イベントベースタスクを使用して、保護対象のコンピュータの特定のイベントを監視し、特定の条件に基づいてタスクを実行できます。

イベントベースタスクを作成する

Workload Securityで、[管理][イベントベースタスク][新規]の順にクリックして、新しいタスクを作成するための手順を含む一連のダイアログを開きます。タスクの種類に応じて、さまざまな情報の入力を求められます。

既存のイベントベースタスクを編集または停止する

既存のイベントベースのタスクのプロパティを変更するには、[管理][イベントベースタスク]をクリックします。リストからイベントベースのタスクを選択し、[プロパティ]をクリックします。

監視するイベント

  • [Agentからのリモート有効化:] エージェントはエージェント開始型のアクティベーションを使用してアクティベートされます。
  • [IPアドレスの変更:] コンピュータが異なるIPの使用を開始しました。

条件

特定の一致条件を満たすことをタスクの実行条件とすることができます。例えば、[コンピュータの有効化]アクション (アクションを参照) がAmazon EC2インスタンスで発生するためには、AWSタグProductionSystemが存在することを要求することができます。
条件を追加する場合:
  • 複数の条件を追加するには、プラスボタンをクリックします。複数条件設定では、処理を実行するにはすべての条件が満たされている必要があります。
  • Javaの正規表現構文 (regex) を使用します。regexの詳細については、クラスパターンを参照してください。以下の表はJavaのregexの例を示しています。
    一致させる値:
    正規表現:
    任意の文字列 (空の文字列は不可)
    .+
    空の文字列 (文字なし)
    ^$
    Folder Alpha
    Folder\ Alpha
    FIN-1234
    FIN-\d+ または FIN-.*
    RD-ABCD
    RD-\w+ または RD-.*
    ABまたはABCまたはABCCCCCCCCCC
    ABC*
    Microsoft Windows 2003 または Windows XP
    .*Windows.*
    Red Hat 7またはSome_Linux123
    .*Red.*|.*Linux.*|
次の条件が利用可能です。
  • クラウドインスタンスのイメージID: AWSクラウドインスタンスAMI ID。この一致条件はAWSクラウドインスタンスでのみ利用可能です。
  • [クラウドインスタンスのメタデータ:] 一致するメタデータは、AWSタグAzureタグ、またはGCPラベルであり、これらはあなたのAWS、Azure、またはGCPインスタンスに追加されています。
    この一致条件は、[コンピュータ][追加][AWSアカウントの追加][コンピュータ][追加][Azure アカウントの追加]、または[コンピュータ][追加][GCP アカウントの追加]を通じてDeep Security Managerに追加されたAWSインスタンス、Azure VM、およびGCP VMに利用可能です。現在コンピュータに関連付けられているメタデータは、その編集ウィンドウの[概要]ページに表示されます。一致する条件を定義するには、メタデータキーとメタデータ値の2つの情報を提供する必要があります。例えば、AlphaFunctionという名前のメタデータキーを持ち、値がDServerであるコンピュータに一致させるには、AlphaFunctionとDServerを入力します。複数の条件に一致させたい場合は、正規表現を使用してAlphaFunctionと.*Server、またはAlphaFunctionとD.*を入力することができます
  • クラウドインスタンスのセキュリティグループ名: クラウドインスタンスが適用されるセキュリティグループ。この一致条件はAWSクラウドインスタンスにのみ利用可能です。
  • クラウドアカウント名: [クラウドアカウント]プロパティウィンドウの[表示名]フィールド。
  • クラウドベンダ: インスタンスのクラウド環境ベンダー。この条件は特定のクラウドベンダーからのインスタンスに一致させるために使用されます。
    [クラウドベンダ]は、[コンピュータ][追加][AWSアカウントの追加][コンピュータ][追加][Azure アカウントの追加]、または[コンピュータ][追加][GCP アカウントの追加]を通じてクラウドインスタンスをマネージャに追加した場合にのみ機能します。
  • コンピュータ名: コンピュータのプロパティウィンドウ内の[Hostname]フィールド。
  • GCPネットワークタグ: GCP VMに追加されたネットワークタグ。GCP VMが複数のGCPネットワークタグを持っている場合、そのうちのいずれかが一致すると、VMは一致したと見なされます。
  • プラットフォーム: コンピュータのOS。
新しいコンピュータのソースによっては、一部のフィールドが使用できない場合があります。たとえば、Active Directoryとの同期の結果として追加されたコンピュータでは、プラットフォームを使用できません。

処理

検出されたイベントに応じて、次の処理が実行されます
  • [コンピュータの有効化:] Workload Security保護がコンピュータで有効になっています。
    • [有効化の遅延 (分):]のアクティベーションは指定された分数だけ遅延しています。
  • [コンピュータの無効化:] Workload Security保護がコンピュータで無効化されています。
  • [ポリシーの割り当て:] 新しいコンピュータには自動的にポリシーが割り当てられます。コンピュータは最初にアクティベートされる必要があります。
  • [Relayグループの割り当て:] 新しいコンピュータは、セキュリティ更新を受け取るためのリレーグループに自動的に割り当てられます。
  • [コンピュータグループへの割り当て:] コンピュータは[コンピュータ]ページのコンピュータグループの1つに配置されています。

実行順序

イベントベースのタスクを使用する場合は、各タスクに固有の条件を作成して使用する必要があります。これは、同一の条件が検出された場合、 Workload Securityは特定の順序でそれらを処理します。この順序では、タスク内の条件の数を考慮せずに、それらのタスクを互いにランク付けするためです。
たとえば、Windows Server 2012プラットフォーム上のserver01.example.comコンピュータで次のイベントベースのタスクが発生したとします。
event-based-tasks=7d177f29-4623-4af0-b364-9f3c8a451e31.png
より多くの条件を含むイベントベースタスクが最初に自動的に実行されることはありません。代わりに、プラットフォーム条件が2回一致し、タスクの名前に基づいてイベントベースのタスクが実行されます。
予期しない結果を回避するには、イベントベースのタスク(CamelCaseなど)に固有の命名規則を使用してください。

イベントベースタスクを一時的な無効にする

既存のイベントベースのタスクの実行を防ぐには、右クリックして[無効化]をクリックします。例えば、特定の管理業務を行っている間に活動が発生しないように、イベントベースのタスクを一時的に無効にしたい場合があります。
イベントベースのタスクを再度有効にするには、右クリックして[有効化]をクリックします。