エージェントバージョン10.0以降を実行しているコンピュータでアプリケーションコントロールを有効にすることができます。アプリケーションコントロールがサポートされているオペレーティングシステムの一覧については、プラットフォーム別のサポート機能を参照してください。
アプリケーションコントロールは、保護対象サーバのソフトウェアの変更を継続的に監視し、ソフトウェアのルールセット、グローバルルールセット、および信頼エンティティのコンピュータとポリシーの設定に基づいて、施行設定に基づいてそれらのサーバを許可またはブロックします。
  • アプリケーションコントロールの適用設定 (ポリシーまたはコンピュータの[アプリの管理]タブ内) では、明示的に許可されるまで未認識のソフトウェアをブロックするか、明示的にブロックされるまで未認識のソフトウェアを許可するかを設定できます。どちらのオプションを選択するかは、環境に対する管理レベルに依存します。
  • ソフトウェアルールセットのルールは、ソフトウェアの実行を許可するかブロックします。ソフトウェアの変更がWorkload Security[処理]ページまたはアプリケーションコントロールイベント ([イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント]) から明示的に許可またはブロックされると、割り当てられたソフトウェアルールセットに更新されます。
  • APIを使用すると、グローバルルールにより、保護されているすべてのコンピュータに適用できるブロックルールを強制および追跡できます。
  • 信頼エンティティを使用すると、事前定義されたプロパティに基づいて特定のソフトウェア変更を自動承認する信頼ルールを設定でき、[処理]ページまたはアプリケーションコントロール[セキュリティイベント]ページ ([イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント]) で手動で許可またはブロックする必要があるエントリを回避できます。これはWorkload Securityで行われます。
ソフトウェアが新しいか、または変更されているかを判断するために、エージェントはファイルのSHA-256ハッシュおよびファイルサイズを、最初にインストールされたSHA-256ハッシュおよびファイルサイズと比較します。
APIを使用してアプリケーションコントロールの作成と構成を自動化できます。詳細については、アプリケーションコントロールの構成を参照してください。

ソフトウェアルールセットの主要概念 親トピック

ソフトウェアルールセットの主な概念は次のとおりです。
[ターゲット保護状態:] アプリケーションコントロールを設定する際に重要な決定の一つは、対象とする保護状態を決めることです。新しいまたは変更されたソフトウェアが実行されるのを防ぎたいですか、それとも手動で許可を指定しない限り実行されるようにしますか?一つのアプローチとして、アプリケーションコントロールを初めて有効にした際に未認識のソフトウェアが多い場合は、未認識のソフトウェアを実行できるようにすることがあります。アプリケーションコントロールのルールを追加し、未認識のソフトウェアの量が減少したら、ブロックモードに切り替えることができます。
[ソフトウェアルールセットルール:]ルールは、特定のコンピュータでソフトウェアが許可されるかブロックされるかを指定します。
[インベントリ:] コンピュータにインストールされているソフトウェアの初期リスト。許可したいソフトウェアのみがコンピュータにインストールされていることを確認してください。アプリケーションコントロールを有効にすると、現在インストールされているすべてのソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。コンピュータがメンテナンスモードの場合、コンピュータに加えられたソフトウェアの変更はコンピュータのインベントリに追加され、実行が許可されます。コンピュータのソフトウェアインベントリリストはエージェントに保存され、Workload Securityコンソールには表示されません。
[承認されていないソフトウェア:] コンピュータのインベントリに含まれておらず、アプリケーションコントロールのルールで既にカバーされていないソフトウェアです。アプリケーションコントロールはどのようなソフトウェアの変更を検出しますか?を参照してください
[メンテナンスモード:] ソフトウェアをインストールまたは更新する予定がある場合は、メンテナンスモードをオンにする必要があります。メンテナンスモードでは、アプリケーションコントロールはアプリケーションコントロールルールによって特にブロックされているソフトウェアを引き続きブロックしますが、新しいまたは更新されたソフトウェアの実行を許可し、それをコンピュータのインベントリリストに追加します。計画的な変更を行う際にメンテナンスモードをオンにするを参照してください。
ソフトウェアのルールセットを使用して手動で許可またはブロックする数を減らすために、ソフトウェアの変更を自動承認する方法については、信頼エンティティを参照してください。

アプリケーションコントロールソフトウェアルールセットの仕組み 親トピック

ac-flow=ccbf5ab4-bae6-4e32-bb92-dcf0819fe010.png
  1. ポリシーでアプリケーションコントロールを有効にし、エージェントによって保護されているコンピュータにポリシーを割り当てます (アプリケーションコントロールをオンにするを参照)。
  2. エージェントはポリシーを受信すると、コンピュータにインストールされているすべてのソフトウェアのインベントリを作成します。インベントリに記載されているすべてのソフトウェアは安全であるとみなされ、そのコンピュータで実行できるようになります。このインベントリリストは、 Workload Security コンソールからは表示されません。したがって、アプリケーション制御を有効にするコンピュータに適切なソフトウェアのみがインストールされていることを確認する必要があります。
  3. インベントリの作成後、アプリケーションコントロールでコンピュータのあらゆるソフトウェア変更が認識されます。ソフトウェア変更により、新しいソフトウェアがコンピュータに表示されたり、既存のソフトウェアに変更が加えられたりします。
  4. コンピュータがメンテナンスモードの場合、エージェントはソフトウェアをインベントリに追加し、実行が許可されます。この変更はWorkload Securityコンソールには表示されません。計画的な変更を行う際は、メンテナンスモードをオンにするを参照してください。
  5. 信頼できるインストーラーによって変更が行われた場合、エージェントはソフトウェアをインベントリに追加し、実行を許可します。例えば、Microsoft Windowsがコンポーネントの更新を自動的に開始すると、数百の新しい実行ファイルがインストールされることがあります。アプリケーションコントロールは、よく知られたWindowsプロセスによって作成された多くのファイル変更を自動的に承認し、これらの変更をWorkload Securityコンソールに表示しません。予期されるソフトウェア変更に関連する「ノイズ」を取り除くことで、注意が必要な変更をより明確に把握することができます。
    信頼済みインストーラ機能は、エージェントバージョン10.2以降で使用できます。
  6. コンピュータのソフトウェアルールセットにこのソフトウェアに対するルールが含まれている場合、そのルールに従ってソフトウェアが許可またはブロックされます。アプリケーションコントロールはソフトウェアの変更をどのように検出しますか?をご覧ください
  7. ソフトウェアがコンピュータのインベントリにない場合に、既存のルールで保護されていないソフトウェアは、認識されないソフトウェアとみなされます。コンピュータに割り当てられたポリシーでは、承認されていないソフトウェアの処理方法を指定します。ポリシー設定に応じて、実行が許可またはブロックされます。ソフトウェアがブロックされ、OSにエラーメッセージを表示できる場合、そのソフトウェアの実行が許可されない、またはアクセスが拒否されたことを示すエラーメッセージが保護対象のコンピュータに表示されます。
    認識されていないソフトウェアは、Workload Securityコンソールの[アプリケーションコントロール: ソフトウェア変更]ページに表示されます。そのページで、管理者は特定のコンピュータ上のそのソフトウェアに対して許可またはブロックのルールを作成するために[許可]または[ブロック]をクリックできます。許可またはブロックのルールは、ポリシーで指定されたデフォルトのアクションよりも優先されます。新しいソフトウェアと変更されたソフトウェアをモニタを参照してください。

アプリケーションコントロールインタフェース 親トピック

アプリケーションコントロール: ソフトウェア変更 ([処理]) 親トピック

ac-actions=74c5842c-521a-4a6b-8564-8331c64e5913.png
[アプリケーションコントロール: ソフトウェア変更]ページは、Workload Securityコンソールで[処理]をクリックすると表示されます。このページには、コンピュータのインベントリにない、または対応するアプリケーションコントロールルールがないすべての未認識のソフトウェアが表示されます。ソフトウェアの変更はコンピュータレベルで許可またはブロックされるため、特定のソフトウェアが50台のコンピュータにインストールされている場合、そのページには50回表示されます。しかし、特定のソフトウェアをどこでも許可またはブロックする必要があるとわかっている場合は、[処理]ページをフィルタリングしてファイルハッシュで変更を並べ替え、[すべて許可]をクリックして、そのソフトウェアがインストールされているすべてのコンピュータで許可することができます。
コンピュータに適用されるポリシーは、すべての未認識のソフトウェアをデフォルトで実行するか、すべての未認識のソフトウェアをブロックするかを指定しますが、[処理]ページで[許可]または[ブロック]をクリックするまで、明示的なアプリケーションコントロールルールは作成されません。[許可]または[ブロック]をクリックすると、[ポリシー][共通オブジェクト][ルール][アプリケーションコントロールルール][ソフトウェアルールセット]の下でコンピュータのソフトウェアルールセットに対応するルールが表示されます。

アプリケーションコントロールソフトウェアルールセット 親トピック

application-control-policies-rulesets=8792ee0a-f623-4541-8e12-02ef14862bf8.png
コンピュータのソフトウェアルールセットを確認するには、[ポリシー][共通オブジェクト][ルール][アプリケーションコントロールルール][ソフトウェアルールセット]に移動します。ルールセットの一部であるルールを確認するには、ルールセットをダブルクリックして[ルール]タブに移動します。[ルール]タブには、ルールが関連付けられているソフトウェアの一覧が表示され、許可ルールをブロックに変更したり、その逆を行ったりすることができます。

セキュリティイベント 親トピック

ac-security-events=ae6d08d0-9334-4bf1-8d71-8c7e31311672.png
[イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント] には、コンピュータ上で実行されたか、ブロックルールによって実行が禁止されている、認識されていないソフトウェアがすべて表示されます。このリストは、期間やその他の条件でフィルタできます。
各イベント (集約されたイベントを除く) について、[ルールの表示]をクリックして、ルールを許可からブロックまたはその逆に変更できます。エージェントバージョン10.2以降には、同じイベントが繰り返し発生する際にログの量を減らすためのイベント集約ロジックが含まれています。

アプリケーションコントロール信頼エンティティ 親トピック

[ポリシー][共通オブジェクト][ルール][アプリケーションコントロールルール][信頼エンティティ]は、ソフトウェアの変更を自動承認するために構成できる信頼ルールセットと信頼ルールを表示します。詳細については、アプリケーションコントロール信頼エンティティを参照してください。

アプリケーションコントロールで検出されるソフトウェア変更 親トピック

すべてのファイルを監視する変更監視とは異なり、アプリケーションコントロールで初期インストールの調査時と変更の監視時に確認されるのはソフトウェアファイルのみです。
ソフトウェアには次のものも含まれます。
  • Windowsアプリケーション (.exe.com.dll.sys)、Linuxライブラリ (.so) およびその他のコンパイル済みバイナリとライブラリ。
  • Java .jarファイルと.classファイル、およびその他のコンパイルされたバイトコード。
  • PHP、Python、シェルスクリプト、および実行時に解釈またはコンパイルされるその他のWebアプリやスクリプト。
  • Windows PowerShellスクリプト、バッチファイル (.bat)、およびその他のWindows固有のスクリプト (.wsf.vbs.js)。
たとえば、WordPressとそのプラグイン、Apache、IIS、nginx、Adobe Acrobat、app.war/usr/bin/sshは、いずれもソフトウェアとして検出されます。
アプリケーションコントロールは、ファイルの拡張子を確認してスクリプトかどうかを判定します。またLinuxでは、実行権限のあるファイルはスクリプトとみなされます。
Windowsコンピュータでは、ローカルのファイルシステム上の変更はアプリケーション制御によって追跡されますが、ネットワーク上の場所、CDまたはDVDドライブ、またはUSBデバイス上では変更されません。
アプリケーションコントロールはカーネル (Linuxコンピュータ) およびファイルシステムに統合されているため、ルートまたは管理者アカウントでインストールされたソフトウェアを含め、コンピュータ全体を監視する権限があります。監視対象は、ソフトウェアファイルに対するディスク上の書き込みアクティビティとソフトウェアの実行です。