目次

アラートやその他のアクティビティに関するレポートの生成

Workload Securityでは、PDFまたはRTF形式のレポートが生成されます。ほとんどのレポートには、日付範囲、コンピュータグループ別のレポートなどの設定可能なパラメータがあります。パラメータのオプションは、それらが適用されないレポートの場合は無効になります。ワンタイムレポート( 単一レポートの設定を参照)を設定するか、定期的にレポートを実行するようにスケジュールを設定できます( 予約レポートの設定を参照してください)。

単独レポートを設定する

  1. Workload Security コンソールで、[ イベントとレポート ]タブに移動し、左側のペインで[ レポート]→[単一レポート]を生成します。。
  2. [レポート] リストで、生成するレポートの種類を選択します。使用している保護モジュールに応じて、次のレポートを利用可能です。

    • アラートレポート: 最も一般的なアラートのリスト
    • 不正プログラム対策レポート: 上位25台の感染コンピュータのリスト
    • 攻撃レポート: 分析アクティビティの概要表(モード別)含まれるものの詳細については、、攻撃レポートについてを参照してください。
    • コンピュータレポート: [コンピュータ] タブに表示される各コンピュータの概要
    • 侵入防御ルールの推奨状況レポート: 侵入防御ルールの推奨設定。このレポートは、一度に1つのセキュリティポリシーまたはコンピュータでのみ実行できます。
    • ファイアウォールレポート: ファイアウォールルールおよびステートフル設定アクティビティの記録
    • コンピュータフォレンジックス監査レポート: コンピュータ上のAgentの設定
    • 変更監視ベースラインレポート: 特定の時間におけるコンピュータのベースライン (タイプ、キー、フィンガープリントの日付)

      2021年7月12日以前に Workload Security に登録し、エージェントバージョン20.0.0-2593 +を使用しているユーザは、ベースラインが削除され、 変更監視ベースラインレポート は使用できなくなりました。 2021年7月12日より前に登録されたユーザは、2022年1月1日よりレポートを利用できなくなります。詳細については、Trend Micro Cloud One - Workload Securityからの「変更監視ベースラインレポート」の削除を参照してください。

    • 変更監視の詳細な変更レポート: 検出された変更についての詳細

    • 変更監視レポート: 検出された変更の概要
    • 侵入防御レポート: 侵入防御ルールアクティビティの記録
    • セキュリティログ監視の詳細レポート: 収集されたログデータの詳細
    • セキュリティログ監視レポート: 収集されたログデータの概要
    • 推奨設定レポート: 推奨設定の検索アクティビティの記録
    • 推奨設定の概要レポート: Workload Securityアクティビティのまとめ
    • セキュリティモジュールの使用状況レポート:クラウドアカウント別消費時間内訳
    • 不審なアプリケーション活動レポート: 不審なアクティビティについての情報
    • システムイベントレポート: システムアクティビティ (セキュリティ以外) の記録
    • ユーザおよび連絡先レポート: ユーザと連絡先の内容およびアクティビティの詳細
    • Webレピュテーションレポート: Webレピュテーションイベントの多いコンピュータのリスト
  3. レポートの [形式] で、PDFまたはRTFのどちらかを選択します。(「セキュリティモジュール使用状況レポート」は除外設定であり、常にCSVファイルとして出力されます。)

  4. PDFまたはRTFのレポートには、オプションで分類を追加することもできます。分類には、「空白」、「TOP SECRET」、「SECRET」、「CONFIDENTIAL」、「FOR OFFICIAL USE ONLY」、「LAW ENFORCEMENT SENSITIVE (LES)」、「LIMITED DISTRIBUTION」、「UNCLASSIFIED」、「INTERNAL USE ONLY」があります。
  5. [タグ] エリアで、イベントタグを使用してレポートをフィルタできます (イベントデータを含むレポートを選択した場合)。[すべて] はすべてのイベントを、[タグなし] はタグ付けされていないイベントのみを、[タグ] を選択して1つ以上のタグを指定すると指定したタグを含むイベントのみを、それぞれレポートに含めることができます。

複数の矛盾するタグを適用すると、タグが組み合わさるのではなく、相互に影響を及ぼしてしまいます。たとえば、[ユーザのログオン] と [ユーザのログオフ] を選択すると、システムイベントが発生しません。

  1. [期間] エリアで、ログの記録期間を任意に設定できます。これは、セキュリティ監査に役立ちます。期間のオプションは次のとおりです。

  2. 過去24時間: 過去24時間のイベントが含まれます。正時 (0分0秒) に記録を開始および終了します。たとえば、12月5日の午前10:14にレポートを生成した場合、12月4日の午前10:00から12月5日の午前10:00の間に発生したイベントのレポートが作成されます。

  3. 過去7日間: 過去1週間のイベントが含まれます。週の開始時刻と終了時刻は午前0時(00:00)です。たとえば、12月5日の午前10:14にレポートを生成する場合、11月28日の午前00:00から12月5日の午前00:00の間に発生したイベントのレポートが作成されます。
  4. 前月: 午前0時から開始される暦月の最後の暦月のイベントが含まれます。たとえば、11月15日にこのオプションを選択すると、10月1日の0時から11月1日の0時までに発生したイベントのレポートが送信されます。
  5. カスタム範囲: 任意の日付と時刻の範囲をレポートに指定できます。レポートでは、開始日が3日以上前の場合、開始時間が深夜0時に変更される可能性があります。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタデータは、最新の60時間分のデータが1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。60時間より古いデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポートで対象となる期間は1時間単位の細かさで指定できますが、60時間を超える期間は1日単位の細かさでのみ指定できます。

  1. [コンピュータ] エリアで、データをレポートに含めるコンピュータを選択します。

  2. すべてのコンピュータ: Workload Securityのすべてのコンピュータ

  3. マイコンピュータ: 特定のコンピュータのみの表示権限がある場合は、このオプションを選択すると、表示できるすべてのコンピュータが対象となります。
  4. グループ内の:** Workload Security グループ内のコンピュータ。
  5. 使用ポリシー: 選択したポリシー (およびオプションでそのサブポリシー) を使用しているコンピュータに、レポートの対象を限定できます。
  6. コンピュータ: レポートの対象を、選択した1台のコンピュータに限定できます。

複数のコンピュータグループから特定のコンピュータに関するレポートを生成するには、まず該当するコンピュータのみの閲覧権限があるユーザを作成し、「すべてのコンピュータ」レポートを定期的に生成する予約タスクを作成するか、作成したユーザでログオンして「すべてのコンピュータ」レポートを実行します。レポートには、そのユーザが閲覧できるコンピュータのみが記載されます。

  1. [暗号化] エリアで、現在ログインしているユーザのパスワードか、レポートごとに設定された新規パスワードでレポートを保護できます。

  2. レポートのパスワードの無効化: レポートはパスワードで保護されません。

  3. 現在のユーザのレポートのパスワードを使用: 現在のユーザのPDFレポートのパスワードを使用します。アクティブなユーザのPDFレポートのパスワードを変更するには、 Workload Securityで、画面上部のWorkload Securityユーザプロパティをクリックし、設定タブをクリックします。パスワードで保護されたレポートセクションで、必要に応じてこのユーザが生成したレポートをパスワードで保護するチェックボックスをオンにし、新しいパスワードを入力して確認します。
  4. カスタムレポートのパスワードの使用: このレポートのワンタイムパスワードを作成します。パスワードに複雑さの要件はありません。

予約レポートを設定する

予約レポートとは、レポートを任意の数のユーザおよび連絡先に定期的に生成して配信する予約タスクです(この機能は「定期レポート」と呼ばれていました)。

予約レポートを設定するには、[ Events&Reports ]タブに移動し、左側のペインで[ Generate Reports]→[Scheduled Reports]の順にクリックします。[新規] をクリックします。新規予約タスクウィザードが開き、手順に従って設定プロセスを実行できます。ほとんどのオプションは前述の単独レポートと同じですが、[期間] オプションだけは例外です。

時間フィルタ

  • 過去 [N] 時間: [N] に60未満の値を指定した場合、開始時刻と終了時刻は指定した時間の正時となります。[N] に60より大きな値を指定すると、指定した期間の開始時のデータは時間単位で集計されていないため、レポートの開始時刻は開始日の深夜0時 (00:00) に変更されます。
  • 過去 [N] 日間: [N] 日前の深夜0時から現在の日付の深夜0時までのデータがレポートされます。
  • 過去 [N] 週間: 過去 [N] 週間のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。
  • 過去 [N] か月間: 過去 [N] か月間の暦月のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。たとえば、11月15日に「過去1か月間」を選択すると、10月1日の0時から11月1日の0時までに発生したイベントのレポートが送信されます。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタデータは、最新の60時間分のデータが1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。60時間より古いデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポートで対象となる期間は1時間単位の細かさで指定できますが、60時間を超える期間は1日単位の細かさでのみ指定できます。

予約タスクの詳細については、Workload Security予約タスクの設定を参照してください。

トラブルシューティング:予約レポートの送信に失敗しました

Workload Securityでは、通常のレポートをスケジュールしてメールで送信できますが、メールのサイズは20MBを超えることはできません。そうしないとメールは送信されません。イベント&レポート ページで、対応する「メール失敗」イベントが発生し、エラーメッセージ、メール件名、およびメール送信先情報が表示されます。

メッセージのサイズが制限を超えているためにレポートのメールが送信されない場合は、時間の範囲を短くするか、グループまたはポリシーで対象コンピュータをフィルタすることで、レポートをサブレポートに分けます。