ビュー:
Trust Entitiesは、信頼ルールセットに割り当てられた信頼ルールのプロパティに一致するソフトウェアの変更を自動承認します。各信頼ルールには、ソフトウェアの変更を自動承認するためのパラメータを定義する1つ以上のプロパティが含まれています。
信頼エンティティ機能を使用すると、Deep Security Agentでソフトウェア変更を事前に自動認証できるため、Deep Security Managerに送信されるソフトウェア変更イベントの数を減らすことができます。たとえば、OSの定期的なアップデートを実行しているエージェントは、パッチを適用するたびに、いくつかの新しいソフトウェア変更を作成します。適切な信頼ルールを設定してそれらのエージェントに適用すると、エージェントでソフトウェアの変更を自動承認できるため、Deep Security Managerの [処理] タブから、またはアプリケーションコントロールのセキュリティイベントとして手動で管理する必要がなくなります。
信頼エンティティを使用してソフトウェアの変更を自動承認するには、信頼ルールを設定し、それらを信頼ルールセットに割り当て、ルールセットをポリシーまたはコンピュータに割り当てる必要があります。
Trust Entities機能で自動承認されていないソフトウェアの変更を許可またはブロックする方法については、アプリケーションコントロールのルールセットの表示と変更を参照してください。
このドキュメントでは、sourceはソフトウェアの変更を作成するプロセスを指し、targetはソフトウェアの変更自体を指します。
ヒント
ヒント
信頼ルールセットのAPIドキュメントを参照できます。
現在、一部の信頼ルールプロパティはサポートされるWindowsプラットフォームのエージェントにのみ適用され、Linuxではまだ使用できません。詳細については、信頼ルールのプロパティのLinuxの制限を参照してください。

信頼ルールセット

信頼ルールセットは、1つ以上のユーザ設定の 信頼ルールで構成されます。 がDeep Security Managerのポリシーまたはコンピュータに信頼ルールセット を割り当てると、そのルールセットに含まれるルールが関連するワークロードに適用され、ルールプロパティの要件を満たすソフトウェアの変更が自動的に承認されます。

信頼ルールセットを作成する

新しい信頼ルールセットを作成するには、次のいずれかを実行します。
Deep Security Manager [ポリシー]タブで次の操作を実行します。
  1. [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]に移動してください。
  2. [信頼ルールセット]セクションで、[新規]を選択します。
  3. [新規ルールセット]ウィンドウで、新しいルールセットの名前と説明(オプション)を入力します。
  4. リストから1つ以上の信頼ルールを選択して、信頼ルールセットに割り当てます。
    5. 新しいルールセット画面で選択されたルール
  5. [OK]を選択してください。
割り当てたルールを含む信頼ルールセットが作成されます。
 
Deep Security Managerの[コンピュータ]または[ポリシー]タブから:
  1. コンピュータまたはポリシーをダブルクリックします (または右クリックして[詳細]を選択します)。
  2. [アプリケーションコントロール]に移動し、構成がオンまたは継承 (オン) に設定されていることを確認してください。
  3. [信頼ルールセット]ドロップダウンリストで、[新規]を選択します。
    信頼エンティティのドロップダウンリストから新規を選択したコンピュータまたはポリシーのプロパティページ
  4. [新規ルールセット]ウィンドウで、新しいルールセットの名前と説明(オプション)を入力します。
    信頼ルールセットウィンドウから新規を選択
  5. リストから1つ以上の信頼ルールを選択して信頼ルールセットに割り当て、[保存]を選択して、割り当てたルールを含む信頼ルールセットを作成します。
  6. (オプション) 新しい信頼ルールセットをコンピュータまたはポリシーに割り当てるには、[保存]を選択します。
ヒント
ヒント
信頼ルールセットを最初から作成する代わりに、[ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ][複製] ボタンを使用して既存のルールセットのコピーを作成し、必要に応じて設定できます。

信頼ルールセットの割り当てまたは割り当て解除

信頼ルールセットを割り当てるには
  1. Deep Security Managerの[コンピュータ]または[ポリシー]タブから、コンピュータまたはポリシーをダブルクリックします (または右クリックして詳細を選択します)。
  2. [アプリケーションコントロール]に移動し、[設定]がオンまたは継承 (オン) に設定されていることを確認してください。
  3. ドロップダウンリストから[信頼ルールセット]を選択します。
    ドロップダウンメニューから信頼ルールセットを割り当てる
  4. [保存]を選択します。
これで、選択した信頼ルールセットがコンピュータまたはポリシーに割り当てられました。
 
信頼ルールセットの割り当てを解除するには:
  1. [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ] に移動して、信頼ルールセットを選択してください。
  2. 右側に表示される信頼ルールセットプロパティウィンドウで、割り当ての横にある番号を選択します。
    選択された信頼ルールセットのプロパティと割り当て数を表示
  3. [割り当て先]ウィンドウで、コンピュータまたはポリシーを選択します。
    この信頼ルールセットが割り当てられているポリシーとコンピューターを表示する割り当て先ウィンドウ
  4. コンピュータまたはポリシーウィンドウの[アプリケーションコントロール]タブから、信頼ルールセットのドロップダウンリストでなしを選択してルールセットの割り当てを解除します。
    コンピュータまたはポリシーのアプリケーションコントロールタブで、信頼ルールセットのドロップダウンリストからなしが選択されている
  5. [保存]を選択します。
信頼ルールセットがコンピュータまたはポリシーに割り当てられていません。

信頼ルールセットを削除する

  1. [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]に移動してください。
  2. [信頼ルールセット]セクションで、削除するルールセットを選択し、[削除]を選択します。
  3. 削除ルールセット確認ウィンドウから、[OK]を選択します。削除ルールセット確認ウィンドウ
信頼ルールセットが削除されます。
信頼ルールセットが現在コンピュータまたはポリシーに継承されているか、割り当てられている場合は、信頼ルールセットを削除できないことに注意してください。信頼ルールセットを削除するには、割り当てを解除する必要があります。

信頼ルール

信頼ルールには、 アプリケーションコントロールによって自動承認されるソフトウェアの変更を決定する1つ以上のプロパティが含まれます。信頼ルールのプロパティに一致するソフトウェアの変更は自動認証され、 Deep Security Managerでイベントが作成されることはありません。
警告
警告
空の信頼ルールプロパティはすべてワイルドカードとして扱われます。これにより、信頼ルールをカスタマイズする方法が自由になりますが、システムのセキュリティに影響する可能性もあります。システムのセキュリティを最大化し、不要なソフトウェアの変更が許可されないようにするには、信頼ルールを作成するときにできるだけ多くのプロパティを入力してください。信頼ルールがセキュリティに与える影響がよくわからない場合は、システムのセキュリティについて十分な知識がある人に確認するか、信頼ルールセットに追加する前にトレンドマイクロに問い合わせてください。

信頼ルールの種類

  • [ソースから許可]ルールは、信頼されたアップデータまたはインストーラプロセスがシステムに新しいソフトウェアをインストールすることを許可します。信頼できるアップデータによって作成された承認済みの実行可能ファイルは、自動的に承認されます。このルールを使用するには、プロセスやインストーラなどのソースのプロパティをルールで指定する必要があります。さらに、paths属性を使用して、指定したディレクトリに許可されたソフトウェアのみを作成するようにプロセスを制限する必要があります。このルールを適用すると、[処理]画面のソフトウェア変更イベントが最小限に抑えられます。[ソースから許可]ルールはソフトウェアの作成時に評価されるため、インストーラを実行する前に設定する必要があります。
  • [対象別に許可] ルールは、指定したプロパティに一致する実行可能ファイルの実行を許可します。ルールで指定するプロパティは、実行可能ファイルなど、対象のプロパティと一致する必要があります。このルールは実行時に評価されるため、[アラート] 画面でファイルのセキュリティイベントが検出された後に適用できます。
  • [対象別にブロック] ルールは、指定したプロパティに一致する実行可能ファイルの実行を防止します。ルールで指定するプロパティは、実行可能ファイルなど、対象のプロパティと一致する必要があります。このルールは実行時に評価されるため、[アラート] 画面でファイルのセキュリティイベントが検出された後に適用できます。
    注意
    注意
    [対象別にブロック] ルールは、 Deep Security Agent 20.0.0-3288以降でサポートされます。
  • [ソースから無視] ルールを使用すると、プロセスの除外が設定されます。これにより、指定されたプロセスは、アプリケーションコントロールによる監視を受けずに、指定されたディレクトリでソフトウェアを実行または作成できます。除外ルールが削除されると、除外はただちに解除されます。 [ソースルールで無視] でパスのみを指定した場合は、すべてのプロセスがそれらのディレクトリでソフトウェアを実行または作成できます。この場合、アプリケーションコントロールによる監視は行われません。このオプションは、アプリケーションコントロール検索によって一部のプロセスまたはパスとの互換性の問題 (パフォーマンスの問題や共有違反など) が発生している場合にのみ使用してください。[ソースから無視] ルールは、Workload Security APIを使用して作成されたすべてのグローバルルールよりも優先されます。グローバルルールの詳細については、 APIを使用して共有ルールセットとグローバルルールセットを作成するを参照してください。
[ソースから許可] ルールによってソフトウェアの変更が自動承認されるたびに、変更が発生したAgentのローカルインベントリにエントリが追加されます。これは、[ソースから無視] ルールでは発生しません。
警告
警告
ソースルールで無視する場合、プロセス名プロパティはDeep Security Agent20.0.0-3165以降でのみサポートされています。

信頼ルールを作成する

  1. [共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]に移動してください。
  2. [信頼ルール]セクションで、[新規]を選択し、ドロップダウンリストから 信頼ルールの種類のいずれかを選択します。
  3. [新しいルール]ウィンドウで、新しいルールの名前と説明(オプション)を入力します。
  4. 新しいルールに追加するには、[プロパティを追加] ドロップダウンリストからプロパティを選択します。
    新しいルールウィンドウでドロップダウンからプロパティを選択する
  5. 表示されたボックスにプロパティの値を入力します。
    プロパティウィンドウのプロパティ値フィールド
  6. (オプション)この信頼ルールにプロパティを追加するには、手順4と5を繰り返します。
  7. [OK]をクリックします。
新しい信頼ルールが作成され、信頼ルールセットに割り当てる準備ができました。
ヒント
ヒント
信頼ルールのプロパティ値の設定については、信頼ルールのプロパティの種類を参照してください。
ヒント
ヒント
信頼ルールを選択し ([ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]の順に選択)、[割り当て/割り当て解除]を使用して、どの信頼ルールセットを含めるかを選択します。これは、すばやく割り当てる場合に特に便利です。または、多数のルールセットにまたがる新しいルールの割り当てを解除します。

信頼ルールのプロパティを変更する

  1. Deep Security Manager [信頼エンティティ] タブ ([ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]) からルールを選択し、[編集] を選択します (またはルールをダブルクリックします)。
    複数のプロパティとその値を表示するルール編集ウィンドウ
  2. [ルールの編集]画面で、次のいずれかを実行します。
    • 新しいプロパティを追加するには、[プロパティの追加] ドロップダウンリストからプロパティを選択し、その値を入力します。
    • 既存のプロパティを編集するには、そのテキストフィールドの値を変更します。
    • 既存のプロパティを削除するには、[削除]を選択します。
  3. [OK]をクリックします。

信頼ルールを削除する

  1. Deep Security Manager [信頼エンティティ] タブ ([ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルール]→[信頼エンティティ]) から、ルールを選択し、[削除] を選択します。
  2. [OK] をクリックして削除を確認します。
    ルール削除確認ウィンドウ
注意
注意
信頼ルールを削除すると、現在割り当てられている信頼ルールセットから自動的に割り当て解除されます。警告プロンプトの後にルールを削除する確認ウィンドウ。ルールセットに割り当てられているルールを削除すると、自動的に割り当て解除されることを説明します

信頼ルールのプロパティの種類

信頼ルールに含まれるプロパティと値は、そのルールによって自動承認されるソフトウェア変更を定義します。次のセクションでは、信頼ルールの設定に使用できる信頼ルールのプロパティの種類について、プロパティ値の設定に必要な情報を見つけるための手順を含めて説明します。

プロセス名

警告
警告
[ソースから無視] ルールで使用する場合、プロセス名プロパティはDeep Security Agent 20.0.0-3165以降でのみサポートされます。
このプロパティは、ソフトウェア変更を作成するプロセスの名前を指定します。プロセス名には、ファイル名を含むプロセスの絶対パスを使用する必要があります。
ソフトウェア変更のプロセス名を確認するには
  1. Deep Security Managerの[処理]タブに移動します。
  2. ソフトウェア変更を検索して選択します。
プロセスは、他の詳細とともに、右側のChanged By Processに表示されます。
Deep Security Agentはプロセス名にワイルドカードを使用します。プロセス名にプロセスのフルパスが含まれている場合:
*****?
* 文字はディレクトリパスの区切り文字 (/ および \) で検索を停止します。? 文字はディレクトリパスの区切り文字と一致しません。ドライブ文字はターゲットパス内の他の文字と同様に扱われ、一致のための特別な意味を持ちません。

パス

このプロパティは、信頼ルールに適用される対象パスを指定します。このプロパティに入力されたパス内にソフトウェアの変更が加えられた場合、アプリケーションコントロールは、すべてのサブディレクトリとファイル名を含むソフトウェアの変更を自動的に承認します。セミコロンで区切って複数のパスを設定できます。例: C:\Windows\;C:\Program Files\
パスの値を入力するときは、パスの最後のスラッシュ (\ または /) がどのディレクトリに含まれるかを考慮してください。
  • スラッシュで終わるパスは、その完全なパスの下にあるすべてのサブディレクトリに一致します。例えば、C:\Windows\System\Systemディレクトリ内の任意のサブディレクトリに一致します。
  • 最後のスラッシュの後に指定された値は正規表現のワイルドカードとして扱われ、特定のディレクトリおよび同じ値で始まる他のディレクトリに一致します。例えば、C:\Windows\Systemは「C:\Windows\System*」に一致するすべてのディレクトリおよびサブディレクトリを含み、C:\Windows\System\C:\Windows\System32\C:\Windows\SystemApps\などが含まれます。
Deep Security Agentバージョン20.0.0-5137以降では、グロブスター (**) ワイルドカードがサポートされます。パスにグロブスター ** を使用すると、現在のディレクトリおよびそのサブディレクトリ内の任意の数の追加文字と一致し、1つのアスタリスク (*) は現在のディレクトリ内の任意の数の追加文字とのみ一致し、疑問符 (?) は1つの追加文字と一致します。ドライブ文字またはドライブ区切り文字 ( /または\ ) は、ターゲットパス内の他の文字と同じように扱われ、スラッシュ ( / ) またはバックスラッシュ ( \ ) で停止する*を除き、照合に特別な意味はありません。

SHA-256

[ソースから許可] ルールで使用する場合、ソフトウェア変更を作成するソースプロセスのチェックサム (SHA-256) を指定します。[対象別に許可] ルールで使用する場合は、ソフトウェア変更自体のチェックサム (SHA-256) になります。
SHA256を見つけるには、次のいずれかを実行します。
[Windows PowerShellから (ソースまたはターゲットの場合):
Windows PowerShellコマンドのGet-FileHashの手順に従います。
 
[Deep Security Managerの (ターゲットのみ):
Deep Security Managerの[処理]タブで、ソフトウェア変更を見つけて選択します。
SHA256は他の詳細と共に右側に表示されます。

ベンダ

このプロパティは現在Windowsでのみサポートされており、ソフトウェアベンダーを指定します。
ベンダを見つけるには、次のいずれかを実行します。
[ファイルエクスプローラーから:
  1. プロセスまたはファイルを含むディレクトリから、ファイルエクスプローラーの上部に表示されるプロパティ (名前、変更日など) のいずれかを右クリックし、[もっと]を選択します。
  2. [会社名]を選択し、[OK]をクリックします。
ベンダーが[ファイルエクスプローラ]ウィンドウに表示されます。
 
[Deep Security Manager から:
Deep Security Managerの[処理]タブで、ソフトウェア変更を見つけて選択します。
ベンダーは、他の詳細とともに右側のベンダーの下に表示されます。

製品名

このプロパティは現在Windowsでのみサポートされており、ソフトウェア製品名を指定します。
製品名を確認するには、次のいずれかを実行します。
ファイルのプロパティから:
  1. ファイルを含むディレクトリで、プロセスまたはファイルを右クリックし、[プロパティ]を選択します。
  2. [詳細]タブから、製品名の値を確認してください。
 
[ファイルエクスプローラーから:
  1. ファイルが格納されているディレクトリで、ファイルエクスプローラの上部に表示されるプロパティ (名前、変更日など) のいずれかを右クリックし、[もっと] をクリックします。
  2. [製品名]を選択し、[OK]をクリックします。
製品名が [製品名] 列に表示されます。
 
[Deep Security Manager から:
Deep Security Managerの[処理]タブで、ソフトウェア変更を見つけて選択します。
製品名は、他の詳細と共に製品名の下の右側に表示されます。

署名者名

[ソースから許可] ルールで使用する場合、ソフトウェア変更を作成するソースプロセスの署名者名を指定します。[対象別に許可] ルールで使用する場合は、対象ファイルに署名した証明書の署名者名になります。
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書に署名した会社の名前を指定します。
証明書署名者名を確認するには
  1. プロセスまたはファイルを右クリックし、[プロパティ]を選択します。
  2. [デジタル署名]タブで、[シグネチャリスト]に署名者の名前を見つけてください。
[署名者名] に署名者名が表示されます
ソフトウェア変更イベントまたはセキュリティイベントの最大数を除外するには、署名者名ルールプロパティを使用して、特定の署名者からのすべてのイベントを照合します。

発行者の一般名

このプロパティは現在Windowsでのみサポートされており、署名ソフトウェア証明書の発行者共通名 (CN) を指定します。
発行者の一般名を確認するには、次の手順に従います。
  1. プロセスまたはファイルを右クリックし、[プロパティ] をクリックします。
  2. [デジタル署名]タブで、[シグニチャ]リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書の表示]を選択してください。
  5. [詳細] タブに移動して [発行元] を選択してください。
証明書に含まれている場合、発行者CNは発行者の下に表示されます。

発行者の組織単位

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者組織単位 (OU) を指定します。
発行者の組織単位を見つけるには
  1. プロセスまたはファイルを右クリックし、[プロパティ]を選択します。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書の表示]をクリックします。
  5. [詳細] タブに移動して [発行元] を選択してください。
証明書に含まれている場合、発行者OUが表示されます。

発行者の組織

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者組織 (O) を指定します。
発行元の組織を確認するには
  1. プロセスまたはファイルを右クリックし、[プロパティ] をクリックします。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書の表示]をクリックします。
  5. [詳細] タブに移動して [発行元] を選択してください。
証明書に含まれている場合、発行者Oが表示されます。

発行者の地域

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の所在地 (L) を指定します。
発行元の場所を確認するには
  1. プロセスまたはファイルを右クリックし、[プロパティ] をクリックします。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書の表示]をクリックします。
  5. [詳細] タブに移動して [発行元] を選択してください。
証明書に含まれている場合、発行者Lが表示されます。

発行者の都道府県

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の州または省 (S) を指定します。
発行者の都道府県を確認するには
  1. プロセスまたはファイルを右クリックし、[プロパティ] をクリックします。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書の表示]をクリックします。
  5. [詳細] タブに移動して [発行元] を選択してください。
証明書に含まれている場合、発行者Sが表示されます。

発行国

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行国 (C) を指定します。
発行国を確認するには:
  1. プロセスまたはファイルを右クリックし、[プロパティ] をクリックします。
  2. [デジタル署名]タブで、署名リストに表示される最初の証明書を選択します。
  3. 証明書を選択し、[詳細] をクリックします。
  4. [証明書の表示]をクリックします。
  5. [詳細] タブに移動して [発行元] を選択してください。
証明書に含まれている場合、発行者Cが表示されます。

アプリケーションコントロールイベントの集約と分析

サーバ上の動的なソフトウェア更新は、数千のドリフトイベント ([処理] ページ) およびセキュリティイベント ([アプリケーションコントロールイベント] ページ) を引き起こす可能性があります。これは、事後に何を承認すべきかを知るのが難しいため、アプリケーションコントロールの使用において課題となります。Deep Security エージェント 20.0.0.5761 以降を使用している場合、この状況を緩和するために、非典型的なドリフトおよびセキュリティイベントのみを表示する信頼ルールを作成できます。これにより、サーバをロックダウンして、許可されていないソフトウェアの実行を防ぐこともできます。
ドリフトイベントはプロセス名とターゲットパスに基づいて集約されます。セキュリティイベントはSHA256ハッシュとターゲットパスに基づいて集約されます。例えば、同じプロセスが同じパスで10,000個のドリフトアイテムを作成した場合、ドリフトはprocessNameおよびpaths属性を持つ単一の信頼ルールに集約されます。
エージェントの診断が要求されると、集約されたドリフトイベントとセキュリティイベントがJSONファイルに信頼ルール形式で保存され、診断に含まれます。その後、JSONファイルは[信頼ルールィ]エディタによってサーバの信頼ルールを追加するために使用できます。

変更イベント

JSON形式の変更イベントには、次の属性があります。
{"time":1615999592250,"eventType":"ApplicationControl","uid":1063,"gid":1064,"operationType":"create","user":"ribapp","group":"ribapp", "md5":"57579EF7681147B84774F69F44783A67","sha256":"90B0418DCB3B29440EE6F69FEE05BD54265CEE3BCFABDA8ED355E257FECC2939", "processName":"/opt/IBM/WebSphere/AppServer/java/jre/bin/java","type":4,"rdev":0,"lastModificationTime":1615999090000,"mode":33188,"size":3984617, "sha1":"B226BDB9DB39AD38C4BEB6FE4F1C1C7151207848","nlink":1,"procUser":"ribapp","isAuthorized":1,"pid":10223,"fileExtension":"jar", "operationDate":1615999591534,"procUid":1063,"procGroup":"ribapp","path":"/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/","fileName":"DC.jar","recordTime":1615999592215,"fileSystemType":"ext4","procGid":1063,"dev":64775,"source":4,"ino":3801778}
  • processNameは、ターゲットファイルを作成または更新したプロセスの名前です。前の例では、/opt/IBM/WebSphere/AppServer/java/jre/bin/javaに設定されています。
  • pathは、プロセスが実行可能ファイルを更新または作成した場所です。前の例では、/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/に設定されています。

変更イベントの信頼ルール

イベントのドリフトを自動承認するための信頼ルールを作成できます。このルールのためにtrustTypeを1に設定することで信頼されたアップデーターを定義でき、pathsにリストされた任意のパスでソフトウェアを作成するプロセスを信頼します。
"trustrules": [{ "trustType":"1", "processName":"/opt/IBM/WebSphere/AppServer/java/jre/bin/java", "paths":"/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/" }, ]
ドリフトイベントを処理して信頼ルールを作成することは、多対一の操作になることがあります。例えば、/opt/IBM/WebSphere/AppServer/java/jre/bin/javaという名前のプロセスがパス/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/に数千のJARファイルを作成する場合、前述の信頼ルールはこれらすべてのJARファイルのドリフトを排除し、信頼ルールがドリフトを集約するのに効率的であることを示します。
信頼ルールは、ルールの配列で構成され、各ルールには一意のプロセスが含まれます。各信頼ルールには、paths属性に複数のパスを定義できます。例えば、process1という名前のプロセスが3つの異なる場所path1path2path3でドリフトを作成した場合、1つの信頼ルールでprocess1がこれらすべての場所で作成したドリフトをキャプチャできます。
"trustrules": [{ "trustType":"1", "processName":"process1", "paths":"path1;path2;path3" }, ]
hitcountという追加属性があり、その目的はプロセスヒット数です。この属性を使用して、特定の信頼ルールが何回ヒットしたかを判断できます。
拡張子のヒットカウントもあります: 拡張子は、プロセスが特定の拡張子を持つファイルを更新するたびに増分することで追跡されます。
"trustrules": [{ "trustType":"1", "processName":"process1", "paths":"path1;path2;path3", "hitcount":12342, ".jar":1234, ".py":323, ".":456 }, ]
前述の例では、JARファイルが1234回、piファイルが323回、拡張子のないファイルが456回更新されたプロセスを示しています。

セキュリティイベント

JSON形式のセキュリティイベントには、次の属性があります。
{"time":1492100772165,"eventType":"ApplicationControl","sha1":"066A02D230F3B16439396B049DC 912DB376B96CE","fileName":"svchost.exe","operationType":"detectOnly","blockReason":2,"size":31 1544,"sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA","type":1, "path":"C:\\Windows\System32\\","pid":1832,"operationDate": 1492100772149,"processName":"\\device\\harddiskvolume2\\windows\\system32\\cmd.exe","md5": "5F7B8544F7A20800069107FC93384F0E"}, {"time":1492100772165,"eventType":"ApplicationControl","blockReason":2,"sha256":"62EFB22F6 853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA","size":311544,"processName":"\\de vice\\harddiskvolume2\\windows\\system32\\cmd.exe","sha1":"066A02D230F3B16439396B049DC912D B376B96CE","operationType":"detectOnly","pid":1832,"md5":"5F7B8544F7A20800069107FC93384F0E ","path":"C:\\Program Files\\Trend Micro\\Deep Security Agent\\","operationDate":149210077}
前の例では、sha25662EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEAに設定され、pathC:\\Windows\System32\\に設定されています。

セキュリティイベントの信頼ルール

セキュリティイベントのドリフトを自動承認するための信頼ルールを作成できます。このルールでは、SHA256ハッシュに基づいて、pathsにリストされている任意のパスでtrustTypeを2に設定することで、信頼されたターゲットを定義できます。
"trustrules": [{ "trustType":"2", "sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA", "paths":"C:\\Windows\System32\\" }, ]
セキュリティイベントを処理して信頼ルールを作成する作業は複雑です。信頼ルールは、ルールごとに1つの一意のSHA256を含むルールの配列で構成されます。各信頼ルールのpaths属性には、複数のパスを定義できます。たとえば、異なる場所path1path2path3からsha256コンテンツハッシュAAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDD を使用してファイルが実行された場合、1つの信頼ルールでこれを次のように表すことができます。
"trustrules": [{ "trustType":"2", "sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDD", "paths":"path1;path2;path3" }, ]
SHA256ヒット数を目的とするhitcountという追加属性があります。この属性を使用して、特定の信頼ルールが何回ヒットしたかを判断できます。
ファイル名のヒットカウントもあります: 異なる名前のファイルが同じSHA256コンテンツハッシュを持つことがあります。この属性を使用して、特定の名前のファイルが同じSHA256を実行するために使用された回数をカウントできます。以下の例では、SHA256 AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE が12342回実行され、filename1 が2342回使用され、filename2 が10000回使用されています。filename1filename2 は同じコンテンツハッシュを持っています。
異なる名前のプロセスが同じSHA256コンテンツハッシュを持つ同じターゲットを実行できるため、プロセス名が同じSHA256を実行するために使用された回数をカウントすることもできます。以下の例では、SHA256 AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEEが12342回実行され、filename1が2342回使用され、filename2が10000回使用されました。filename1filename2の両方が同じコンテンツハッシュを持っています。プロセス名/opt/process1はターゲットを12000回実行するために使用され、/opt/process2はターゲットを342回実行するために使用されました。
"trustrules": [{ "trustType":"2", "sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE", "paths":"path1;path2;path3", "hitcount":12342, "filename1":2342, "filename2":10000 "/opt/process1":12000, "/opt/process2":342 }, ]
プロセスは絶対パスで表され、ファイル名はいずれかのパスへの相対パスで表されることに注意してください。

イベント分析出力

アプリケーションコントロールイベント分析の出力は、ac_event_analysis.txtというファイルに送られます。このファイルには、追加のヒットカウント属性および拡張ヒットカウント属性を持つ信頼ルール形式が含まれています。
trustrules": [{ "trustType":"1", "processName":"process1", "paths":"path11;path12;path13", "hitcount":12342, ".jar":12342 } { "trustType":"1", "processName":"process2", "paths":"path21;path22;path23", "hitcount":23232, ".py":23232 } { "trustType":"1", "processName":"process3", "paths":"path31;path32;path33", "hitcount":34332, ".exe":34322 } { "trustType":"1", "processName":"process4", "paths":"path41;path42;path43", "hitcount":12312, ".":12312 }, ]
ファイルの場所は次のとおりです:
  • Windows –C:\ProgramData\Trend Micro\Deep Security Agent\diag\ac_event_analysis.txt
  • Linuxの場合: /var/opt/ds_agent/diag/ac_event_analysis.txt
  • 診断ファイル: agent/ac/ac_event_analysis.txt
分析は再起動時にこのファイルからロードされるため、Agentの再起動後もその状態が維持されます。アプリケーションコントロールを無効にしてから有効にすると、分析はクリアされます。 ac_event_analysis.txtファイルを表示するには、 JQまたはオンラインのJSON formatterを使用します。

信頼ルールのデバッグ

信頼ルールは次のようにデバッグできます:
  1. Deep Security Managerに新しい信頼ルールを適用します。
  2. Deep Security Agentを停止します。
  3. ac_event_analysis.txtファイルを削除してください。
  4. Deep Security Agentを起動します。
  5. しばらく待って、ac_event_analysis.txtファイルが再表示されるかどうかを確認します。
    • ファイルが表示されなくなった場合、信頼ルールが機能しており、イベントの生成が抑制されています。
    • ファイルがまだ表示される場合は、新しいイベント情報についてac_event_analysis.txtファイルを確認し、それに応じて新しい信頼ルールを追加してください。信頼タイプ1のルールは、ドリフトイベントを自動承認するためのソースによる許可ルールであり、信頼タイプ2のルールはターゲットファイルの実行を許可するためのターゲットによる許可ルールです。
  6. 新しい信頼ルールを設定するには、手順1からの手順を繰り返します。
信頼ルールがヒットする頻度を確認するには、次のようにAgentでsendCommandを実行します。
  • Linux: /opt/ds_agent/sendCommand --get TrustRules
  • Windowsの場合: \program files\trend micro\deep security agent\sendCommand --get TrustRules

コンサルト指標

ドリフト分析とイベント分析がアプリケーションコントロールのメトリクスに追加され、ヒット数が最も多い上位10のプロセスがdrift_analysisオブジェクトに含まれ、カウントが最も多い上位10のSHA256がevent_analysisオブジェクトに保存されます。
"AC": { "eventReportInQueue":"0", "evtPreCreateProcessHandled":"17", "acProcessHashCount":"0", "acProcessBlockUnrecognized":"0", "engFlushDbBufferError":"0", "acFileProcessImgPath":"0", "evtFilePostClose":"249", "acFileErrorHash":"0", "acFileAllowImportingRuleset":"0", "evtFilePreCreateFromContainer":"0", "evtFilePostChmodFromContainer":"0", "engStopError":"0", "evtFilePreCreateHandled":"0", "ctrlInterpreterMatched":"0", "engPurgeDb":"0", "importCount":"0", "inventoryAdsVisited":"0", "engGetInventory":"1", "acFileAllow":"5", "acFileAllowBuilding":"0", "engSetConfigError":"0", "ctrlMsiInstallationMatched":"0", "ctrlDropProcessEvtReportQueueFull":"0", "importFail":"0", "eventReportDropped":"0", "evtFilePostChmod":"3", "acFileBlock":"0", "acFileDrift":"3", "engGetMetricsError":"0", "ctrlDropFileEvtReportQueueFull":"0", "inventoryFolderVisited":"0", "engStartError":"0", "evtFileCloudFileIgnore":"0", "engSetConfig":"1", "engFlushDbBuffer":"0", "engPurgeDbError":"0", "inventoryBytesInventoried":"433695822", "evtPreCreateProcessWithCmdLine":"0", "inventoryDriveVisited":"0", "importSuccess":"0", "engSetRuleset":"0", "eventReportSent":"3", "drift_analysis": [ { "trusttype":"1", "processName":"/usr/bin/bash", "hitcount":2, "paths":"/im1" }, { "trusttype":"1", "processName":"/usr/bin/cp", "hitcount":1, "paths":"/im1" } ], "event_analysis": [ { "trusttype":"2", "sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE", "hitcount":2, "paths":"/im1" }, { "trusttype":"2", "sha256":"EEEEEEEEEDDDDDDDDDCCCCCCCCBBBBBBBBAAAAAAAA", "hitcount":1, "paths":"/im1" } ],

署名者情報の表示

信頼ルールが有効になっている場合、ドリフトイベント分析のためにファイル署名者情報とプロセス署名者情報の両方が信頼ルールに含まれます。セキュリティイベント分析のためには、ファイル署名者情報が含まれます。
信頼ルールは、信頼エンティティルールセットがホストに適用されると有効になります (ファイル署名者情報とプロセス署名者情報がac_event_analysis.txtファイルに表示されます)。

Linuxの信頼ルールプロパティの制限

警告
警告
Linuxで現在サポートされていない信頼ルールを追加すると、ルールはソフトウェアの変更に適用されなくなります。
Linuxでは現在、次の信頼ルールのプロパティはサポートされていません。
  • 署名者名
  • 製品名
  • 発行者の一般名
  • 発行者の組織単位
  • 発行者の組織
  • 発行者の地域
  • 発行者の都道府県
  • 発行国
  • ベンダ
Linuxでは現在、次の信頼ルールのプロパティのみがサポートされています。
  • プロセス名
  • パス
  • SHA-256