各コンピュータには、独自のアプリケーションコントロールソフトウェアルールセットがあります。次の操作を実行できます。
特定のコンピュータで実行する必要のあるソフトウェアがアプリケーションコントロールによってブロックされているとユーザから報告された場合は、そのコンピュータでブロックルールを取り消すことができます。 [イベントとレポート][ アプリケーションコントロールイベント][ セキュリティイベント] の順に選択し、コンピュータを検索してブロックイベントを見つけ、[ルールの表示] をクリックします。表示されるダイアログで、ブロックルールを許可ルールに変更できます。

アプリケーションコントロールソフトウェアルールセットの表示 親トピック

アプリケーションコントロールのソフトウェアルールセットのリストを表示するには、[ポリシー][共通オブジェクト][ルール][アプリケーションコントロールルール][ソフトウェアルールセット]に移動します。
application-control-policies-rulesets=8792ee0a-f623-4541-8e12-02ef14862bf8.png
ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして[ルール]タブに移動します。[ルール]タブには、ルールが関連付けられているソフトウェアファイルが表示され、許可ルールをブロックするように変更したり、許可ルールをブロックするように変更したりできます。1つのアプリケーションコントロールルールの処理を変更するを参照してください。

セキュリティイベント 親トピック

ac-security-events=ae6d08d0-9334-4bf1-8d71-8c7e31311672.png
[イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント]には、コンピュータ上で実行されているか、アクティブに実行がブロックされているすべての承認されていないソフトウェアが表示されます。このリストは、期間および他の基準によってフィルタできます。詳細については、アプリケーションコントロールイベントを参照してください。
イベント (集約イベント以外) ごとに、[ルールの表示] をクリックすると、ルールの許可とブロックを切り替えることができます。
エージェントバージョン10.2以降には、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが含まれています。集約されたセキュリティイベントの解釈を参照してください。

アプリケーションコントロールルールの処理を変更する 親トピック

以前にブロックしたソフトウェアを許可する (またはその逆) 場合は、ルールの処理を編集できます。ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、個々のアプリケーションコントロールルールを削除するを参照してください。

手順

  1. [ポリシー ][共通オブジェクト ][ルール ][アプリケーションコントロールルール ][ソフトウェアルールセット]に移動します。
  2. 変更するルールを含むルールセットをダブルクリックして選択します。
  3. 表示されるダイアログで、[ルール] タブに移動します。
  4. ブロック (または許可) されたソフトウェアに注目する場合は、[アプリケーションコントロールルール] の横にあるメニューで [処理別] を選択し、類似するルールをグループ化します。または、検索を使用してリストをフィルタすることもできます。
    application_control_rules=65a63189-bc20-458f-8654-7f20adf25040.png
    ソフトウェアファイルの処理を変更する場合、ファイル名が複数ある場合は、[ファイル名]を選択して、関連するルールをグループ化します。
  5. 許可またはブロックするソフトウェアに対応する行を探します。
  6. [処理] 列で、許可するかブロックするかの設定を変更し、[OK] をクリックします。
    エージェントが次にWorkload Securityに接続したときにルールが更新され、バージョン番号が増加します。

個々のアプリケーションコントロールルールを削除する 親トピック

作成したルールを取り消す場合は、[Policies][共通オブジェクト][ルール][アプリケーションコントロールルール][ソフトウェアルールセット]の順に移動し、ルールを含むルールセットをダブルクリックして[ルール]タブに移動し、ルールを選択します。[削除]をクリックします。
次の点に注意してください。
  • ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、RAMとCPUの使用量が削減され、パフォーマンスが向上します。
  • ルールを削除すると、アプリケーションコントロールはそのソフトウェアを認識できなくなります。ソフトウェアを再度インストールすると、[処理] タブに再度表示されます。
  • ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。
  • 最も古いルールを見つけるには、[Policies][ Rules][ Application Control Rules][ Software Rulesets]の順に選択し、[Columns]をクリックします。[Date/Time (Last Change)]を選択して[OK]をクリックし、その列のヘッダをクリックすると、日付順にソートできます。

アプリケーションコントロールルールセットを削除する 親トピック

ルールセットに関連付けられたコンピュータがもう存在しない場合など、アプリケーションコントロールルールセットがもう使用されていない場合は、削除できます。
ルールセットを削除するには、[ポリシー][ルール][アプリケーションコントロールルール][ソフトウェアルールセット]に移動し、ルールセットをクリックして選択し、[削除]をクリックします。