イベントを識別およびグループ化するためのタグの適用

Workload Security では、イベントの識別およびソートに使用できるタグを作成できます。たとえば、タグを使用して、安全なイベントと調査の必要があるイベントを区別できます。また、ダッシュボードのカスタマイズやレポートの作成にも使用できます。

イベントのタグ付けはさまざまな目的に使用できますが、本来の目的はイベント管理の負担を軽減することです。あるイベントを分析して安全であると判断した場合は、コンピュータ (および構成やタスクが類似しているその他のコンピュータ) のイベントログを調べて、類似イベントを検索し、同じラベルを適用できます。こうすると、各イベントを個別に分析する必要がなくなります。

現在使用中のタグを表示するには、[ポリシー]→[共通オブジェクト]→[その他]→[タグ] の順に選択します。

タグによってイベント自体のデータが変更されることや、ユーザにイベントの削除が許可されることはありません。これらは、 Workload Securityによって提供される単純な属性です。

タグ付けには次の方法があります。

  • 手動によるタグ付け: 必要に応じて特定のイベントをタグ付けできます。
  • 自動タグ付け: 既存イベントをモデルとして使用し、同一または別のコンピュータの類似イベントに自動でタグ付けします。「類似性」のパラメータを定義するには、タグを適用する場合にモデルイベントの属性と一致する必要があるイベント属性を選択します。
  • 信頼済みのソースを使用したタグ付け: 信頼済みのソースの既知のイベントとの類似性に基づいて、変更監視イベントに自動でタグ付けします。

標準のタグ付けと信頼されるソースタグ付けの重要な違いは、「既存のイベントですぐに実行」を実行できるのは、標準のイベントタグ付けのみです。

手動によるタグ付け

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。イベントを右クリック (または複数のイベントを選択して右クリック) し、[タグを追加] をクリックします。
  2. タグの名前を入力します。Workload Security では、入力時に既存のタグの名前が一致することを推奨します。
  3. を選択します。選択した[イベントの種類]イベント[Next] をクリックします。
  4. 必要に応じてコメントを記入し、[完了] をクリックします。

イベントリストの [タグ] 列にタグが表示されます。

自動タグ付け

Workload Security では、同様のイベントに同じタグを自動的に適用するルールを定義できます。保存済みの既存の自動タグ付けルールを表示するには、任意の [イベント] 画面で、メニューバーの [自動タグ付け] を選択します。この画面から、保存済みのルールを手動で実行できます。

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。ベースにするイベントを右クリックし、[タグの追加] を選択します。
  2. タグの名前を入力します。Workload Security では、入力時に既存のタグの名前が一致することを推奨します。
  3. を選択し、類似した[イベントの種類]に適用します。Events をクリックし、 の順にクリックします。
  4. イベントの自動タグ付けを行うコンピュータを選択し、[次へ] をクリックします。システムイベントへのタグの適用時には、このページはスキップされます。
  5. イベントの類似性を判定する基準となる属性を選択します。属性オプションは [イベント] リスト画面の列に表示される情報とほとんど同じです。イベントの選択処理に含めるための属性を選択したら、[次へ] をクリックします。
  6. 次の画面で、イベントにタグを付けるタイミングを指定します。を選択した場合既存[イベントの種類]イベントでは、 を選択できます。自動タグルールの適用 を使用すると、自動タグルールがただちに適用されます. 自動タグルールが適用されると、バックグラウンド ではバックグラウンドで実行されます。 Future [イベントの種類]を選択します。 Events を使用して、今後発生するイベントに自動タグ設定ルールを適用します。また、[自動タグルールの保存] を選択して必要に応じて名前を入力することで、自動タグ付けルールを保存することもできます。[次へ] をクリックします。
  7. 自動タグ付けルールの概要を確認し、[完了] をクリックします。

イベントリストで、ベースにしたイベントおよび同様のすべてのイベントにタグが付けられていることを確認できます。

イベントのタグ付けは、エージェントから Workload Security データベースにイベントが取得された後にのみ発生します。

自動タグ付けルールに優先度を設定する

自動タグ付けルールを作成したら、[優先度] 値を割り当てることができます。将来のイベントに自動タグ付けルールを適用するように設定した場合、設定された自動タグ付けルールを受信イベントに適用する順番は、ルールの優先度によって決まります。たとえば、すべての「ユーザのログオン」イベントに自動タグ付けルール「suspicious」をタグ付けする優先度が「1」のルールと、対象 (ユーザ) が自分自身であるすべての「ユーザのログオン」イベントから「suspicious」タグを削除する優先順位が「2」のルールを設定したとします。この結果、将来発生するすべての「ユーザのログオン」イベントのうち、ユーザが自分以外のものに「suspicious」タグが適用されます。

  1. イベントリストで、[自動タグ付け] をクリックして、保存済みの自動タグ付けルールのリストを表示します。
  2. 自動タグ付けルールを右クリックし、[詳細] をクリックします。
  3. [ 一般 ]タブで、ルールの Precedence を選択します。

セキュリティログ監視イベントを自動でタグ付けする

セキュリティログ監視イベントは、ログファイル構造内でのグループに基づいて自動でタグ付けされます。これにより、 Workload Security内のログ検査イベントの処理が簡素化され、自動化されます。セキュリティログ監視グループのタグを自動的に付加するには、自動タグ付けを使用します。セキュリティログ監視ルールのグループは、ルールに関連付けられています。次に例を示します。

<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>

<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>

それぞれのグループ名には、わかりやすい名前の文字列が関連付けられています。上記の例では、「authentication_success」には「Authentication Success」、「account_changed」には「Account Changed」が関連付けられています。このチェックボックスを設定すると、そのイベントのタグとして、このわかりやすい名前が自動的に追加されます。複数のルールがトリガされる場合は、複数のタグがイベントに追加されます。

信頼済みのソースを使用したタグ付け

信頼済みのソースを使用したイベントのタグ付けは、変更監視保護モジュールによって生成されたイベントにのみ使用できます。

2021年7月12日以降にサブスクリプションを契約し、Deep Security Agent 20.0.0-2593 +を使用しているユーザは、信頼済み共通ベースラインを使用できません。2021年7月12日より前に登録されたユーザの場合、このボタンは2022年1月1日まで有効になります。2021年7月12日より前にタグ付けされたイベントはタグを維持しますが、新しい 変更監視 イベントは他の方法を使用してタグ付けする必要があります。詳細については、「 Remove of the Trusted Common Baseline option from 変更監視 Auto-Tag Rules of Cloud OneWorkload Security」を参照してください。

変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連属性に関する変更を監視できます。「変更」には編集だけでなく、作成と削除も含まれます。変更を監視できるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされたソフトウェア、待機ポート番号、プロセス、レジストリキーなどがあります。

分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。

変更監視 モジュールでは、同様のイベントに自動タグ付けを行うだけでなく、 信頼済みソースので検出されたイベントやデータとの類似性に基づいてイベントにタグを付けることができます。信頼できるソースは次のいずれかです。

  • 信頼済みのローカルコンピュータ
  • トレンドマイクロの[ソフトウェア安全性評価サービス]
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。

信頼済みのローカルコンピュータ

信頼済みのコンピュータは、安全なイベントまたは無害なイベントのみを生成することが判明している、「モデル」コンピュータとして使用されるコンピュータです。「対象」コンピュータは、不正な、または予想外の変更が発生しないか監視されているコンピュータです。自動タグ付けルールでは、対象コンピュータのイベントが調査され、これらのイベントと信頼済みのコンピュータのイベントが比較されます。一致するイベントがあった場合は、これらのイベントに自動タグ付けルールで定義されたタグが付けられます。

保護されているコンピュータのイベントと信頼済みのコンピュータのイベントを比較する、自動タグ付けルールを設定できます。たとえば、あるパッチの計画済みロールアウトを、信頼済みのコンピュータに適用するとします。パッチの適用に関連するイベントには「Patch X」のタグを付けることができます。その他のシステムで発生した類似イベントには自動でタグ付けをして許容される変更として識別し、フィルタで除外して評価が必要なイベント数を減らすことができます。

Workload Security は、対象コンピュータ上のイベントが信頼された移行元コンピュータ上のイベントと一致するかどうかをどのように判断しますか?

変更監視イベントには、状態の変化に関する情報が含まれています。つまり、イベントには次のものが含まれます。_前に_と_後_情報イベントを比較すると、自動タグ付けエンジンによってイベント前後の状態が比較されます、2つのイベントでイベント前後の状態が同じ場合、これらのイベントは一致すると判定され、2番目のイベントにタグが適用されます。これは作成および削除イベントにも当てはまります。

信頼済みのソースを使用したイベントのタグ付けに、信頼済みのコンピュータを使用している場合は、変更監視ルールによって生成されたイベントにタグが付けられます。つまり、変更監視ルールを使用して対象コンピュータでイベントを生成している場合は、この変更監視ルールを信頼済みソースのコンピュータでも実行する必要があります。

信頼済みのソースを使用したイベントのタグ付けを適用する前に、信頼済みのソースのコンピュータで不正プログラムを検索する必要があります。

Linuxのprelinkingのような、システムのファイルの中身を定期的に変更するユーティリティは、信頼済みのソースを使用したイベントのタグ付けと干渉することがあります。

信頼済みのローカルコンピュータに基づいてイベントにタグを付ける

  1. 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. イベントを自動的にタグ付けするコンピュータで、信頼済みソースのコンピュータと同じ (または部分的に同じ) 変更監視ルールを実行していることを確認します。
  3. Workload Security コンソールで、[ イベント] [&レポート]→[ 変更監視 イベント ]の順に選択し、ツールバーの[ 自動タグ付け ]をクリックします。
  4. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  5. [信頼済みのローカルコンピュータ ] を選択して [次へ] をクリックします。
  6. リストから信頼済みのソースとして使用するコンピュータを選択し、[次へ] をクリックします。
  7. 信頼済みソースコンピュータのイベントに一致した対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。

    新しいタグをテキストで入力するか、既存のタグのリストから選択します。

  8. 信頼済みソースとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。

  9. オプションで、ルールの名前を指定し、[完了] をクリックします。

トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付ける

Certified Safe Software Serviceは、トレンドマイクロが管理している既知の正常なファイルの署名のリストです。このタイプの信頼済みソースのタグ付けでは、対象コンピュータにファイル関連の変更監視イベントが発生していないかが監視されます。イベントが記録された場合は、変更後のファイルの署名が、信頼できる既知のトレンドマイクロのファイル署名リストと比較されます。一致が見つかると、イベントにタグが付けられます。

  1. Workload Security コンソールで、[ イベント] [&レポート]→[ 変更監視 イベント ]の順に選択し、ツールバーの[ 自動タグ付け ]をクリックします。
  2. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  3. ソフトウェア安全性評価サービスを選択して [次へ] をクリックします。
  4. ソフトウェア安全性評価サービスに一致した場合に対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
  5. ソフトウェア安全性評価サービスとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  6. オプションで、ルールの名前を指定し、[完了] をクリックします。

信頼済みの共通ベースラインに基づいてイベントにタグを付ける

信頼済みの共通ベースライン方式では、コンピュータグループ内でイベントを比較します。コンピュータグループが特定されると、グループ内のコンピュータで有効になっている変更監視ルールの監視対象のファイルおよびシステムのステータスに基づいて、共通ベースラインが生成されます。グループ内のあるコンピュータで変更監視イベントが発生した場合、変更後の署名が共通ベースラインと比較されます。ファイルの新しい署名と一致するものが共通ベースライン内にある場合、イベントにタグが付加されます。信頼済みのコンピュータ方式では変更監視イベントの前と後のステータスが比較されますが、信頼済みの共通ベースラインでは、イベント後のステータスだけが比較されます。

この方法では、共通グループ内のすべてのコンピュータが、保護されていて不正プログラムがないことを前提とします。共通ベースラインが生成される前に、グループ内のすべてのコンピュータで不正プログラム対策のフルスキャンを実行してください。

コンピュータの整合性監視ベースラインが生成されると、 Workload Security はまず、そのコンピュータが信頼できる共通ベースライングループの一部であるかどうかをチェックします。信頼済みの共通ベースライングループに含まれている場合、コンピュータのベースラインデータを、グループの信頼済みの共通ベースラインに追加します。これにより、共通ベースライングループのコンピュータに変更監視ルールが適用される前に、信頼済みの共通ベースラインの自動タグ付けルールが実施されます。

  1. 信頼済みの共通ベースラインを構成するコンピュータグループに追加するすべてのコンピュータで、不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. Workload Security コンソールで、[ イベント] [&レポート]→[ 変更監視 イベント ]の順に選択し、ツールバーの[ 自動タグ付け ]をクリックします。
  3. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  4. [ 信頼済み共通ベースライン ]を選択し、 [次へ] をクリックします。
  5. 信頼済みの共通ベースラインに一致した場合にイベントに割り当てるタグを1つ以上指定します。[次へ] をクリックします。
  6. 信頼済みの共通ベースラインの生成に使用するグループに含めるコンピュータを特定します。[次へ] をクリックします。
  7. オプションで、ルールの名前を指定し、[完了] をクリックします。

タグを削除する

  1. イベントリストで、削除するタグが付いたイベントを右クリックし、[タグの削除] を選択します。
  2. 削除するタグを選択します。 からタグを削除するように選択します。選択した[イベントの種類]イベント または に適用類似したものに適用[イベントの種類]イベント。[Next] をクリックします。
  3. 必要に応じてコメントを記入し、[完了] をクリックします。