このページのトピック
アプリケーションコントロール 信頼エンティティ
現在、一部の信頼ルールプロパティはサポートされるWindowsプラットフォームのエージェントにのみ適用され、Linuxではまだ使用できません。詳細については、「 信頼ルールのプロパティのLinuxの制限」を参照してください。
信頼ルールセットのAPIドキュメントを参照できます。
信頼エンティティ機能は、 信頼ルールセットに割り当てられた 信頼ルール のプロパティに一致するソフトウェア変更を自動認証します。各信頼ルールには、ソフトウェアの変更を自動認証するためのパラメータを定義する1つ以上の プロパティ が含まれます。
エンティティの信頼機能を使用すると、エージェントでのソフトウェアの変更を事前に自動承認できるため、 Workload Securityに送信されるソフトウェア変更イベントの数を減らすことができます。たとえば、OSを定期的にアップデートするエージェントは、パッチが適用されるたびに新しいソフトウェアの変更をいくつか作成します。適切な信頼ルールを構成してそれらのエージェントに適用することにより、エージェントのソフトウェア変更を自動承認し、 Workload Security処理 タブから、または アプリケーションコントロール セキュリティイベントとして手動で管理する必要をなくすことができます。 。
信頼エンティティを使用してソフトウェアの変更を自動認証するには、 信頼ルールを設定し、 信頼ルールセットに割り当て、 ルールをポリシーまたはコンピュータに割り当てる必要があります。
エンティティの信頼機能で自動認証されないソフトウェアの変更を許可またはブロックする方法については、「 アプリケーションコントロールソフトウェアのルールセットを表示および変更する」を参照してください。
この記事では、「ソース」という用語はソフトウェアの変更を作成するプロセスを指します。「対象」という用語は、ソフトウェア変更自体を指す場合に使用します。
信頼ルールセット
信頼ルールセットは、1つ以上のユーザ設定の 信頼ルールで構成されます。場合信頼ルールセットを割り当てるのポリシーまたはコンピュータにWorkload Security、そのルールセットに含まれるルールが関連するワークロードに適用され、そのルールプロパティの要件を満たすソフトウェアの変更が自動的に承認されます。
信頼ルールセットを作成する
新しい信頼ルールセットを作成するには、次のいずれかを実行します。
Workload Security Policies タブで次の操作を実行します。
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択します。
- [信頼ルールセット] セクションで、[ 新規]を選択します。
- [新規ルールセット] ウィンドウで、新しいルールセットの名前と説明(オプション)を入力します。
- リストから1つ以上の信頼ルールを選択して、信頼ルールセットに割り当てます。
- [ OK]を選択します。
割り当てたルールを含む信頼ルールセットが作成されます。
Workload Security Computers または[ Policies ]タブで、次の操作を実行します。
- コンピューターまたはポリシーをダブルクリックします(または右クリックして[ 詳細]を選択します)。
- アプリケーションコントロール に移動し、Configurationが [On] または [Inherited (On)] に設定されていることを確認します。
- [ 信頼ルールセット ]ドロップダウンリストで、[ 新規]を選択します。
- [新規ルールセット]ウィンドウで、新しいルールセットの名前と説明(オプション)を入力します。
- リストから1つ以上の信頼ルールを選択して信頼ルールセットに割り当て、[ 保存 ]を選択して、割り当てたルールを含む信頼ルールセットを作成します。 6.(オプション)新しい信頼ルールセットをコンピュータまたはポリシーに割り当てるには、[ 保存]を選択します。
信頼ルールセットを最初から作成する代わりに、信頼エンティティ管理画面の [複製] ボタン(ポリシー > 共通オブジェクト>ルール > アプリケーションコントロールルール > 信頼エンティティ )を使用して、既存のルールセットのコピーを作成し、ニーズに合わせて構成できます。
信頼ルールセットの割り当てまたは割り当て解除
信頼ルールセットを割り当てるには
- Workload Securityの Computers または[ Policies ]タブで、コンピュータまたはポリシーをダブルクリックします(または右クリックして[ 詳細を選択します)。
- アプリケーションコントロール に移動し、 設定 が[On]または[Inherited(On)]に設定されていることを確認します。
- ドロップダウンリストから 信頼ルールセット を選択します。
- [ 保存]を選択します。
これで、選択した信頼ルールセットがコンピュータまたはポリシーに割り当てられました。
信頼ルールセットの割り当てを解除するには:
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ] の順に選択し、信頼ルールセットを選択します。
- 右側に表示される[信頼ルールセットのプロパティ]画面で、[割り当て]の横にある数字を選択します。
- [割り当て先]画面で、コンピュータまたはポリシーを選択します。
- コンピュータまたはポリシー画面の[ アプリケーションコントロール ]タブで、[信頼するルールセット]ドロップダウンリストから[なし]を選択してルールセットの割り当てを解除します。
- [ 保存]を選択します。
信頼ルールセットがコンピュータまたはポリシーに割り当てられていません。
信頼ルールセットを削除する
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択します。
- [Trust Rulesets]セクションで、削除するルールセットを選択し、[ 削除]を選択します。
-
[ルールセットの削除]確認画面で[ OK]を選択します。
信頼ルールセットが削除されます。
信頼ルールセットが現在コンピュータまたはポリシーに継承されているか、コンピュータまたはポリシーに割り当てられている場合は削除できません。 は、信頼ルールセット を削除する前に、割り当てを解除する必要があります。
信頼ルール
信頼ルールには、 アプリケーションコントロールによって自動承認されるソフトウェアの変更を決定する1つ以上のプロパティが含まれます。信頼ルールのプロパティに一致するソフトウェアの変更は自動承認され、 Workload Securityにイベントは作成されません。
空の信頼ルールプロパティはすべてワイルドカードとして扱われます。これにより、信頼ルールをカスタマイズする方法が自由になりますが、システムのセキュリティに影響する可能性もあります。システムのセキュリティを最大化し、不要なソフトウェアの変更が許可されないようにするには、信頼ルールを作成するときにできるだけ多くのプロパティを入力してください。信頼ルールがセキュリティに与える影響がよくわからない場合は、システムのセキュリティについて十分な知識がある人に確認するか、信頼ルールセットに追加する前にトレンドマイクロに問い合わせてください。
信頼ルールの種類
ソースによる無視ルールで使用される場合、プロセス名プロパティは、20.0.0.3288(20 LTSアップデート2021-10-28)より後にリリースされたエージェントバージョンでのみサポートされます。
- ソースから許可:[ソースからの許可]ルールは、特定のプロパティを持つプロセスを自動承認してソフトウェアの変更を作成します。
- 対象ごとに許可:[対象別許可]ルールは、特定のプロパティに一致するソフトウェアの変更を自動的に許可します。
- ソースから無視:[ソースから無視]ルールは、特定の プロセス名によって行われた、または特定の パス内で行われたソフトウェア変更を無視します。
「ソースから許可」または「ターゲットごとに許可」の信頼ルールがソフトウェアの変更を自動承認するたびに、変更が発生したエージェントのローカルインベントリにエントリが追加されます。これは、「ソースから無視」ルールでは発生しません。
信頼ルールを作成する
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択します。
- [信頼ルール]セクションで、[ 新規 ]を選択し、ドロップダウンリストから 信頼ルールの種類のいずれかを選択します。
- [新しいルール] ウィンドウで、新しいルールの名前と説明(オプション)を入力します。
-
[プロパティの追加]ドロップダウンリストからプロパティを選択して、新しいルールに追加します。
-
表示されたボックスにプロパティの値を入力します。
-
(オプション)この信頼ルールにプロパティを追加するには、手順4と5を繰り返します。
- [ OK]を選択します。
新しい信頼ルールが作成され、信頼ルールセットに割り当てる準備ができました。
信頼ルールのプロパティ値の設定については、「 信頼ルールのプロパティの種類」を参照してください。
信頼ルールを選択し([ [Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]]の順に選択)、 割り当て/割り当て解除 ]を使用して、どの信頼ルールセットを含めるかを選択します。このルールは、多くのルールセットで新しいルールの割り当てを解除する
信頼ルールのプロパティを変更する
-
Workload Securityの [信頼エンティティ] タブ([[Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]])でルールを選択し、[ 編集 の編集]を選択します(またはルールをダブルクリックします)。
-
[ルールの編集]画面で、次のいずれかを実行します。
- 新しいプロパティを追加するには、 プロパティの追加 ドロップダウンリストからプロパティを選択し、その値を入力します。
- 既存のプロパティを編集するには、そのテキストフィールドの値を変更します。
- 既存のプロパティを削除するには、[ 削除]を選択します。
- [ OK]を選択します。
信頼ルールを削除する
- Workload Security [信頼エンティティ ]タブ([[Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]])でルールを選択し、[ 削除の削除]を選択します。
-
[ OK ]を選択して、削除を確認します。
いずれかの信頼ルールセットに現在割り当てられている信頼ルールを削除すると、次の警告メッセージが表示されて自動的に割り当てが解除されます。
信頼ルールのプロパティの種類
信頼ルールに含まれるプロパティと値は、そのルールによって自動承認されるソフトウェア変更を定義します。次のセクションでは、信頼ルールの設定に使用できる信頼ルールのプロパティの種類について、プロパティ値の設定に必要な情報を見つけるための手順を含めて説明します。
プロセス名
ソースからの無視ルールで使用する場合、プロセス名プロパティは、20.0.0.3288(20 LTSアップデート 2021-10-28)より後にリリースされたエージェントバージョンでのみサポートされます。
Deep Security Agentでは、プロセス名にワイルドカードを使用します。プロセス名にプロセスへのフルパスが含まれる場合、パスでglobstar **
を使用するとプロセス名内の任意の数の追加文字に一致し、単一のアスタリスクまたはスター*
は現在のディレクトリ内の任意の数の追加文字に一致します。のみであり、?
は1文字に一致します。*
文字はディレクトリパス区切り文字(/
と\
)で検索を停止します。?
文字は、一致するディレクトリパス区切り文字に一致しません。ドライブ文字は、対象パス内の他の文字と同様に扱われ、照合する際の特別な意味はありません。
このプロパティは、ソフトウェア変更を作成するプロセスの名前を指定します。プロセス名には、ファイル名を含むプロセスの絶対パスを使用する必要があります。
ソフトウェア変更のプロセス名を確認するには
- Workload Securityの[ 処理 ]タブに移動します。
- ソフトウェア変更を検索して選択します。
プロセス名は、右側の[プロセスによる変更]の下に、その他の詳細とともに表示されます。
パス
パスプロパティにはファイル名を含めないでください。パスプロパティにファイル名を含めると、そのファイルが属する信頼ルールが意図したとおりに機能しないことがあります。
Deep Security Agent 20.0.0-5137では、パスにglobstar(**
)ワイルドカード機能が追加されています。パスでglobstar **
を使用すると、現在のディレクトリとそのサブディレクトリ内の任意の数の追加文字に一致します。単一のアスタリスクまたはスター*
は、現在のディレクトリ内の任意の数の追加文字にのみ一致し、?
は1文字。*
文字はディレクトリパス区切り文字(/
および\
)で検索を停止します。?
文字は、一致するディレクトリパス区切り文字に一致しません。ドライブ文字は、対象パス内の他の文字と同様に扱われ、照合する際の特別な意味はありません。
このプロパティは、信頼ルールに適用される対象パスを指定します。アプリケーションコントロール は、ソフトウェアの変更がすべてのサブディレクトリを含め、このプロパティに入力されたパス内で発生した場合に自動認証します。複数のパスをセミコロンで区切って設定できます。たとえば、「C:\ Windows \; C:\ Program Files \」のように指定します。
パスの値を入力するときは、パスの最後のスラッシュ(\
または /
)がどのディレクトリに含まれるかを考慮してください。
- 末尾がスラッシュのパスは、そのフルパスの下にあるすべてのサブディレクトリに一致します。たとえば、
C:\Windows\System\
would match any sub-directories in theSystem
ディレクトリです。 - 最後のスラッシュの後に指定された値は、正規表現のワイルドカードとして扱われ、特定のディレクトリおよび同じ値で始まる他のディレクトリに一致します。たとえば、
C:\Windows\System
には、「C:\Windows\System\」、「C:\Windows\System32\」、「C:\Windows\SystemApps`」など、「C:\Windows\System*」に一致するすべてのディレクトリとサブディレクトリが含まれます。
SHA-256
ソースからの許可ルールで使用する場合は、ソフトウェア変更を作成するソースプロセスのチェックサム(SHA-256)を指定します。対象別許可ルールで使用する場合は、ソフトウェア変更自体のチェックサム(SHA-256)です。
SHA256を見つけるには、次のいずれかを実行します。
Windows PowerShellから(ソースまたはターゲットの場合):
Windows PowerShellコマンドのGet-FileHashの手順に従います。
Workload Securityから(対象のみ):
Workload Securityの[ 処理 ]タブで、ソフトウェア変更を見つけて選択します。
SHA256が右側の[SHA256]の下に、その他の詳細とともに表示されます。
ベンダ
このプロパティ(現在Windowsでのみサポート)は、ソフトウェアベンダを指定します。
ベンダを見つけるには、次のいずれかを実行します。
ファイルエクスプローラから:
- プロセスまたはファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ(名前、変更日など)のいずれかを右クリックし、[ 詳細]を選択します。
- [ 会社名 ]チェックボックスをオンにし、[ OK]を選択します。
ベンダーが[ファイルエクスプローラ]ウィンドウに表示されます。
Workload Security:
Workload Securityの[ 処理 ]タブで、ソフトウェア変更を見つけて選択します。
ベンダは、右側の[ベンダ]の下にその他の詳細とともに表示されます。
製品名
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア製品名を指定します。
製品名を確認するには、次のいずれかを実行します。
ファイルのプロパティから:
- ファイルを含むディレクトリで、プロセスまたはファイルを右クリックし、[ プロパティ]を選択します。
- [詳細 ]タブで、「製品名」の値を確認します。
ファイルエクスプローラから:
- ファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ(名前、変更日など)のいずれかを右クリックし、[ 詳細]を選択します。
- [製品名]チェックボックスをオンにして、 OKを選択します。
[製品名]列に製品名が表示されます。
Workload Security:
Workload Securityの[ 処理 ]タブで、ソフトウェア変更を見つけて選択します。
製品名は、右側の[製品名]の下にその他の詳細とともに表示されます。
署名者名
ソースからの許可ルールで使用する場合は、ソフトウェア変更を作成するソースプロセスの署名者名を指定します。許可別の対象のルールで使用する場合は、対象ファイルに署名した証明書の署名者名です。
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書に署名した会社の名前を指定します。
証明書署名者名を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティを選択します。
- [ デジタル署名 ]タブの[ 署名リスト テーブルで署名者の名前を探します。
[署名者名]に署名者の名前が表示されます。
発行者の一般名
このプロパティ(現在Windowsでのみサポート)は、署名ソフトウェア証明書の発行者共通名(CN)を指定します。
発行者の一般名を確認するには、次の手順に従います。
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- デジタル署名 タブで、[署名リスト]に表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者の「CN」が「発行元」の下に表示されます。
発行者の組織単位
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行者の組織単位(OU)を指定します。
発行者の組織単位を見つけるには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者「OU」が表示されます。
発行者の組織
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行者の組織(O)を指定します。
発行元の組織を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者「O」が表示されます。
発行者の地域
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行元の地域(L)を指定します。
発行元の場所を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者「L」が表示されます。
発行者の都道府県
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行元の都道府県(S)を指定します。
発行者の都道府県を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者「S」が表示されます。
発行国
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行元の国(C)を指定します。
発行国を確認するには:
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細 ]を選択します。
- [ 証明書を表示 ]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者「C」が表示されます。
Linuxの信頼ルールプロパティの制限
Linuxで現在サポートされていない信頼ルールを追加すると、ルールはソフトウェアの変更に適用されなくなります。
次の信頼ルールのプロパティは、現在Linuxでは現在サポートされていません
- 署名者名
- 製品名
- 発行者の一般名
- 発行者の組織単位
- 発行者の組織
- 発行者の地域
- 発行者の都道府県
- 発行国
- ベンダ
Linuxでは現在、次の信頼ルールのプロパティのみがサポートされています。
- プロセス名
- パス
- SHA-256