"process4",
"paths":"path41;path42;path43",
"hitcount":12312,
".":12312
}]
ファイルの場所は次のとおりです:
  • Windowsの場合: C:\ProgramData\Trend Micro\Deep Security Agent\diag\ac_event_analysis.txt
  • Linuxの場合: /var/opt/ds_agent/diag/ac_event_analysis.txt
  • 診断で: エージェント/ac/ac_event_analysis.txt
このファイルから再起動時に分析が読み込まれ、エージェントの再起動後も状態が維持されます。アプリケーションコントロールが無効化された後に有効化されると、分析はクリアされます。ac_event_analysis.txtファイルを表示するには、JQまたはオンラインJSONフォーマッタを使用してください。

信頼ルールのデバッグ 親トピック

信頼ルールは次のようにデバッグできます:

手順

  1. Deep Security Managerに新しい信頼ルールを適用します。
  2. Deep Security Agentを停止します。
  3. ac_event_analysis.txtファイルを削除してください。
  4. Deep Security Agentを起動します。
  5. ac_event_analysis.txtファイルが再表示されるかどうか数分待ちます。
    • ファイルが表示されなくなった場合、信頼ルールが機能しており、イベントの生成が抑制されています。
    • ファイルがまだ表示される場合は、新しいイベント情報についてac_event_analysis.txtファイルを確認し、それに応じて新しい信頼ルールを追加してください。信頼タイプ1のルールは、ドリフトイベントを自動承認するためのソースによる許可ルールであり、信頼タイプ2のルールはターゲットファイルの実行を許可するためのターゲットによる許可ルールです。
  6. 新しい信頼ルールを設定するには、手順1からの手順を繰り返します。
    信頼ルールがどのくらいの頻度でヒットしているかを確認するには、エージェントでsendCommandを実行します。
    • Linux: /opt/ds_agent/sendCommand --get TrustRules
    • Windows: \program files\trend micro\deep security agent\sendCommand --get TrustRules

コンサルト指標 親トピック

ドリフト分析とイベント分析がアプリケーションコントロールのメトリクスに追加され、ヒット数が最も多い上位10件のプロセスがdrift_analysisオブジェクトに含まれ、カウント数が最も多い上位10件のSHA256がevent_analysisオブジェクトに保存されます。
"AC": {
"eventReportInQueue":"0",
"evtPreCreateProcessHandled":"17",
"acProcessHashCount":"0",
"acProcessBlockUnrecognized":"0",
"engFlushDbBufferError":"0",
"acFileProcessImgPath":"0",
"evtFilePostClose":"249",
"acFileErrorHash":"0",
"acFileAllowImportingRuleset":"0",
"evtFilePreCreateFromContainer":"0",
"evtFilePostChmodFromContainer":"0",
"engStopError":"0",
"evtFilePreCreateHandled":"0",
"ctrlInterpreterMatched":"0",
"importCount":"0",
"inventoryAdsVisited":"0",
"engGetInventory":"1",
"acFileAllow":"5",
"acFileAllowBuilding":"0",
"engSetConfigError":"0",
"ctrlMsiInstallationMatched":"0",
"ctrlDropProcessEvtReportQueueFull":"0",
"importFail":"0",
"eventReportDropped":"0",
"evtFilePostChmod":"3",
"acFileBlock":"0",
"acFileDrift":"3",
"engGetMetricsError":"0",
"ctrlDropFileEvtReportQueueFull":"0",
"inventoryFolderVisited":"0",
"engStartError":"0",
"evtFileCloudFileIgnore":"0",
"engSetConfig":"1",
"engFlushDbBuffer":"0",
"engPurgeDbError":"0",
"inventoryBytesInventoried":"433695822",
"evtPreCreateProcessWithCmdLine":"0",
"inventoryDriveVisited":"0",
"importSuccess":"0",
"engSetRuleset":"0",
"eventReportSent":"3",
"drift_analysis": [{
"trusttype":"1",
"processName":"/usr/bin/bash",
"paths":"/im1"
},
{
"trusttype":"1",
"processName":"/usr/bin/cp",
"hitcount":1,
"paths":"/im1"
}],
"event_analysis": [{
"trusttype":"2",
"sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE",
"hitcount":2,
"paths":"/im1"
},
{
"trusttype":"2",
"sha256":"EEEEEEEEEDDDDDDDDDCCCCCCCCBBBBBBBBAAAAAAAA",
"hitcount":1,
"paths":"/im1"
}]
}

署名者情報の表示 親トピック

信頼ルールが有効になっている場合、ドリフトイベント分析のためにファイル署名者情報とプロセス署名者情報の両方が信頼ルールに含まれます。セキュリティイベント分析のためには、ファイル署名者情報が含まれます。信頼エンティティルールセットがホストに適用されると、信頼ルールが有効になり (ファイル署名者情報とプロセス署名者情報がac_event_analysis.txtファイルに表示されます)。

Linuxの信頼ルールプロパティの制限 親トピック

次の信頼ルールのプロパティは、Linuxでは[現在サポートされていません]
  • 署名者名
  • 製品名
  • 発行者の一般名
  • 発行者の組織単位
  • 発行者の組織
  • 発行者の地域
  • 発行者の都道府県
  • 発行国
  • ベンダ
Linuxでは現在、次の信頼ルールのプロパティのみがサポートされています。
  • プロセス名
  • パス
  • SHA-256
警告
警告
Linuxで現在サポートされていない信頼ルールを追加すると、ルールはソフトウェアの変更に適用されなくなります。