このページのトピック
アプリケーションコントロール 信頼エンティティ
現在、一部の信頼ルールプロパティはサポートされるWindowsプラットフォームのAgentにのみ適用され、Linuxではまだ使用できません。詳細については、「 信頼ルールのプロパティのLinuxの制限」を参照してください。
信頼ルールセットのAPIドキュメントを参照できます。
信頼エンティティ機能は、 信頼ルールセットに割り当てられた 信頼ルール のプロパティに一致するソフトウェア変更を自動認証します。各信頼ルールには、ソフトウェアの変更を自動認証するためのパラメータを定義する1つ以上の プロパティ が含まれます。
エンティティの信頼機能を使用すると、Agentでのソフトウェアの変更を事前に自動承認できるため、 Workload Securityに送信されるソフトウェア変更イベントの数を減らすことができます。たとえば、OSを定期的にアップデートするAgentは、パッチが適用されるたびに新しいソフトウェアの変更をいくつか作成します。適切な信頼ルールを構成してそれらのAgentに適用することにより、Agentのソフトウェア変更を自動承認し、 Workload Security処理 タブから、または アプリケーションコントロール セキュリティイベントとして手動で管理する必要をなくすことができます。
信頼エンティティを使用してソフトウェアの変更を自動承認するには、信頼ルールを設定し、それらを信頼ルールセット に割り当て、そして ルールセットの割り当てをポリシーまたはコンピュータに割り当てる必要があります。
エンティティの信頼機能で自動認証されないソフトウェアの変更を許可またはブロックする方法については、「 アプリケーションコントロールソフトウェアのルールセットを表示および変更する」を参照してください。
このドキュメント全体で、「ソース」はソフトウェア変更を作成するプロセスを指し、「ターゲット」はソフトウェア変更自体を指す場合に使用します。
信頼ルールセット
信頼ルールセットは、1つ以上のユーザ設定の 信頼ルールで構成されます。場合信頼ルールセットを割り当てるのポリシーまたはコンピュータにWorkload Security、そのルールセットに含まれるルールが関連するワークロードに適用され、そのルールプロパティの要件を満たすソフトウェアの変更が自動的に承認されます。
信頼ルールセットを作成する
新しい信頼ルールセットを作成するには、次のいずれかを実行します。
Workload Security Policies タブで次の操作を実行します。
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択します。
- [ Trust ]セクションで、[ New]を選択します。
- [ New ]ウィンドウで、新しいルールセットの名前を入力し、必要に応じて説明を入力します。
- リストから1つ以上の信頼ルールを選択して、信頼ルールセットに割り当てます。
- [ OK]をクリックします。
割り当てたルールを含む信頼ルールセットが作成されます。
Workload Security Computers または[ Policies ]タブで、次の操作を実行します。
- コンピューターまたはポリシーをダブルクリックします(または右クリックして[ 詳細]を選択します)。
- [ アプリケーションコントロール ] に移動し、[設定] が[ オン ]または[ 継承 (オン)] に設定されていることを確認します。
- [信頼ルールセット] リストで [新規] を選択します。
![コンピュータまたはポリシーのプロパティページで [信頼するエンティティ] ドロップダウンリストから [新規] を選択](../img/application-control-trust-entities-newrulesetcomputerpolicy.png)
- [ 新しいルールセット ]ウィンドウで、新しいルールセットの名前を入力し、必要に応じて説明を入力します。
![[新規ルールセット] ウィンドウ](../img/application-control-trust-entities-newruleset.png)
{.zoom} - リストから1つ以上の信頼ルールを選択して信頼ルールセットに割り当て、 [保存 ] をクリックして、割り当てたルールを含む信頼ルールセットを作成します。
- 必要に応じて、[ 保存] をクリックして、新しい信頼ルールセットをコンピュータまたはポリシーに割り当てます。
信頼ルールセットを最初から作成する代わりに、信頼エンティティ管理画面 ( [ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]) で [ 複製] をクリックして既存のルールセットのコピーを作成し、必要に応じて設定することができます。
信頼ルールセットの割り当てまたは割り当て解除
信頼ルールセットを割り当てるには
- Workload Securityの Computers または [Policies] タブで、コンピュータまたはポリシーをダブルクリックします(または右クリックして [詳細] を選択します)。
- [ アプリケーションコントロール ] に移動し、 [ 設定 ]が[ オン ]または[ 継承 (オン)] に設定されていることを確認します。
- リストから 信頼ルールセット を選択します。
{.zoom} - [ 保存] をクリックします。
これで、選択した信頼ルールセットがコンピュータまたはポリシーに割り当てられました。
信頼ルールセットの割り当てを解除するには:
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ] の順に選択し、信頼ルールセットを選択します。
- 右側に表示される[信頼ルールセットのプロパティ]画面で、[割り当て]の横にある数字を選択します。
- [割り当て先]画面で、コンピュータまたはポリシーを選択します。
- コンピュータまたはポリシー画面の[ アプリケーションコントロール ]タブで、[信頼するルールセット]ドロップダウンリストから[なし]を選択してルールセットの割り当てを解除します。
- [ 保存] をクリックします。
信頼ルールセットがコンピュータまたはポリシーに割り当てられていません。
信頼ルールセットを削除する
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択します。
- [ 信頼ルールセット ]セクションで、削除するルールセットを選択し、[ 削除] を選択します。
-
[ルールセットの削除] 確認ダイアログで、[ OK ] をクリックします。
信頼ルールセットが削除されます。
信頼ルールセットが現在コンピュータまたはポリシーに継承されているか、コンピュータまたはポリシーに割り当てられている場合は削除できません。信頼ルールセット を削除する前に、割り当てを解除する必要があります。
信頼ルール
信頼ルールには、 アプリケーションコントロールによって自動承認されるソフトウェアの変更を決定する1つ以上のプロパティが含まれます。信頼ルールのプロパティに一致するソフトウェアの変更は自動承認され、 Workload Securityにイベントは作成されません。
空の信頼ルールプロパティはすべてワイルドカードとして扱われます。これにより、信頼ルールをカスタマイズする方法が自由になりますが、システムのセキュリティに影響する可能性もあります。システムのセキュリティを最大化し、不要なソフトウェアの変更が許可されないようにするには、信頼ルールを作成するときにできるだけ多くのプロパティを入力してください。信頼ルールがセキュリティに与える影響がよくわからない場合は、システムのセキュリティについて十分な知識がある人に確認するか、信頼ルールセットに追加する前にトレンドマイクロに問い合わせてください。
信頼ルールの種類
ソースによる無視ルールで使用される場合、プロセス名プロパティは、20.0.0.3288(20 LTSアップデート2021-10-28)より後にリリースされたAgentバージョンでのみサポートされます。
- ソースから許可 ルールは、特定のプロパティを持つプロセスにソフトウェア変更を作成することを自動承認します。
- 対象別に許可 ルールは、特定のプロパティに一致するすべてのソフトウェア変更を自動承認します。
- ソースから無視ルールでは、特定の[プロセス名] (../application-control-trust-entities#process-name) または特定の パス 内、またはその両方で行われたソフトウェアの変更が無視されます。
ソースから許可ルールによってソフトウェアの変更が自動承認されるたびに、変更が発生したAgentのローカルインベントリにエントリが追加されます。これは、ソースから無視ルールでは発生しません。
信頼ルールを作成する
- [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択します。
- [ 信頼ルール ]セクションで、[ New] を選択し、リストから [信頼ルールの種類] (../application-control-trust-entities#types-of-trust-rules) のいずれかを選択します。
- [ 新しいルール ]ウィンドウで、新しいルールの名前と (オプションで) 説明を入力します。
-
[プロパティの追加] リストからプロパティを選択して、新しいルールに追加します。
-
表示されたフィールドにプロパティの値を入力します。
-
必要に応じて、手順4と5を繰り返して、この信頼ルールにプロパティを追加します。
- [ OK]をクリックします。
新しい信頼ルールが作成され、信頼ルールセットに割り当てる準備ができました。
信頼ルールのプロパティ値の設定については、「 信頼ルールのプロパティの種類」を参照してください。
信頼ルールを選択し ([ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ] )、[割り当て/割り当て解除] を使用して、この信頼ルールを含める信頼ルールセットを定義します。これは、多数のルールセットに新しいルールをすばやく割り当てたり割り当て解除したりする場合に特に便利です。
信頼ルールのプロパティを変更する
-
[Workload Security] の [信頼するエンティティ] タブ ([ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼するエンティティ]) でルールを選択し、[編集] を選択 (またはルールをダブルクリック) します。
-
[ルールの編集] ウィンドウで、次のいずれかを実行します。
- 新しいプロパティを追加するには、 [プロパティの追加] リストからプロパティを選択し、その値を入力します。
- 既存のプロパティを編集するには、そのフィールドの値を変更します。
- 既存のプロパティを削除するには、[ 削除]を選択します。
- [ OK]を選択します。
信頼ルールを削除する
- Workload Security [信頼エンティティ ]タブ([[Policies]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]])でルールを選択し、[ 削除の削除]を選択します。
-
[ ルールの削除 ] ダイアログで [OK] をクリックして、削除を確定します。
いずれかの信頼ルールセットに現在割り当てられている信頼ルールを削除すると、次の警告メッセージが表示されて自動的に割り当てが解除されます。
信頼ルールのプロパティの種類
信頼ルールに含まれるプロパティと値は、そのルールによって自動承認されるソフトウェア変更を定義します。次のセクションでは、信頼ルールの設定に使用できる信頼ルールのプロパティの種類について、プロパティ値の設定に必要な情報を見つけるための手順を含めて説明します。
プロセス名
ソースからの無視ルールで使用する場合、プロセス名プロパティは、20.0.0.3288(20 LTSアップデート 2021-10-28)より後にリリースされたAgentバージョンでのみサポートされます。
Deep Security Agentでは、プロセス名にワイルドカードを使用します。プロセス名にプロセスへのフルパスが含まれる場合、パスでglobstar ** を使用するとプロセス名内の任意の数の追加文字に一致し、単一のアスタリスクまたはスター*は現在のディレクトリ内の任意の数の追加文字に一致します。のみであり、?は1文字に一致します。*文字はディレクトリパス区切り文字(/と\)で検索を停止します。?文字は、一致するディレクトリパス区切り文字に一致しません。ドライブ文字は、対象パス内の他の文字と同様に扱われ、照合する際の特別な意味はありません。
このプロパティは、ソフトウェア変更を作成するプロセスの名前を指定します。プロセス名には、ファイル名を含むプロセスの絶対パスを使用する必要があります。
ソフトウェア変更のプロセス名を確認するには
- Workload Securityの[ 処理 ]タブに移動します。
- ソフトウェア変更を検索して選択します。
プロセス名は、他の詳細とともに [プロセスによる変更] の下の右側に表示されます。
パス
パスプロパティにはファイル名を含めないでください。そうしないと、それが属するトラストルールが意図したとおりに機能しない可能性があります。
Deep Security Agent 20.0.0-5137では、パスにglobstar(**)ワイルドカード機能が追加されています。パスでglobstar ** を使用すると、現在のディレクトリとそのサブディレクトリ内の任意の数の追加文字に一致します。単一のアスタリスクまたはスター*は、現在のディレクトリ内の任意の数の追加文字にのみ一致し、?は1文字。*文字はディレクトリパス区切り文字(/および\)で検索を停止します。?文字は、一致するディレクトリパス区切り文字に一致しません。ドライブ文字は、対象パス内の他の文字と同様に扱われ、照合する際の特別な意味はありません。
このプロパティは、信頼ルールに適用される対象パスを指定します。すべてのサブディレクトリを含む、このプロパティに入力されたパス内で発生したソフトウェアの変更は、アプリケーションコントロールによって自動的に承認されます。セミコロンで区切って複数のパスを設定できます。例: C:\Windows\;C:\Program Files\
パスの値を入力するときは、パスの最後のスラッシュ(\ または /)がどのディレクトリに含まれるかを考慮してください。
- 末尾がスラッシュのパスは、そのフルパスの下にあるすべてのサブディレクトリに一致します。たとえば、
C:\Windows\System\would match any sub-directories in theSystemディレクトリです。 - 最後のスラッシュの後に指定された値は、正規表現のワイルドカードとして扱われ、特定のディレクトリおよび同じ値で始まる他のディレクトリに一致します。たとえば、
C:\Windows\Systemには、「C:\Windows\System\」、「C:\Windows\System32\」、「C:\Windows\SystemApps`」など、「C:\Windows\System*」に一致するすべてのディレクトリとサブディレクトリが含まれます。
SHA-256
ソースからの許可ルールで使用する場合は、ソフトウェア変更を作成するソースプロセスのチェックサム(SHA-256)を指定します。対象別許可ルールで使用する場合は、ソフトウェア変更自体のチェックサム(SHA-256)です。
SHA256を見つけるには、次のいずれかを実行します。
Windows PowerShellから(ソースまたはターゲットの場合):
Windows PowerShellコマンドのGet-FileHashの手順に従います。
Workload Securityから(対象のみ):
Workload Securityの[ 処理 ]タブで、ソフトウェア変更を見つけて選択します。
SHA256が右側の[SHA256]の下に、その他の詳細とともに表示されます。
ベンダ
このプロパティは現在Windowsでのみサポートされており、ソフトウェアのベンダを指定します。
ベンダを見つけるには、次のいずれかを実行します。
ファイルエクスプローラから:
- プロセスまたはファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ(名前、変更日など)のいずれかを右クリックし、[ 詳細]を選択します。
- [ 会社名 ]チェックボックスをオンにし、[ OK]を選択します。
ベンダーが[ファイルエクスプローラ]ウィンドウに表示されます。
Workload Security:
Workload Securityの[ 処理 ]タブで、ソフトウェア変更を見つけて選択します。
ベンダは、右側の[ベンダ]の下にその他の詳細とともに表示されます。
製品名
このプロパティは現在Windowsでのみサポートされており、ソフトウェア製品名を指定します。
製品名を確認するには、次のいずれかを実行します。
ファイルのプロパティから:
- ファイルを含むディレクトリで、プロセスまたはファイルを右クリックし、[ プロパティ]を選択します。
- [詳細 ]タブで、「製品名」の値を確認します。
ファイルエクスプローラから:
- ファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ(名前、変更日など)のいずれかを右クリックし、[ 詳細]を選択します。
- [製品名]チェックボックスをオンにして、 OKを選択します。
[製品名]列に製品名が表示されます。
Workload Security:
Workload Securityの[ 処理 ]タブで、ソフトウェア変更を見つけて選択します。
製品名は、右側の[製品名]の下にその他の詳細とともに表示されます。
署名者名
ソースからの許可ルールで使用する場合は、ソフトウェア変更を作成するソースプロセスの署名者名を指定します。許可別の対象のルールで使用する場合は、対象ファイルに署名した証明書の署名者名です。
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書に署名した会社の名前を指定します。
証明書署名者名を確認するには
- プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
- [デジタル署名] タブの [署名リスト] テーブルで署名者の名前を探します。
署名者名は、 [署名者名]の下に表示されます。
発行者の一般名
このプロパティは現在Windowsでのみサポートされており、署名するソフトウェア証明書の発行者の共通名 (CN) を指定します。
発行者の一般名を確認するには、次の手順に従います。
- プロセスまたはファイルを右クリックし、[プロパティ] を選択します。
- [ デジタル署名 ] タブで、署名リストに最初に表示される証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に発行者のCNが含まれている場合は、 発行者の下に表示されます。
発行者の組織単位
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の組織単位 (OU) を指定します。
発行者の組織単位を見つけるには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者のOUが表示されます。
発行者の組織
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者組織 (O) を指定します。
発行元の組織を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者Oが表示されます。
発行者の地域
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の地域 (L) を指定します。
発行元の場所を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者Lが表示されます。
発行者の都道府県
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の都道府県 (S) を指定します。
発行者の都道府県を確認するには
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細]を選択します。
- [ 証明書を表示]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者Sが表示されます。
発行国
このプロパティ(現在Windowsでのみサポート)は、ソフトウェア証明書の発行元の国(C)を指定します。
発行国を確認するには:
- プロセスまたはファイルを右クリックし、[ プロパティ ]を選択します。
- [ デジタル署名 ]タブで、署名リストに表示される最初の証明書を選択します。
- 証明書を選択し、[ 詳細 ]を選択します。
- [ 証明書を表示 ]を選択します。
- [ 詳細 ]タブに移動し、[ 発行者 ]フィールドを選択します。
証明書に含まれている場合は、発行者Cが表示されます。
Linuxの信頼ルールプロパティの制限
Linuxで現在サポートされていない信頼ルールを追加すると、ルールはソフトウェアの変更に適用されなくなります。
次の信頼ルールのプロパティは、現在Linuxでは現在サポートされていません
- 署名者名
- 製品名
- 発行者の一般名
- 発行者の組織単位
- 発行者の組織
- 発行者の地域
- 発行者の都道府県
- 発行国
- ベンダ
Linuxでは現在、次の信頼ルールのプロパティのみがサポートされています。
- プロセス名
- パス
- SHA-256