ビュー:
Deep Securityの導入環境でDeep Security Managerと通信していないオフラインコンピュータが多数ある場合、まずコネクタを使用してみてください (AWSアカウントの追加についてMicrosoft AzureアカウントをDeep Securityに追加する、またはGoogle Cloud Platformアカウントを追加するを参照)。コネクタを使用すると、コンピュータのライフサイクル全体が自動的に管理され、クラウドアカウントから削除されたコンピュータもDeep Securityから自動的に削除されます。環境でコネクタを使用できない場合は、[非アクティブなAgentのクリーンナップ]を使用して非アクティブなコンピュータの削除を自動化できます。非アクティブエージェントのクリーンアップは、指定された期間 (2日から12ヶ月) オフラインおよび非アクティブであったコンピュータを毎時チェックし、削除します。
注意
注意
非アクティブなエージェントのクリーンアップでは、毎時チェックごとに最大1000台のオフラインコンピュータが削除されます。オフラインコンピュータがこれより多い場合は、すべてのオフラインコンピュータが削除されるまで、連続するチェックごとに1000台が削除されます。
非アクティブエージェントのクリーンアップを有効にした後、あなたも
注意
注意
非アクティブなエージェントのクリーンアップでは、クラウドコネクタによって追加されたオフラインコンピュータは削除されません。

非アクティブなAgentのクリーンナップを有効にする

  1. [管理] ページに移動します。
  2. [システム設定]→[Agents]→[非アクティブなAgentのクリーンナップ]の下で、[次の期間を超過した非アクティブなAgentを削除する]を選択します。
  3. 非アクティブな期間がどのくらい続いているコンピュータを削除するかをリストから選択します。
  4. アクティブなオフラインコンピュータがDeep Security Managerに再接続できるようにする(任意ですが推奨されます)。
  5. [保存] をクリックします。

長期間オフラインのコンピュータがDeep Securityで保護され続けるようにします

オフラインのコンピュータがアクティブであっても、Deep Security Managerと不規則に通信する場合、定義した非アクティブ期間内に通信しないと、非アクティブエージェントのクリーンアップによって削除されます。これらのコンピュータがDeep Security Managerに再接続することを確実にするために、[Agentからのリモート有効化][不明なAgentの再有効化]の両方を有効にすることをお勧めします。そのためには、[システム設定]→[Agents]→[Agentからのリモート有効化]の下で、まず[Agentからのリモート有効化を許可]を選択し、次に[不明なAgentの再有効化]を選択します。
注意
注意
削除されたコンピュータが再接続すると、ポリシーが適用されず、新しいコンピュータとして追加されます。コンピュータへの直接リンクはDeep Security Managerのイベントデータから削除されます。
ヒント
ヒント
エージェントによるアクティベーション時に、イベントベースのタスクを使用してコンピュータに割り当てられたポリシーを自動的に割り当てることができます。

特定のコンピュータが削除されないようにオーバーライドを設定する

コンピュータまたはポリシーレベルでオーバーライドを設定すると、非アクティブなAgentのクリーンナップによってコンピュータが削除されるのを明示的に回避できます。
オーバーライドを設定する
  1. オーバーライドを設定したいコンピュータまたはポリシーの[コンピュータエディタとポリシーエディタ]を開きます。
  2. [設定]→[一般] に移動します。
  3. [非アクティブなAgentのクリーンナップのオーバーライド]の下で、[はい]を選択します。
  4. [保存] をクリックします。

非アクティブなクリーンアップジョブによって削除されたコンピュータの監査証跡を確認する

非アクティブなエージェントのクリーンアップジョブが実行されると、削除されたコンピュータを追跡するために使用できるシステムイベントが生成されます。
次のシステムイベントを確認する必要があります:

システムイベントを検索する

非アクティブなエージェントのクリーンアップジョブによって生成されたシステムイベントを表示するには、それらをフィルタリングする検索を作成する必要があります。
  1. [イベントとレポート] ページに移動します。
  2. 右上隅にある検索フィールドリストをクリックし、[詳細検索を開く]を選択します。
    advanced-search-filter=6511ebc9-4caa-4f66-84fb-9d9354efde5b.png
  3. [期間]については、リストから[カスタム範囲]を選択してください。
  4. [開始]には、エージェントの非アクティブなクリーンアップジョブが最初に実行された直前の日付と時刻を入力します。[終了]には、クリーンアップジョブが終了した直後の日付と時刻を入力します。
  5. [検索]には、[イベントID][次のリストに含まれる]を選択し、[2953, 251]を入力します。任意で[716]およびコンピュータ再アクティベーションに関連するイベントID ([130, 790, 350, 250]) を入力できます。
これは、非アクティブなエージェントのクリーンアップジョブによって生成されたすべてのシステムイベントを表示します。対応する列をクリックすることで、時間、イベントID、またはイベント名でイベントを並べ替えることができます。その後、イベントをダブルクリックして、以下に詳述されているようにその詳細情報を取得できます。

システムイベントの詳細

2953 - 非アクティブなAgentのクリーンナップが正常に完了しました

このイベントは、非アクティブなエージェントのクリーンアップジョブが実行され、コンピュータが正常に削除されたときに生成されます。このイベントの説明には、削除されたコンピュータの数が表示されます。
注意
注意
すべてのコンピューターを削除するために複数のチェックが必要な場合、各チェックごとに個別のシステムイベントが生成されます。

251 - コンピュータの削除

非アクティブエージェントのクリーンアップが正常に完了しましたイベントに加えて、削除された各コンピュータごとにコンピュータ削除イベントが生成されます。

716 - 不明なAgentの再有効化の試行

[不明なAgentの再有効化]が有効になっている場合、削除された後に再接続を試みたアクティブなコンピュータに対してこのイベントが生成されます。再アクティブ化されたコンピュータごとに、次のシステムイベントも生成されます。
  • [130] - 資格情報が生成されました
  • [790] - エージェントによるアクティベーション要求
  • [350] - ポリシーが作成されました (イベントベースのタスクでポリシーを割り当てるように設定している場合)
  • [250] - コンピュータ作成済み または [252] - コンピュータ更新済み