アプリケーションコントロールルールセットの表示と変更

各コンピュータには独自のアプリケーションコントロールルールセットがあります。次のことができます:

アプリケーションコントロールのルールセットを表示し、含まれているルールを確認します。

ヒント

最初にコンピュータでアプリケーションコントロールを有効にすると、コンピュータにインストールされているソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。ただし、Deep SecurityのレガシーREST APIを使用しない限り、Deep Security Managerからインベントリに関連付けられたルールを確認することはできません (APIを使用して高度なアプリケーションコントロール機能にアクセスするを参照)。Deep Security Managerでは、コンピュータのルールセットは、コンピュータに対して許可/ブロックルールを作成するまで空のまま表示されます。

アプリケーションコントロールルールのアクションを変更するソフトウェアファイルが許可/ブロックされなくなった場合。
ソフトウェアが削除され、再インストールされる可能性が低い場合は、個別のアプリケーションコントロールルールを削除します。
アプリケーションコントロールのルールセットを削除するには、ルールセットに関連付けられているコンピュータが削除されている必要があります。

ヒント

ユーザが特定のコンピュータで実行する必要があるソフトウェアをアプリケーションコントロールがブロックしていると報告した場合、そのコンピュータでブロックルールを解除することができます。[イベントとレポート]→[アプリケーションコントロールイベント]→[セキュリティイベント]に移動し、コンピュータを見つけ、ブロックイベントを特定して、[ルールの表示]をクリックします。表示されるポップアップで、ブロックルールを許可ルールに変更できます。

アプリケーションコントロールルールセットを表示

アプリケーションコントロールのルールセット一覧を表示するには、[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルールセット >に移動してください。

ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして[ルール]タブに移動します。ルールタブには、ルールが関連付けられているソフトウェアファイルが表示され、許可ルールをブロックに変更したり、その逆を行ったりすることができます。(アプリケーションコントロールルールのアクションを変更するを参照してください。)

セキュリティイベント

ac-security-events=1c0ca810-6fc4-4cf4-8a56-b10fc2bedb6d.png

[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント]は、コンピュータで実行されたか、実行をブロックされたすべての未認識のソフトウェアを表示します。このリストは、期間やその他の条件でフィルタリングできます。詳細については、アプリケーションコントロールイベントを参照してください。

各イベント (集約イベントを除く) について、[View rules]をクリックしてルールを許可からブロック、またはその逆に変更できます。

Deep Security Agent 10.2以降には、同じイベントが繰り返し発生した場合にログの量を減らすためのイベント集約ロジックが含まれています。(集約されたセキュリティイベントの解釈を参照してください。)

アプリケーションコントロールルールの処理を変更する

以前にブロックしたソフトウェアを許可する (またはその逆) 場合は、ルールの処理を編集できます。ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、個々のアプリケーションコントロールルールを削除するを参照してください。

[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルールセット > に移動します。
変更するルールを含むルールセットをダブルクリックして選択します。
表示されたポップアップ画面で、[ルール] タブを選択します。
ソフトウェアがブロックされた (または許可された) ものに焦点を当てたい場合は、[アプリケーションコントロールルール]の横のメニューで[処理別]を選択して、同様のルールをグループ化します。あるいは、検索を使用してリストをフィルタリングすることもできます。

ソフトウェアファイルの処理を変更したいが、ファイル名が異なる場合は、関連するルールをグループ化するために [ファイル名別] を選択します。
許可またはブロックするソフトウェアに対応する行を探します。
[処理]列で設定を許可またはブロックに変更し、[OK]をクリックします。

AgentからDeep Security Managerへの次回接続時に、ルールがアップデートされ、バージョン番号が上がります。

個々のアプリケーションコントロールルールを削除する

作成したルールを元に戻したい場合は、[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルールセット >に移動し、ルールを含むルールセットをダブルクリックして、[ルール]タブに移動し、ルールを選択してから[削除]をクリックします。

いくつか覚えておくべきこと:

ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、RAMとCPUの使用量が削減され、パフォーマンスが向上します。
ルールを削除すると、アプリケーションコントロールはそのソフトウェアを認識しなくなります。ソフトウェアが再インストールされると、再び[処理]タブに表示されます。
ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。
最も古いルールを見つけるには、[ポリシー]→[ルール]→[アプリケーションコントロールルールセット >に移動し、[列]をクリックします。[前回の変更日時]を選択し、[OK]をクリックして、その列のヘッダーをクリックして日付で並べ替えます。

アプリケーションコントロールルールセットを削除する

ルールセットに関連付けられたコンピュータがもう存在しない場合など、アプリケーションコントロールルールセットがもう使用されていない場合は、削除できます。

ルールセットを削除するには、[ポリシー]→[ルール]→[アプリケーションコントロールルールセット >に移動し、ルールセットをクリックして選択し、[削除]をクリックします。