アプリケーションコントロールの概要については、アプリケーションコントロールによるソフトウェアのロックダウンを参照してください。初期設定の手順については、アプリケーションコントロールの設定を参照してください。
デフォルトでは、アプリケーションコントロールを有効にすると、ソフトウェアの変更やソフトウェアの実行をブロックしたときなどのイベントが記録されます。アプリケーションコントロールのイベントは[処理]ページと[イベントとレポート]ページに表示されます。設定されている場合、アラートは[アラート]ページに表示されます。
どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステム、またはsyslogサーバに転送するかを設定できます。
コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。
ログに記録するアプリケーションコントロールイベントを選択する
-
[管理]→[システム設定]→[システムイベント] に移動します。
-
Event ID 7000「アプリケーション制御イベントのエクスポート」などのアプリケーション制御イベントにスクロールします。
-
そのタイプのイベントのイベントログを記録するには、[記録する] を選択します。これらのイベントが発生すると、[イベントとレポート]→[イベント]→[システムイベント]に表示されます。ログは最大ログ保存期間の基準に達するまで保持されます。詳細については、Deep Securityのイベント収集を参照してください。
注意
[コンピュータ]→[詳細]→[アプリケーションコントロール]→[イベント]に表示されるイベントはここでは構成されていません。常に記録されます。 -
イベントログをSIEMまたはSyslogサーバに転送するには、[転送する]を選択します。
-
外部SIEMを使用する場合、考えられるアプリケーションコントロールイベントログのリストを読み込み、実行するアクションを指定する必要があるかもしれません。アプリケーションコントロールイベントのリストについては、システムイベントおよびアプリケーションコントロールイベントを参照してください。
アプリケーションコントロールイベントログを表示する
アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。
-
システムイベント:構成変更やソフトウェア更新の履歴を提供する監査イベント。システムイベントを表示するには、[イベントとレポート]→[イベント]→[システムイベント]をクリックしてください。リストについては、システムイベントを参照してください。
-
セキュリティイベント:アプリケーションコントロールが未認識のソフトウェアをブロックまたは許可する場合、またはブロックルールによりソフトウェアをブロックする場合にエージェントで発生するイベントです。セキュリティイベントを表示するには、[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント]をクリックしてください。リストについては、アプリケーションコントロールイベントを参照してください。
集約されたセキュリティイベントを解釈する
エージェントのハートビートに同じセキュリティイベントの複数のインスタンスが含まれている場合、Deep Securityはセキュリティイベントログでイベントを集約します。イベントの集約により、ログ内の項目数が減少し、重要なイベントを見つけやすくなります。
-
同じファイルに対してイベントが発生した場合、通常はそのファイル名が集約されたイベントと共にログに含まれます。例えば、ハートビートには Test_6_file.sh ファイルに対する「未認識のソフトウェアの実行が許可されました」イベントの3つのインスタンスが含まれ、他のインスタンスは含まれません。Deep Security はこれら3つのイベントを Test_6_file.sh ファイルに対して集約します。
-
イベントが多数のファイルに対して発生した場合、ログにはルールリンク、パス、ファイル名、ユーザ名が省略されます。例えば、ハートビートには複数の異なるファイルで発生した「未認識ソフトウェアの実行が許可されました」イベントの21件のインスタンスが含まれています。Deep Securityは21件のイベントを1つのイベントに集約しますが、ルールリンク、パス、ファイル名、ユーザ名は含まれません。
集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。
ログでは、集約されたイベントは特別なアイコンを使用し、[繰り返しカウント]列には集約されたイベントの数が表示されます。

アプリケーションコントロールアラートを監視する
アプリケーションコントロールイベントまたは重大度レベルがアラートを引き起こすかどうかを設定するには、[アラート]タブに移動し、[Configure Alerts]ボタンをクリックして、イベントを選択し、[のプロパティ]をダブルクリックします。詳細については、アラートの設定を参照してください。
アプリケーションコントロールイベントに対してアラートが有効になっていると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と実行がブロックされたソフトウェアがすべて
[アラート] タブに表示されます。[アラートステータス] ウィジェットを有効にしている場合、アプリケーションコントロールのアラートはダッシュボードにも表示されます。

コンピュータがメンテナンスモードになっているかをモニタするには、[ウィジェットの追加/削除]をクリックし、[Application Control Maintenance Mode]ウィジェットを有効にします。これにより、コンピュータとその予定されているメンテナンスウィンドウのリストが表示されます。