Workload Security では、イベントの識別およびソートに使用できるタグを作成できます。たとえば、タグを使用して、安全なイベントと調査の必要があるイベントを区別できます。また、ダッシュボードのカスタマイズやレポートの作成にも使用できます。
イベントのタグ付けはさまざまな目的に使用できますが、本来の目的はイベント管理の負担を軽減することです。あるイベントを分析して安全であると判断した場合は、コンピュータ
(および構成やタスクが類似しているその他のコンピュータ) のイベントログを調べて、類似イベントを検索し、同じラベルを適用できます。こうすると、各イベントを個別に分析する必要がなくなります。
現在使用中のタグを表示するには、
に移動します。タグによってイベント自体のデータが変更されることや、ユーザにイベントの削除が許可されることはありません。これらは、 Workload Securityによって提供される単純な属性です。
タグ付けは次のように実行できます。
- 手動タグ付けを使用すると、必要に応じて特定のイベントにタグを付けることができます。
- 自動タグ付けを使用すると、既存のイベントをモデルとして使用して、同じコンピューターまたは他のコンピューター上の類似イベントに自動タグ付けを行うことができます。タグを適用するために一致させる必要があるイベント属性を選択することで、類似性のパラメーターを定義します。
- 信頼済みのソースを使用したタグ付け: 信頼済みのソースの既知のイベントとの類似性に基づいて、変更監視イベントに自動でタグ付けします。
標準のタグ設定と信頼できるソースのタグ設定の重要な違いは、[既存のイベントで実行] は標準のイベントタグでのみ実行できることです。
手動によるタグ付け
手順
- に移動してイベントリストを選択します。イベントを右クリックするか、複数のイベントを選択して右クリックし、[Add Tag(s)]を選択します。
- タグの名前を入力します。 Workload Securityは、入力時に既存のタグの一致する名前を提案します。
- [選択された[イベントタイプ]イベント]を選択します。[次へ]をクリックします。
- 任意のコメントを入力し、[完了]をクリックしてください。
イベントリストでは、[TAG(S)]列にタグを表示できます。
自動タグ付け
新規ユーザには自動タグ付けは利用できなくなりました。既存のユーザは引き続き自動タグ付けを利用できます。
Workload Securityを使用すると、同様のイベントに自動的に同じタグを適用するルールを定義できます。既存の保存された自動タグ付けルールを表示するには、任意の[イベント]ページのメニューバーで[自動タグ付け]をクリックします。このページから保存されたルールを手動で実行できます。
イベントのタグ付けは、エージェントから Workload Security データベースにイベントが取得された後にのみ発生します。
手順
- に移動し、イベントリストを選択します。代表的なイベントを右クリックして、[Add Tag(s)]を選択します。
- タグの名前を入力します。 Workload Securityは、入力時に既存のタグの一致する名前を提案します。
- [選択されたものと類似の[Event Type]イベントに適用]を選択し、[次へ]をクリックします。
- イベントに自動タグ付けしたいコンピューターを選択し、[次へ]をクリックします。システムイベントにタグを適用する場合、このページはスキップされます。
- イベントが類似しているかどうかを判断するために調査する属性を選択します。ほとんどの場合、属性オプションは[イベント]リストページの列に表示される情報と同じです。イベント選択プロセスに含める属性を選択したら、[次へ]をクリックします。
- 次のページで、イベントにタグを付けるタイミングを指定します。[既存の [イベントの種類] イベント]を選択すると、[今すぐ自動タグルールを適用する]を選択して自動タグ付けルールを即座に適用するか、[バックグラウンドで自動タグルールを適用する]を選択して低優先度でバックグラウンドで実行することができます。[今後の [イベントの種類]を選択すると、将来発生するイベントに自動タグ付けルールを適用できます。また、[自動タグルールの保存]を選択して自動タグ付けルールを保存し、必要に応じて名前を入力することもできます。[次へ]をクリックしてください。
- 自動タグ付けルールの要約を確認し、[完了]をクリックしてください。
イベントリストでは、元のイベントとすべての類似イベントにタグが付けられていることが確認できます。
自動タグ付けルールの優先順位を設定する
自動タグ付けルールが作成されると、[優先度]値を割り当てることができます。自動タグ付けルールが将来のイベントに対して実行されるように設定されている場合、ルールの優先順位は、すべての自動タグ付けルールが受信イベントに適用される順序を決定します。例えば、優先順位値が1のルールを使用して、すべてのユーザサインインイベントを疑わしいものとしてタグ付けし、優先順位値が2のルールを使用して、ターゲット
(ユーザ) があなたであるすべてのユーザサインインイベントから疑わしいタグを削除することができます。これにより、ユーザがあなたでないすべての将来のユーザサインインイベントに疑わしいタグが適用されます。
手順
- イベントリストで[自動タグ付け]をクリックすると、保存された自動タグ付けルールのリストが表示されます。
- オートタグ付けルールを右クリックし、[詳細]を選択します。
- [一般]タブで、ルールの[優先度]を選択します。
セキュリティログ監視イベントを自動でタグ付けする
セキュリティログ監視イベントは、ログファイル構造内でのグループに基づいて自動でタグ付けされます。これにより、 Workload Security内のログ検査イベントの処理が簡素化され、自動化されます。セキュリティログ監視グループのタグを自動的に付加するには、自動タグ付けを使用します。セキュリティログ監視ルールのグループは、ルールに関連付けられています。次に例を示します。
<rule id="18126" level="3"> <if_sid>18101</if_sid> <id>^20158</id> <description>Remote access login success</description> <group>authentication_success,</group> </rule> <rule id="18127" level="8"> <if_sid>18104</if_sid> <id>^646|^647</id> <description>Computer account changed/deleted</description> <group>account_changed,</group> </rule> </rule>
各グループ名には、それに関連付けられたフレンドリーネーム文字列があります。前述の例では、
authentication_success
はAuthentication Success、account_changed
はAccount Changedとなります。このプロパティが選択されると、フレンドリーネームが自動的にそのイベントのタグとして追加されます。複数のルールがトリガーされると、複数のタグがイベントに付加されます。信頼済みのソースを使用したタグ付け
信頼済みのソースを使用したイベントのタグ付けは、変更監視保護モジュールによって生成されたイベントにのみ使用できます。
変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連する属性の変更を監視できます。変更には、作成と削除、および編集が含まれます。変更を監視できるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされているソフトウェア、待機ポート番号、プロセス、レジストリキーなどがあります。
分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。
変更監視モジュールは、類似イベントの自動タグ付けに加えて、[信頼済みのソース]で見つかったイベントやデータとの類似性に基づいてイベントにタグを付けることができます。
信頼できるソースには以下が含まれます:
- [信頼済みのローカルコンピュータ]。
- [トレンドマイクロのソフトウェア安全性評価サービス]。
- [信頼済みの共通ベースライン]は、コンピュータ群から収集されたファイル状態のセットです。2022年1月1日現在、信頼された共通ベースラインは利用できません。2021年7月12日以前にタグ付けされたイベントはそのタグを保持しますが、新しい変更監視イベントは他の方法でタグ付けする必要があります。
信頼済みのローカルコンピュータに基づいてイベントにタグを付ける
信頼済みコンピュータとは、モデルコンピュータとして使用され、無害または無害のイベントのみを生成することがわかっているコンピュータのことです。対象コンピュータとは、許可されていない変更や予期しない変更がないか監視するコンピュータのことです。自動タグ設定ルールは、対象コンピュータのイベントを調べ、信頼するコンピュータのイベントと比較します。いずれかのイベントが一致すると、自動タグ設定ルールで定義されたタグがイベントにタグ付けされます。
保護対象コンピュータのイベントと信頼済みコンピュータのイベントを比較する自動タグルールを設定できます。たとえば、計画されたパッチのロールアウトを信頼済みコンピュータに適用できます。パッチの適用に関連するイベントには、Patch
Xのタグを付けることができます。他のシステムで発生した同様のイベントは、自動的にタグ付けされ、許容可能な変更として識別され、フィルタで除外されるため、評価が必要なイベントの数を減らすことができます。
- 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
- イベントに自動タグを設定するコンピュータで、信頼できる送信元コンピュータと同じ (または一部の同じ)変更監視ルールが実行されていることを確認します。
- Workload Security コンソールで、イベントとレポート → 変更監視イベント に移動し、Trend ツールバーで自動タグ付けをクリックします。
- 自動タグルール (変更監視イベント)ウィンドウで、新しい信頼できるソースをクリックしてタグウィザードを表示します。
- ローカルトラストコンピュータを選択し、次へをクリックします。
- リストから信頼できるソースとなるコンピュータを選択し、次へをクリックしてください。
- ターゲットコンピュータ上のイベントがこの信頼されたソースコンピュータ上のイベントと一致する場合に適用するタグを1つ以上指定してください。次へをクリックします。新しいタグのテキストを入力するか、既存のタグのリストから選択できます。
- 信頼できるソースのイベントと一致するターゲットコンピュータを特定します。次へをクリックします。
- 必要に応じてルールに名前を付け、完了をクリックします。
ターゲットと信頼できるソースコンピュータ間のWorkload Securityイベントの一致
変更監視イベントには、ある状態から別の状態への移行に関する情報が含まれています。言い換えれば、イベントには前と後の情報が含まれています。イベントを比較する際、自動タグ付けエンジンは前後の状態が一致するかどうかを確認します。もし2つのイベントが同じ前後の状態を共有している場合、それらのイベントは一致していると判断され、2つ目のイベントにタグが適用されます。これは作成および削除イベントにも適用されます。
信頼済みのソースを使用したイベントのタグ付けに、信頼済みのコンピュータを使用している場合は、変更監視ルールによって生成されたイベントにタグが付けられます。つまり、変更監視ルールを使用して対象コンピュータでイベントを生成している場合は、この変更監視ルールを信頼済みソースのコンピュータでも実行する必要があります。
信頼済みのソースを使用したイベントのタグ付けを適用する前に、信頼済みのソースのコンピュータで不正プログラムを検索する必要があります。
システム上のファイル内容を定期的に変更するユーティリティ (例えば、Linuxでのプリリンク) は、信頼されたソースイベントタグ付けに干渉する可能性があります。
信頼済みのローカルコンピュータに基づいてイベントにタグを付ける
手順
- 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
- イベントに自動タグを設定するコンピュータで、信頼できる送信元コンピュータと同じ (または一部の同じ)変更監視ルールが実行されていることを確認します。
- Workload Security コンソールで、 に移動し、Trend ツールバーの[自動タグ付け]をクリックします。
- [自動タグルール (変更監視イベント)]ウィンドウで[新しい信頼済みのソース]をクリックして[Tag Wizard]を表示します。
- [信頼済みのローカルコンピュータ]を選択し、[次へ]をクリックします。
- リストから信頼できるソースとなるコンピュータを選択し、[次へ]をクリックしてください。
- ターゲットコンピュータ上のイベントがこの信頼できるソースコンピュータ上のイベントと一致する場合に適用するタグを1つ以上指定してください。[次へ]をクリックします。新しいタグをテキストで入力するか、既存のタグのリストから選択します。
- 信頼できるソースのイベントと一致するターゲットコンピューターを特定します。[次へ]をクリックします。
- 必要に応じてルールに名前を付け、[完了]をクリックします。
トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付ける
Certified Safe Software Serviceは、トレンドマイクロが管理している既知の正常なファイルの署名のリストです。このタイプの信頼済みソースのタグ付けでは、対象コンピュータにファイル関連の変更監視イベントが発生していないかが監視されます。イベントが記録された場合は、変更後のファイルの署名が、信頼できる既知のトレンドマイクロのファイル署名リストと比較されます。一致が見つかると、イベントにタグが付けられます。
手順
- Workload Security コンソールで、 に移動し、Trend ツールバーの[自動タグ付け]をクリックします。
- [自動タグルール (変更監視イベント )]ウィンドウで[新しい信頼済みのソース]をクリックして[タグウィザード]を表示します。
- [ソフトウェア安全性評価サービス]を選択し、[次へ]をクリックします。
- ターゲットコンピュータ上のイベントがソフトウェア安全性評価サービスに一致する場合に適用するタグを1つ以上指定します。[次へ]をクリックします。
- ソフトウェア安全性評価サービスに一致するイベントの対象コンピュータを特定します。[次へ]をクリックします。
- 必要に応じてルールに名前を付け、[完了]をクリックします。
信頼済みの共通ベースラインに基づいてイベントにタグを付ける
信頼済みの共通ベースライン方式では、コンピュータグループ内でイベントを比較します。コンピュータグループが特定されると、グループ内のコンピュータで有効になっている変更監視ルールの監視対象のファイルおよびシステムのステータスに基づいて、共通ベースラインが生成されます。グループ内のあるコンピュータで変更監視イベントが発生した場合、変更後の署名が共通ベースラインと比較されます。ファイルの新しい署名と一致するものが共通ベースライン内にある場合、イベントにタグが付加されます。信頼済みのコンピュータ方式では変更監視イベントの前と後のステータスが比較されますが、信頼済みの共通ベースラインでは、イベント後のステータスだけが比較されます。
この方法では、共通グループ内のすべてのコンピュータが、保護されていて不正プログラムがないことを前提とします。共通ベースラインが生成される前に、グループ内のすべてのコンピュータで不正プログラム対策のフルスキャンを実行してください。
コンピュータの変更監視ベースラインが生成されると、 Workload Securityはまず、そのコンピュータが信頼された共通ベースライングループに属しているかどうかを確認します。存在する場合は、そのグループの信頼済み共通ベースラインにコンピュータのベースラインデータが含まれます。このため、共通ベースライングループ内のコンピュータに変更監視ルールを適用する前に、信頼された共通ベースライン自動タグルールを設定する必要があります。
手順
- 信頼済みの共通ベースラインを構成するグループに追加されたすべてのコンピュータで不正プログラム対策の完全検索を実行し、不正プログラムがないことを確認します。
- Workload Security コンソールで、 に移動し、Trend ツールバーの[自動タグ付け]をクリックします。
- [自動タグルール (変更監視イベント )]ウィンドウで[変更監視イベント]をクリックして[タグウィザード]を表示します。
- [信頼済みの共通ベースライン]を選択し、[次へ]をクリックします。
- 信頼された共通ベースラインに一致するイベントに適用するタグを1つ以上指定し、[次へ]をクリックしてください。
- 信頼できる共通ベースラインを生成するために使用するグループに含めるコンピュータを特定します。[次へ]をクリックします。
- 必要に応じてこのルールに名前を付け、[完了]をクリックしてください。
タグを削除する
手順
- イベントリストで削除したいタグが付いているイベントを右クリックし、[タグの削除]を選択します。
- 削除したいタグを選択してください。[選択された[イベントタイプ]イベント]からタグを削除するか、[Apply to selected similar [Event Type] Events.]を選択してください。[次へ]をクリックします。
- 任意のコメントを入力し、[完了]をクリックしてください。