アプリケーションコントロールソフトウェアルールセットの表示と変更

ビュー:

各コンピュータには、独自のアプリケーションコントロールソフトウェアルールセットがあります。次の操作を実行できます。

アプリケーションコントロールソフトウェアルールセットを表示し、含まれているルールを確認してください。

コンピュータに対してアプリケーションコントロールを初めて有効にすると、コンピュータにインストールされているソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。ただし、Deep SecurityのレガシーREST APIを使用しない限り、Workload Securityからインベントリに関連付けられたルールを確認することはできません (APIを使用して高度なアプリケーションコントロール機能にアクセスするを参照)。Workload Securityコンソールでは、コンピュータのルールセットは、コンピュータに対して許可/ブロックルールを作成するまで空のまま表示されます。
ソフトウェアファイルをブロックするか許可しない場合は、1つのアプリケーションコントロールソフトウェアルールセットルールのアクションを変更します。
ソフトウェアが削除され、再インストールされる可能性が低い場合は、個別のアプリケーションコントロールソフトウェアルールセットルールを削除します。
アプリケーションコントロールのソフトウェアルールセットを削除するには、ルールセットに関連付けられたコンピュータが削除されている必要があります。

ユーザが特定のコンピュータで必要なソフトウェアがアプリケーションコントロールによってブロックされていると報告した場合、そのコンピュータでブロックルールを解除できます。[イベントとレポート] → [アプリケーションコントロールイベント] → [セキュリティイベント]に移動し、コンピュータを見つけてブロックイベントを特定し、[ルールの表示]をクリックします。表示されるダイアログで、ブロックルールを許可ルールに変更できます。

アプリケーションコントロールソフトウェアルールセットの表示

アプリケーションコントロールのソフトウェアルールセットのリストを表示するには、[ポリシー] → [共通オブジェクト] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]に移動します。

application-control-policies-rulesets=8792ee0a-f623-4541-8e12-02ef14862bf8.png

ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして[ルール]タブに移動します。[ルール]タブには、ルールが関連付けられているソフトウェアファイルが表示され、許可ルールをブロックに変更したり、その逆を行ったりすることができます。アプリケーションコントロールルールのアクションを変更するを参照してください。

セキュリティイベント

ac-security-events=ae6d08d0-9334-4bf1-8d71-8c7e31311672.png

[イベントとレポート] → [イベント] → [アプリケーションコントロールイベント] → [セキュリティイベント]には、コンピュータ上で実行されているか、アクティブに実行がブロックされているすべての承認されていないソフトウェアが表示されます。このリストは、期間および他の基準によってフィルタできます。詳細については、アプリケーションコントロールイベントを参照してください。

各イベント (集約されたイベントを除く) について、[ルールの表示]をクリックして、ルールを許可からブロック、またはその逆に変更できます。

エージェントバージョン10.2以降には、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが含まれています。集約されたセキュリティイベントの解釈を参照してください。

アプリケーションコントロールルールの処理を変更する

以前にブロックしたソフトウェアを許可する (またはその逆) 場合は、ルールの処理を編集できます。ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、個々のアプリケーションコントロールルールを削除するを参照してください。

手順

[ポリシー ] → [共通オブジェクト ] → [ルール ] → [アプリケーションコントロールルール ] → [ソフトウェアルールセット]に移動します。
変更するルールを含むルールセットをダブルクリックして選択します。
表示されるダイアログで、[ルール] タブに移動します。
ソフトウェアがブロックされた (または許可された) ものに焦点を当てたい場合は、[アプリケーションコントロールルール]の隣のメニューで[By Action]を選択して、類似のルールをグループ化します。あるいは、検索を使用してリストをフィルタリングすることもできます。

ソフトウェアファイルのアクションを変更したいが、異なるファイル名が複数ある場合は、関連するルールをグループ化するために[By File Name]を選択してください。
許可またはブロックするソフトウェアに対応する行を探します。
[処理]列で設定を許可またはブロックに変更し、[OK]をクリックしてください。

エージェントが次にWorkload Securityに接続したときにルールが更新され、バージョン番号が増加します。

個々のアプリケーションコントロールルールを削除する

ルールを元に戻したい場合は、[ポリシー] → [共通オブジェクト] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]に移動し、ルールを含むルールセットをダブルクリックして、[ルール]タブに移動し、ルールを選択して[削除]をクリックします。

次の点に注意してください。

ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、RAMとCPUの使用量が削減され、パフォーマンスが向上します。
ルールを削除すると、アプリケーションコントロールはそのソフトウェアを認識できなくなります。ソフトウェアが再インストールされると、再び[処理]タブに表示されます。
ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。
最も古いルールを見つけるには、[ポリシー] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]に移動し、[列]をクリックします。[前回の変更日時]を選択し、[OK]をクリックして、その列のヘッダーをクリックして日付で並べ替えます。

アプリケーションコントロールルールセットを削除する

ルールセットに関連付けられたコンピュータがもう存在しない場合など、アプリケーションコントロールルールセットがもう使用されていない場合は、削除できます。

ルールセットを削除するには、[ポリシー] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]に移動し、ルールセットをクリックして選択し、[削除]をクリックします。