目次

イベントを識別およびグループ化するためのタグの適用

Workload Security では、イベントの識別およびソートに使用できるタグを作成できます。たとえば、タグを使用して、安全なイベントと調査の必要があるイベントを区別できます。また、ダッシュボードのカスタマイズやレポートの作成にも使用できます。

イベントのタグ付けはさまざまな目的に使用できますが、本来の目的はイベント管理の負担を軽減することです。あるイベントを分析して安全であると判断した場合は、コンピュータ (および構成やタスクが類似しているその他のコンピュータ) のイベントログを調べて、類似イベントを検索し、同じラベルを適用できます。こうすると、各イベントを個別に分析する必要がなくなります。

現在使用中のタグを表示するには、[ポリシー]→[共通オブジェクト]→[その他]→[タグ] の順に選択します。

タグによってイベント自体のデータが変更されることや、ユーザにイベントの削除が許可されることはありません。これらは、 Workload Securityによって提供される単純な属性です。

タグ付けは次のように実行できます。

  • 手動によるタグ付け: 必要に応じて特定のイベントをタグ付けできます。
  • 自動タグ設定 を使用すると、既存のイベントをモデルとして使用して、同じコンピュータまたは別のコンピュータ上の類似イベントに自動タグを設定できます。適用するタグのモデルイベント属性と一致する必要があるイベント属性を選択して、類似度のパラメータを定義します。
  • 信頼済みのソースを使用したタグ付け: 信頼済みのソースの既知のイベントとの類似性に基づいて、変更監視イベントに自動でタグ付けします。

標準のタグ設定と信頼できるソースのタグ設定の重要な違いは、[既存のイベントで実行] は標準のイベントタグでのみ実行できることです。

手動によるタグ付け

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。イベントを右クリック (または複数のイベントを選択して右クリック) し、[タグを追加] をクリックします。
  2. タグの名前を入力します。 Workload Securityは、入力時に既存のタグの一致する名前を提案します。
  3. を選択します。選択した[イベントの種類]イベント[Next] をクリックします。
  4. 必要に応じてコメントを記入し、[完了] をクリックします。

イベントリストの [タグ] 列にタグが表示されます。

自動タグ付け

新規ユーザは自動タグ設定を使用できなくなりました。現在自動タグ設定を使用している既存のユーザは、引き続き自動タグ設定を使用できます。

Workload Security では、同様のイベントに同じタグを自動的に適用するルールを定義できます。保存済みの既存の自動タグ付けルールを表示するには、任意の [イベント] 画面で、メニューバーの [自動タグ付け] を選択します。この画面から、保存済みのルールを手動で実行できます。

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。ベースにするイベントを右クリックし、[タグの追加] を選択します。
  2. タグの名前を入力します。 Workload Securityは、入力時に既存のタグの一致する名前を提案します。
  3. [選択されたものと類似の [イベントの種類] イベントに適用] を選択し、[次へ] をクリックします。
  4. イベントの自動タグ付けを行うコンピュータを選択し、[次へ] をクリックします。システムイベントへのタグの適用時には、このページはスキップされます。
  5. イベントの類似性を判定する基準となる属性を選択します。属性オプションは [イベント] リスト画面の列に表示される情報とほとんど同じです。イベントの選択処理に含めるための属性を選択したら、[次へ] をクリックします。
  6. 次の画面で、イベントにタグを付けるタイミングを指定します。を選択した場合既存 [イベントの種類] イベントでは、を選択できます。自動タグルールの適用 を使用すると、自動タグルールがただちに適用されます。自動タグルールが適用されると、バックグラウンド ではバックグラウンドで実行されます。Future [イベントの種類] を選択します。Events を使用して、今後発生するイベントに自動タグ設定ルールを適用します。また、[自動タグルールの保存] を選択して必要に応じて名前を入力することで、自動タグ付けルールを保存することもできます。[次へ] をクリックします。
  7. 自動タグ付けルールの概要を確認し、[完了] をクリックします。

イベントリストで、ベースにしたイベントおよび同様のすべてのイベントにタグが付けられていることを確認できます。

イベントのタグ付けは、エージェントから Workload Security データベースにイベントが取得された後にのみ発生します。

自動タグ付けルールに優先度を設定する

自動タグ設定ルールを作成したら、Precedence 値を割り当てることができます。今後のイベントで実行するように自動タグルールが設定されている場合は、ルールの優先順位によって、すべての自動タグルールが受信イベントに適用される順序が決まります。たとえば、優先順位の値が1のルールではすべてのユーザのサインインイベントを不審としてタグ付けし、優先順位の値が2のルールでは対象 (ユーザ) があなたです。これにより、今後のすべてのユーザのサインインイベントに不審なタグが適用されます。

  1. イベントリストで、[自動タグ付け] をクリックして、保存済みの自動タグ付けルールのリストを表示します。
  2. 自動タグ付けルールを右クリックし、[詳細] をクリックします。
  3. [ 一般 ]タブで、ルールの Precedence を選択します。

セキュリティログ監視イベントを自動でタグ付けする

セキュリティログ監視イベントは、ログファイル構造内でのグループに基づいて自動でタグ付けされます。これにより、 Workload Security内のログ検査イベントの処理が簡素化され、自動化されます。セキュリティログ監視グループのタグを自動的に付加するには、自動タグ付けを使用します。セキュリティログ監視ルールのグループは、ルールに関連付けられています。次に例を示します。

<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>

<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>

各グループ名には、フレンドリ名の文字列が関連付けられています。上記の例では、 authentication_success はAuthentication Success、 account_changed はAccount Changedになります。このプロパティを選択すると、フレンドリ名がそのイベントのタグとして自動的に追加されます。複数のルールがトリガーされた場合は、複数のタグがイベントに添付されます。

信頼済みのソースを使用したタグ付け

信頼済みのソースを使用したイベントのタグ付けは、変更監視保護モジュールによって生成されたイベントにのみ使用できます。

[信頼済みの共通ベースライン] は2022年1月1日をもって利用できなくなりました。2021年7月12日以前にタグ付けされたイベントはタグを保持しますが、新しい変更監視イベントは他の方法でタグ付けする必要があります。{: .note}

変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連する属性の変更を監視できます。変更には、作成と削除、および編集が含まれます。変更を監視できるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされているソフトウェア、待機ポート番号、プロセス、レジストリキーなどがあります。

分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。

変更監視 モジュールでは、同様のイベントに自動タグ付けを行うだけでなく、 信頼済みソースので検出されたイベントやデータとの類似性に基づいてイベントにタグを付けることができます。信頼できるソースは次のいずれかです。

  • 信頼済みのローカルコンピュータ
  • トレンドマイクロの[ソフトウェア安全性評価サービス]
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです

信頼済みのローカルコンピュータ

信頼済みコンピュータとは、モデルコンピュータとして使用され、無害または無害のイベントのみを生成することがわかっているコンピュータのことです。対象コンピュータとは、許可されていない変更や予期しない変更がないか監視するコンピュータのことです。自動タグ設定ルールは、対象コンピュータのイベントを調べ、信頼するコンピュータのイベントと比較します。いずれかのイベントが一致すると、自動タグ設定ルールで定義されたタグがイベントにタグ付けされます。

保護対象コンピュータのイベントと信頼済みコンピュータのイベントを比較する自動タグルールを設定できます。たとえば、計画されたパッチのロールアウトを信頼済みコンピュータに適用できます。パッチの適用に関連するイベントには、Patch Xのタグを付けることができます。他のシステムで発生した同様のイベントは、自動的にタグ付けされ、許容可能な変更として識別され、フィルタで除外されるため、評価が必要なイベントの数を減らすことができます。

Workload Security は、対象コンピュータ上のイベントが信頼された移行元コンピュータ上のイベントと一致するかどうかをどのように判断しますか?

変更監視イベントには、ある状態から別の状態への遷移に関する情報が含まれます。つまり、イベントには_before_と_after_の情報が含まれます。イベントを比較する際、自動タグ設定エンジンは一致する前と後の状態を探します。 2つのイベントの前と後の状態が同じである場合、イベントは一致と判断され、2番目のイベントにタグが適用されます。これは、作成イベントと削除イベントにも適用されます。

信頼済みのソースを使用したイベントのタグ付けに、信頼済みのコンピュータを使用している場合は、変更監視ルールによって生成されたイベントにタグが付けられます。つまり、変更監視ルールを使用して対象コンピュータでイベントを生成している場合は、この変更監視ルールを信頼済みソースのコンピュータでも実行する必要があります。

信頼済みのソースを使用したイベントのタグ付けを適用する前に、信頼済みのソースのコンピュータで不正プログラムを検索する必要があります。

Linuxのprelinkingのような、システムのファイルの中身を定期的に変更するユーティリティは、信頼済みのソースを使用したイベントのタグ付けと干渉することがあります。

信頼済みのローカルコンピュータに基づいてイベントにタグを付ける

  1. 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. イベントに自動タグを設定するコンピュータで、信頼できる送信元コンピュータと同じ (または一部の同じ)変更監視ルールが実行されていることを確認します。
  3. Workload Security コンソールで、[ イベント] [&レポート]→[ 変更監視 イベント ]の順に選択し、ツールバーの[ 自動タグ付け ]をクリックします。
  4. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  5. [信頼済みのローカルコンピュータ ] を選択して [次へ] をクリックします。
  6. リストから信頼済みのソースとして使用するコンピュータを選択し、[次へ] をクリックします。
  7. 信頼済みソースコンピュータのイベントに一致した対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。

    新しいタグをテキストで入力するか、既存のタグのリストから選択します。

  8. 信頼済みソースとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。

  9. オプションで、ルールの名前を指定し、[完了] をクリックします。

トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付ける

Certified Safe Software Serviceは、トレンドマイクロが管理している既知の正常なファイルの署名のリストです。このタイプの信頼済みソースのタグ付けでは、対象コンピュータにファイル関連の変更監視イベントが発生していないかが監視されます。イベントが記録された場合は、変更後のファイルの署名が、信頼できる既知のトレンドマイクロのファイル署名リストと比較されます。一致が見つかると、イベントにタグが付けられます。

  1. Workload Security コンソールで、[ イベント] [&レポート]→[ 変更監視 イベント ]の順に選択し、ツールバーの[ 自動タグ付け ]をクリックします。
  2. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  3. ソフトウェア安全性評価サービスを選択して [次へ] をクリックします。
  4. ソフトウェア安全性評価サービスに一致した場合に対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
  5. ソフトウェア安全性評価サービスとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  6. オプションで、ルールの名前を指定し、[完了] をクリックします。

信頼済みの共通ベースラインに基づいてイベントにタグを付ける

信頼済みの共通ベースライン方式では、コンピュータグループ内でイベントを比較します。コンピュータグループが特定されると、グループ内のコンピュータで有効になっている変更監視ルールの監視対象のファイルおよびシステムのステータスに基づいて、共通ベースラインが生成されます。グループ内のあるコンピュータで変更監視イベントが発生した場合、変更後の署名が共通ベースラインと比較されます。ファイルの新しい署名と一致するものが共通ベースライン内にある場合、イベントにタグが付加されます。信頼済みのコンピュータ方式では変更監視イベントの前と後のステータスが比較されますが、信頼済みの共通ベースラインでは、イベント後のステータスだけが比較されます。

この方法では、共通グループ内のすべてのコンピュータが、保護されていて不正プログラムがないことを前提とします。共通ベースラインが生成される前に、グループ内のすべてのコンピュータで不正プログラム対策のフルスキャンを実行してください。

コンピュータの変更監視ベースラインが生成されると、 Workload Securityはまず、そのコンピュータが信頼された共通ベースライングループに属しているかどうかを確認します。存在する場合は、そのグループの信頼済み共通ベースラインにコンピュータのベースラインデータが含まれます。このため、共通ベースライングループ内のコンピュータに変更監視ルールを適用する前に、信頼された共通ベースライン自動タグルールを設定する必要があります。

  1. 信頼済みの共通ベースラインを構成するグループに追加されたすべてのコンピュータで不正プログラム対策の完全検索を実行し、不正プログラムがないことを確認します。
  2. Workload Security コンソールで、[ イベント] [&レポート]→[ 変更監視 イベント ]の順に選択し、ツールバーの[ 自動タグ付け ]をクリックします。
  3. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  4. [信頼済み共通ベースライン] を選択し、[次へ]をクリックします。
  5. 信頼済みの共通ベースラインに一致した場合にイベントに割り当てるタグを1つ以上指定します。[次へ] をクリックします。
  6. 信頼済みの共通ベースラインの生成に使用するグループに含めるコンピュータを特定します。[次へ] をクリックします。
  7. オプションで、ルールの名前を指定し、[完了] をクリックします。

タグを削除する

  1. イベントリストで、削除するタグが付いたイベントを右クリックし、[タグの削除] を選択します。
  2. 削除するタグを選択します。 [選択された [イベントの種類] イベント] からタグを削除するか、[選択されたものと類似の [イベントの種類] イベントに適用] を選択します。[次へ] をクリックします。
  3. 必要に応じてコメントを記入し、[完了] をクリックします。