Workload SecurityはPDFまたはRTF形式でレポートを生成します。ほとんどのレポートには、日付範囲やコンピュータグループによるレポートなど、設定可能なパラメータがあります。適用されないレポートにはパラメータオプションが無効になっています。単一レポートを設定することもできます (単一レポートの設定を参照) し、定期的にレポートを実行するスケジュールを設定することもできます (スケジュールされたレポートの設定を参照)。
関連情報

単独レポートを設定する 親トピック

  1. Workload Securityコンソールで、[イベントとレポート]タブに移動し、左ペインで[レポートの生成][単独レポート]をクリックします。
  2. [レポート]リストで、生成したいレポートの種類を選択します。使用している保護モジュールによっては、これらのレポートが利用可能です。
    • [アラートレポート:]最も一般的なアラートのリスト。
    • [不正プログラム対策レポート:] 上位25台の感染したコンピュータのリスト。
    • [攻撃レポート:]要約テーブルには、モードごとに分けられた分析アクティビティが含まれています。詳細については、攻撃レポートについてを参照してください。
    • [コンピュータレポート:] [コンピュータ]タブに一覧表示されている各コンピュータの要約。
    • [侵入防御ルールの推奨状況レポート:] IPSルールの推奨事項。このレポートは、1つのセキュリティポリシーまたはコンピュータに対してのみ実行できます。
    • [ファイアウォールレポート:] ファイアウォールルールとステートフル構成アクティビティの記録。
    • [コンピュータフォレンジックス監査レポート:] コンピュータ上のエージェントの構成。
    • [変更監視ベースラインレポート:] 特定の時点でのコンピュータのベースラインを表示し、タイプ、キー、指紋採取日を示します。
      2021年7月12日以前にWorkload Securityを契約し、エージェントバージョン20.0.0-2593以降を使用しているお客様には、ベースラインが削除され、[変更監視ベースラインレポート]は利用できなくなりました。2021年7月12日以前に契約したお客様には、2022年1月1日以降レポートは利用できません。詳細については、Trend Cloud One - Endpoint & Workload Securityからの変更監視ベースラインレポートの削除をご覧ください。
    • [変更監視の詳細な変更レポート:] 検出された変更の詳細。
    • [変更監視レポート:] 検出された変更の要約。
    • [侵入防御レポート:] IPSルール活動の記録。
    • [セキュリティログ監視の詳細レポート:]収集されたログデータの詳細。
    • [セキュリティログ監視レポート:] 収集されたログデータの要約。
    • [推奨設定レポート:] 推奨検索活動の記録。
    • [推奨設定レポート:] Workload Security活動の統合要約。
    • [セキュリティモジュールの使用状況レポート:] クラウドアカウントごとの消費時間の内訳。
    • [概要レポート:] Workload Security活動の統合要約。
    • [不審なアプリケーション活動レポート:] 疑わしい悪意のある活動に関する情報。
    • [システムイベントレポート:] システム (非セキュリティ) 活動の記録。
    • [ユーザおよび連絡先レポート:]ユーザおよび連絡先のコンテンツとアクティビティの詳細。
    • [Webレピュテーションレポート:] Webレピュテーションイベントが最も多いコンピュータのリスト。
  3. レポートの[形式]を選択してください。PDFまたはRTFのいずれかです。セキュリティモジュール使用状況レポートは除外で、常にCSVファイルとして出力されます。
  4. オプションで、[分類]をPDFまたはRTFレポートに: BLANK, TOP SECRET, SECRET, CONFIDENTIAL, FOR OFFICIAL USE ONLY, LAW ENFORCEMENT SENSITIVE (LES), LIMITED DISTRIBUTION, UNCLASSIFIED, 内部使用のみ。
  5. 必要に応じて、[Tag Filter] エリアを使用して、イベントタグを使用してレポートデータをフィルタリングします (イベントデータを含むレポートを選択した場合)。すべてのイベントには [すべて] を選択し、タグ付けされていないイベントのみには [Untagged] を選択するか、[タグ] を選択して1つ以上のタグを指定し、選択したタグを持つイベントのみを含めます。
複数の矛盾するタグを適用すると、タグが組み合わさるのではなく、相互に影響を及ぼしてしまいます。たとえば、[ユーザのサインイン] と [ユーザのサインアウト] を選択した場合、システムイベントは発生しません。
  • [期間]]エリアを使用して、記録が存在する任意の期間の時間フィルターを設定できます。これはセキュリティ監査に役立ちます。時間フィルターオプション:
    • [過去24時間:]は、過去24時間のイベントを含み、毎時の始まりと終わりで区切られます。例えば、12月5日午前10時14分にレポートを生成すると、12月4日午前10時から12月5日午前10時までに発生したイベントのレポートが得られます。
    • [過去7日間:] には過去1週間のイベントが含まれます。週は午前0時 (00:00) に始まり、終わります。例えば、12月5日午前10時14分にレポートを生成すると、11月28日午前0時から12月5日午前0時までに発生したイベントのレポートが得られます。
    • [前月:] は、前回の完全な暦月のイベントを含み、開始と終了は午前0時 (00:00) です。例えば、このオプションを11月15日に選択すると、10月1日午前0時から11月1日午前0時までに発生したイベントのレポートを受け取ります。
    • [カスタム範囲:]を使用すると、レポートの独自の日付と時間範囲を指定できます。レポートでは、開始日が2日以上前の場合、開始時間が真夜中に変更されることがあります。
レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタデータは、最新の60時間分のデータが1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。60時間より古いデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポートで対象となる期間は1時間単位の細かさで指定できますが、60時間を超える期間は1日単位の細かさでのみ指定できます。
  • [コンピュータ]エリアで、レポートに含めるデータが必要なコンピュータを選択してください。
    • [すべてのコンピュータ:] Workload Security内のすべてのコンピュータ。
    • [マイコンピュータ:] サインインしているユーザがユーザロールの権限設定に基づいてコンピュータへのアクセスを制限されている場合、これらはサインインしているユーザが閲覧権限を持つコンピュータです。
    • [グループ:] Workload Securityグループ内のコンピュータ。
    • [使用ポリシー:] 特定の保護ポリシーを使用しているコンピュータ。
    • [コンピュータ:] 単一のコンピュータ。
複数のコンピュータグループの特定のコンピュータに関するレポートを生成するには、対象のコンピュータに対する表示権限のみを持つユーザを作成してから、スケジュールタスクを作成してそのユーザの [すべてのコンピュータ] レポートを定期的に生成するか、そのユーザとしてログインして次のコマンドを実行します。 [すべてのコンピュータ] レポート。そのユーザに表示権限があるコンピュータのみがレポートに含まれます。
  • [暗号化]領域では、現在サインインしているユーザのパスワードまたはこのレポート専用の新しいパスワードでレポートを保護できます。
    • [レポートのパスワードの無効化:]レポートはパスワードで保護されていません。
    • [現在のユーザのレポートのパスワードを使用:] 現在のユーザのPDFレポートパスワードを使用します。アクティブなユーザのPDFレポートパスワードを変更するには、Workload Security内で画面上部の[Workload Securityユーザプロパティ]をクリックし、[設定]タブをクリックします。[Password Protected Reports]セクションで必要に応じて[Reports generated by this user are password protected]を選択し、新しいパスワードを入力して確認します。
    • [カスタムレポートのパスワードの使用:]このレポートのために一度限りのパスワードを作成します。パスワードには複雑さの要件はありません。

予約レポートを設定する 親トピック

予約レポートは、定期的にレポートを生成し、任意の数のユーザおよび連絡先に配信する予約タスクです (以前は定期レポートと呼ばれていました)。
定期レポートを設定するには、[イベントとレポート] タブに移動し、左ペインで [レポートの生成][予約レポート] をクリックします。[新規] をクリックします。新しい定期タスクウィザードが開き、設定プロセスの手順を案内します。ほとんどのオプションは単一レポートの場合と同じですが、時間フィルターの除外があります。
2016-07-07_000117_DS10=62f52a59-1be0-4dcd-8899-94a6dfe4760c.png
  • [過去 [N] 時間:] [N]が60未満の場合、開始時刻と終了時刻は指定された時間のちょうどに設定されます。[N]が60を超える場合、時間範囲の開始時刻に対する毎時データは利用できないため、レポートの開始時刻は開始日の午前0時 (00:00) に変更されます。
  • [過去 [N] 日間:] は[N]日前の午前0時から現在の日の午前0時までのデータを含みます。
  • [過去 [N] 週間:]には、過去[N]週間のイベントが含まれており、開始と終了は午前0時 (00:00) です。
  • [過去 [N] か月間:] は、直近の[N]ヶ月分のフルカレンダーマンスのイベントを含み、開始と終了は午前0時 (00:00) です。例えば、11月15日に「直近1ヶ月」を選択すると、10月1日午前0時から11月1日午前0時までに発生したイベントのレポートを受け取ります。
レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタデータは、最新の60時間分のデータが1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。60時間より古いデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポートで対象となる期間は1時間単位の細かさで指定できますが、60時間を超える期間は1日単位の細かさでのみ指定できます。
予約タスクの詳細については、Workload Security予約タスクの設定を参照してください。

トラブルシューティング:予約レポートの送信に失敗しました 親トピック

Workload Securityでは、定期レポートをスケジュールしてメールで送信できますが、メールのサイズが20 MBを超えると送信に失敗します。[イベントとレポート]ページで、対応するメール送信失敗イベントが発生し、エラーメッセージ、メールの件名、送信先情報が表示されます。
メッセージサイズが制限を超えたためにレポートメールの送信に失敗した場合は、期間を短くするか、グループまたはポリシーで対象コンピュータをフィルタして、レポートをサブレポートに分割します。