目次

コンピュータの追加または変更時にタスクを自動的に実行する(イベントベースのタスク)

イベントベースタスクを使用して、保護対象のコンピュータの特定のイベントを監視し、特定の条件に基づいてタスクを実行できます。

イベントベースタスクを作成する

Workload Securityで、[ 管理]→[ イベントベースタスク ]→[新規]の順にクリックします。表示されるウィザードの手順に従って、新しいタスクを作成します。タスクの種類によって、入力を求められる情報が異なります。

既存のイベントベースタスクを編集または停止する

既存のイベントベースタスクのプロパティを変更するには、[管理]→[イベントベースタスク] をクリックします。リストからイベントベースタスクを選択し、[プロパティ] をクリックします。

監視できるイベント

  • コンピュータが作成されました (システム別): Active Directoryまたはクラウドプロバイダアカウントとの同期中にコンピュータがマネージャに追加されています。
  • コンピュータの移動 (システムによる): 1台のESXi内のvApp間での仮想マシンの移動。またはデータセンター間、あるいはESXi間 (非管理対象ESXiサーバからVirtual Applianceを実行する管理対象ESXiサーバへの移動を含む) でのESXi上の仮想マシンの移動。
  • エージェント起動によるアクティベーション: エージェントは、エージェント起動アクティベーションを使用してアクティベーションを実行します。
  • IPアドレスが変更されました: コンピュータが別のIPアドレスを使用し始めました。

条件

タスクを実行するために特定の一致条件が満たされるように要求できます。たとえば、 の[コンピュータのアクティベート] 処理(下記の の処理を参照)を実行するために、Amazon EC2インスタンスに ProductionSystem のAWSタグが必要になることがあります。

条件を追加する場合:

  • 複数の条件を追加するには、[+]ボタンをクリックします。複数条件のセットアップでは、処理を実行するにはすべての条件を満たす必要があります。
  • Javaの正規表現構文(正規表現)を使用します。正規表現の使い方の例を次の表に示します。正規表現の詳細については、https://docs.oracle.com/javase/6/docs/api/java/util/regex/Pattern.htmlを参照してください。

それぞれの条件と説明のリスト

  • クラウドインスタンスのイメージID:AWSクラウドインスタンスのAMI ID。

この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。

  • クラウドインスタンスメタデータ: 一致するメタデータは、AWS、Azure、またはGCPインスタンスに追加された AWSタグAzureタグ、または GCPラベル に対応します。

この一致条件は、 の[コンピュータ]→[追加]→ [ AWSアカウントの追加 Azureアカウントの追加 または GCPアカウントの追加 ]からマネージャーに追加されたAWSインスタンス、Azure VM、およびGCP VMでのみ使用できます。コンピュータに現在関連付けられているメタデータが、エディタ画面の [概要] 画面に表示されます。照合する条件を定義するには、メタデータキーとメタデータの2つの情報を指定する必要があります。たとえば、値が「DServer」である「AlphaFunction」という名前のメタデータキーを持つコンピュータに一致させるには、「AlphaFunction」および「DServer」を入力します (括弧は不要)。複数の条件を照合する場合は、正規表現を使用して、「AlphaFunction」および「.*Server」、または「AlphaFunction」と「D.*」と入力します。

  • クラウドインスタンスのセキュリティグループ名: クラウドインスタンスが適用されるセキュリティグループです。

この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。

  • クラウドアカウント名: クラウドアカウントプロパティウィンドウの [表示名] フィールドです。
  • Cloud Vendor:インスタンスのクラウド環境ベンダー。この条件は、特定のクラウドベンダーのインスタンスを照合するために使用されます。

Cloud Vendor は、 [Computers]→[Add]→ [ Add AWS Account Add Azure Account 、または Add GCP Account ]からクラウドインスタンスをマネージャに追加した場合にのみ機能します。

GCP VMに複数のGCPネットワークタグがあり、 でいずれかの に一致が見つかった場合、VMは一致したものと見なされます。

  • プラットフォーム: コンピュータのOSです。

Java正規表現の例

一致させる値 正規表現
任意の文字列 (空ではない) .+
空の文字列 (文字なし) ^$
Folder Alpha Folder\ Alpha
FIN-1234 FIN-\d +
または
FIN-.*
RD-ABCD RD-\w +
または
RD-.*
AB
または
ABC
または
ABCCCCCCCCCC
ABC*
Microsoft Windows 2003
または
Windows XP
.*Windows.*
Red Hat 7
または
Some_Linux123
.*Red.*|.*Linux.*|

新しいコンピュータは、そのソースによって使用可能なフィールドが異なります。たとえば、Active Directoryを使用した同期の結果として追加されたコンピュータの場合、「プラットフォーム」は使用できません。

処理

上記のどのイベントが検出されたかに応じて、次の処理が実行されます。

  • コンピュータのアクティベート:Workload Security プロテクションは、コンピュータで有効になっています。
    • 遅延アクティベーション間隔 (分): アクティベーション数が指定された分だけ遅延します。
  • コンピュータの無効化:Workload Security 保護は、コンピュータで無効になっています。
  • ポリシーの割り当て: 新しいコンピュータに自動的にポリシーが割り当てられます。(最初にコンピュータを有効化する必要があります)。
  • Assign Relay Group: 新しいコンピュータには、セキュリティ更新プログラムを受信するためのリレーグループが自動的に割り当てられます。
  • コンピュータグループに割り当てます: コンピュータは、[コンピュータ]ページのいずれかのコンピュータグループに配置されます。

実行順序

イベントベースのタスクを使用する場合は、各タスクに固有の条件を作成して使用する必要があります。これは、同じ条件に遭遇した場合、 Workload Security はそれらを特定の順序で処理し、この順序では、タスク内の条件の数を考慮しないため、これらのタスクを互いに照合します。

たとえば、 Windows Server 2012 プラットフォーム上の server01.example.com コンピュータで、次のイベントベースのタスクが発生したとします。

イベントベースタスク

条件の多いイベントベースのタスクは自動的には実行されません。代わりに、「Platform」条件が2回照合され、イベントベースのタスクがタスクの名前に基づいて実行されます。

予期しない結果を回避するには、イベントベースのタスク(CamelCaseなど)に固有の命名規則を使用してください。

イベントベースタスクを一時的な無効にする

既存のイベントベースのタスクが実行されないようにするには、タスクを右クリックして、[ Disable ]をクリックします。たとえば、特定の管理作業の実行時に他のアクティビティが発生しないようにするには、イベントベースタスクを一時的に無効にします。

イベントベースタスクを再び有効にするには、このタスクを右クリックして、[有効] をクリックします。