アプリケーションコントロールの概要については、アプリケーションコントロールでソフトウェアをロックダウンするを参照してください。初期設定の手順については、アプリケーションコントロールのセットアップを参照してください。
初期設定では、アプリケーションコントロールを有効にすると、ソフトウェアの変更が発生したときやアプリケーションコントロールによってソフトウェアの実行がブロックされたときに、この機能によってイベントがログに記録されます。アプリケーションコントロールイベントは、[処理] 画面と [イベントとレポート] 画面に表示されます。設定されている場合は、[アラート] 画面にアラートが表示されます。
どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステムまたはsyslogサーバに転送するかを設定できます。
コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。

手順

  1. ログに記録するApplication Controlイベントを選択する
  2. アプリケーションコントロールイベントログを表示する
  3. 集約されたセキュリティイベントを解釈する
  4. アプリケーションコントロールアラートをモニタ

ログに記録するアプリケーションコントロールイベントを選択する 親トピック

手順

  1. [管理][システム設定][システムイベント] の順に選択します。
  2. Event ID 7000「アプリケーション制御イベントのエクスポート」などのアプリケーション制御イベントにスクロールします。
  3. そのタイプのイベントのイベントログを記録するには、[記録する] を選択します。
    これらのイベントが発生すると、[イベント][レポート ][イベント][ システムイベント]に表示されます。ログは最大ログ保存期間の基準に達するまで保持されます。詳細については、Workload Securityのイベント収集を参照してください。
    [コンピュータ][詳細][アプリケーションコントロール][イベント]に表示されるイベントはここでは設定されていません。それらは常に記録されます。
  4. イベントログをSIEMまたはSyslogサーバに転送する場合は、[転送する]を選択します。
  5. 外部のSIEMを使用する場合、考えられるアプリケーションコントロールイベントログのリストを読み込み、取るべきアクションを示す必要があるかもしれません。アプリケーションコントロールイベントのリストについては、アプリケーションコントロールイベントを参照してください。

アプリケーションコントロールイベントログを表示する 親トピック

アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。
  • [システムイベント: 構成変更やソフトウェア更新の履歴を提供する監査イベントです。システムイベントを表示するには、[イベントとレポート][イベント][システムイベント]をクリックします。リストについては、システムイベントを参照してください。
  • [セキュリティイベント: アプリケーションコントロールが未承認のソフトウェアをブロックまたは許可する場合、またはブロックルールに基づいてソフトウェアをブロックする場合に、エージェントで発生するイベント。セキュリティイベントを表示するには、[イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント] の順にクリックします。リストについては、アプリケーションコントロールイベント を参照してください。

集約されたセキュリティイベントを解釈する 親トピック

エージェントのハートビートに同じセキュリティイベントのインスタンスが複数含まれている場合、 Workload Security はイベントを[セキュリティイベント]ログに集約します。イベントの集約によって、ログ内の項目数が減少するため、重要なイベントを見つけやすくなります。
  • イベントが同じファイルに対して発生した場合、通常はそのファイル名が集約されたイベントと共にログに含まれます。例えば、ハートビートにはTest_6_file.shファイルに対する未認識ソフトウェアの実行許可イベントの3つのインスタンスが含まれ、他のインスタンスは含まれません。Workload SecurityはTest_6_file.shファイルに対するこれら3つのイベントを集約します。
  • 多数のファイルでイベントが発生した場合、ルールのリンク、パス、ファイル名、およびユーザ名がログから除外されます。たとえば、1つのハートビートに、複数の異なるファイルに対して発生した「許可されていないソフトウェアの実行」イベントの21個のインスタンスが含まれているとします。 Workload Securityでは、21件のイベントが1つのイベントに集約されますが、ルールのリンク、パス、ファイル名、またはユーザ名は含まれません。
集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。
ログでは、集約されたイベントには特別なアイコンが使用され、[繰り返しカウント] 列に集約されたイベント数が表示されます。
ac_events=e5817ec3-35d0-472d-aba9-ed8d974661b1.png

アプリケーションコントロールアラートを監視する 親トピック

アラートの原因となるアプリケーションコントロールイベントまたは重要度を設定するには、[アラート] タブで [アラートの設定] をクリックし、イベントを選択して [プロパティ] をダブルクリックします。詳細については、アラートの設定 を参照してください。
アプリケーションコントロールイベントのアラートを有効にすると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と、アプリケーションコントロールエンジンによって実行がブロックされたすべてのソフトウェアが[アラート]タブに表示されます。[アラートステータス]ウィジェットを有効にしている場合は、アプリケーションコントロールアラートも[ダッシュボード]に表示されます。
dashboard-alert-status-app-control=64d18411-e373-467f-9153-9f1d91426be6.png
どのコンピュータが管理モードになっているか監視するには、[デバイスの追加/削除] をクリックして、 [アプリケーションコントロール のメンテナンスモード] ウィジェットを有効にすることもできます。このウィジェットには、コンピュータとその予約期間の一覧が表示されます。