目次

アラートやその他のアクティビティに関するレポートの生成

Workload Securityでは、PDFまたはRTF形式のレポートが生成されます。ほとんどのレポートには、日付範囲、コンピュータグループ別のレポートなどの設定可能なパラメータがあります。パラメータのオプションは、それらが適用されないレポートの場合は無効になります。ワンタイムレポート( 単一レポートの設定を参照)を設定するか、定期的にレポートを実行するようにスケジュールを設定できます( 予約レポートの設定を参照してください)。

単独レポートを設定する

  1. Workload Security コンソールで、[ イベントとレポート ]タブに移動し、左側のペインで[ レポート]→[単一レポート]を生成します。。
  2. [レポート] リストで、生成するレポートの種類を選択します。使用している保護モジュールに応じて、次のレポートを利用可能です。

    • アラートレポート: 最も一般的なアラートのリスト。
    • 不正プログラム対策レポート: 感染コンピュータの上位25件のリストです。
    • 攻撃レポート: 分析アクティビティの概要表 (モード別)。詳細については、「攻撃レポートについて」を参照してください。
    • [コンピュータレポート:] [コンピュータ]タブに表示される各コンピュータの概要。
    • DPIルール推奨レポート: 侵入防御ルールの推奨。このレポートは、一度に1台のセキュリティポリシーまたはコンピュータに対してのみ実行できます。
    • ファイアウォールレポート: ファイアウォールルールとステートフル設定アクティビティの記録。
    • フォレンジックコンピュータ監査レポート: コンピュータ上のエージェントの設定。
    • 変更監視ベースラインレポート: 特定の時点におけるコンピュータのベースラインで、タイプ、キー、およびフィンガープリントの日付が表示されます。

      2021年7月12日以前にWorkload Securityを購読し、エージェントバージョン20.0.0-2593以降を使用しているお客様については、ベースラインが削除され、変更監視ベースラインレポートは利用できなくなりました。2021年7月12日以前に購読したお客様については、レポートは2022年1月1日から利用できません。詳細については、Trend Cloud One - Endpoint & Workload Securityからの変更監視ベースラインレポートの削除を参照してください。

    • 変更監視詳細変更レポート: 検出された変更の詳細。

    • 変更監視レポート: 検出された変更の概要。
    • 侵入防御レポート: 侵入防御ルールのアクティビティの記録。
    • セキュリティログ監視詳細レポート: 収集されたログデータの詳細。
    • セキュリティログ監視レポート: 収集されたログデータの概要。
    • 推奨設定レポート: 推奨設定の検索アクティビティの記録。
    • 推奨設定レポート: Workload Securityアクティビティの統合されたサマリー。
    • セキュリティモジュール使用状況レポート: クラウドアカウント別の使用時間の内訳。
    • 不審なアプリケーションアクティビティレポート: 不審なアクティビティに関する情報。
    • システムイベントレポート: システム (セキュリティ以外) アクティビティの記録。
    • ユーザおよび連絡先レポート: ユーザおよび連絡先のコンテンツとアクティビティの詳細。
    • Webレピュテーションレポート: Webレピュテーションイベントが最も多いコンピュータのリスト。
  3. レポートの形式 (PDFまたはRTF) を選択します。セキュリティモジュール使用状況レポートは例外で、常にCSVファイルとして出力されます。

  4. PDFまたはRTFのレポートには、オプションで分類を追加することもできます。分類には、「空白」、「TOP SECRET」、「SECRET」、「CONFIDENTIAL」、「FOR OFFICIAL USE ONLY」、「LAW ENFORCEMENT SENSITIVE (LES)」、「LIMITED DISTRIBUTION」、「UNCLASSIFIED」、「INTERNAL USE ONLY」があります。
  5. [タグ] 領域では、イベントタグを使用してレポートデータをフィルタできます (イベントデータを含むレポートを選択した場合)。[すべて] はすべてのイベントを、[タグなし] はタグ付けされていないイベントのみを、[タグ] を選択して1つ以上のタグを指定すると指定したタグを含むイベントのみを、それぞれレポートに含めることができます。

複数の矛盾するタグを適用すると、タグが組み合わさるのではなく、相互に影響を及ぼしてしまいます。たとえば、[ユーザのサインイン] と [ユーザのサインアウト] を選択した場合、システムイベントは発生しません。

  1. [期間] エリアで、ログの記録期間を任意に設定できます。これは、セキュリティ監査に役立ちます。期間のオプションは次のとおりです。

  2. 過去 24 時間: 過去 24 時間のイベントが含まれます。開始時刻と終了時刻は同じです。たとえば、12月5日の午前10時14分にレポートを生成すると、12月4日の午前10時から12月5日の午前10時までの間に発生したイベントに関するレポートが生成されます。

  3. 過去7日間: 過去1週間のイベントが含まれます。週の開始時刻と終了時刻は午前0時 (00:00) です。たとえば、12月5日の午前10時14分にレポートを生成すると、11月28日の午前0時から12月5日の午前0時までに発生したイベントのレポートが生成されます。
  4. 前月: 午前0時 (00:00) に開始および終了する、前月全体のイベントが含まれます。たとえば、11月15日にこのオプションを選択すると、10月1日午前0時から11月1日午前0時までに発生したイベントに関するレポートを受信します。
  5. カスタム範囲: 任意の日付と時刻の範囲をレポートに指定できます。レポートでは、開始日が3日以上前の場合、開始時間が深夜0時に変更される可能性があります。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタデータは、最新の60時間分のデータが1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。60時間より古いデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポートで対象となる期間は1時間単位の細かさで指定できますが、60時間を超える期間は1日単位の細かさでのみ指定できます。

  1. [コンピュータフィルタ] 領域で、レポートにデータを含める必要があるコンピュータを選択します。

  2. すべてのコンピュータ: Workload Security内のすべてのコンピュータ。

  3. マイコンピュータ: サインインしているユーザが、ユーザ役割の権限設定に基づいてコンピュータへのアクセスを制限している場合、それらのコンピュータは、サインインしているユーザが表示アクセス権を持っているコンピュータです。
  4. グループ内の:** Workload Security グループ内のコンピュータ。
  5. 使用ポリシー: 選択したポリシー (およびオプションでそのサブポリシー) を使用しているコンピュータに、レポートの対象を限定できます。
  6. コンピュータ: レポートの対象を、選択した1台のコンピュータに限定できます。

複数のコンピュータグループの特定のコンピュータに関するレポートを生成するには、対象のコンピュータに対する表示権限のみを持つユーザを作成してから、スケジュールタスクを作成してそのユーザの [すべてのコンピュータ] レポートを定期的に生成するか、そのユーザとしてログインして次のコマンドを実行します。 [すべてのコンピュータ] レポート。そのユーザに表示権限があるコンピュータのみがレポートに含まれます。

  1. [暗号化] エリアで、現在ログインしているユーザのパスワードか、レポートごとに設定された新規パスワードでレポートを保護できます。

  2. レポートのパスワードの無効化: レポートはパスワードで保護されません。

  3. 現在のユーザのレポートパスワードを使用: 現在のユーザのPDFレポートパスワードを使用します。アクティブユーザのPDFレポートのパスワードを変更するには、Workload Security内で、画面上部の [Workload Securityユーザプロパティ] をクリックし、[設定] タブをクリックします。 [パスワードで保護されたレポート] セクションで、必要に応じて [このユーザが生成したレポートをパスワードで保護する] を選択し、新しいパスワードを入力して確認します。
  4. カスタムレポートのパスワードの使用: このレポートのワンタイムパスワードを作成します。パスワードに複雑さの要件はありません。

予約レポートを設定する

予約レポートは、定期的にレポートを生成し、任意の数のユーザおよび連絡先に配信する予約タスクです (以前は定期レポートと呼ばれていました)。

予約レポートを設定するには、[レポートの生成]→[予約レポート] をクリックします。 [新規] をクリックします。 [予約タスクの新規作成] ウィザードが開き、設定プロセスを実行できます。時間フィルタを除き、ほとんどのオプションは単一レポートのオプションと同じです。

時間フィルタ

  • [過去 [N] か月間:] [N] が60未満の場合、開始時刻と終了時刻は指定した時刻の先頭になります。 [N] が60を超えると、時間範囲の最初の1時間ごとのデータが利用できないため、レポートの開始時刻が開始日の午前0時 (00:00) に変更されます。
  • [過去 [N] 日間:] [N] 日前の深夜0時から現在の日付の深夜0時までのデータがレポートされます。
  • 過去 [N] 週間: 過去 [N] 週間のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。
  • [過去 [N] か月間:] [N] の過去の暦月の午前0時 (00:00) に開始および終了するイベントが含まれます。たとえば、11月15日に「過去1か月」を選択した場合、10月1日午前0時から11月1日午前0時までに発生したイベントに関するレポートを受信します。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタデータは、最新の60時間分のデータが1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。60時間より古いデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポートで対象となる期間は1時間単位の細かさで指定できますが、60時間を超える期間は1日単位の細かさでのみ指定できます。

予約タスクの詳細については、Workload Security予約タスクの設定を参照してください。

トラブルシューティング:予約レポートの送信に失敗しました

Workload Securityでは、定期レポートをスケジュール設定してメールで送信できます。ただし、メールのサイズが20MBを超えると、メールの送信に失敗します。 [イベントとレポート] ページで、対応するメールの失敗イベントが発生し、エラーメッセージ、メールの件名、およびメール送信先情報が表示されます。

メッセージサイズが制限を超えたためにレポートメールの送信に失敗した場合は、期間を短くするか、グループまたはポリシーで対象コンピュータをフィルタして、レポートをサブレポートに分割します。