アプリケーションコントロールソフトウェアルールセットの表示と変更

ビュー:

各コンピュータには、独自のアプリケーションコントロールソフトウェアルールセットがあります。次の操作を実行できます。

アプリケーションコントロールソフトウェアルールセットを表示し、含まれているルールを確認してください。

コンピュータに対してアプリケーションコントロールを初めて有効にすると、コンピュータにインストールされているソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。ただし、Deep SecurityのレガシーREST APIを使用しない限り、Workload Securityからインベントリに関連付けられたルールを確認することはできません (APIを使用して高度なアプリケーションコントロール機能にアクセスするを参照)。Workload Securityコンソールでは、コンピュータのルールセットは、コンピュータに対して許可/ブロックルールを作成するまで空のまま表示されます。
ソフトウェアファイルをブロックするか許可しない場合は、1つのアプリケーションコントロールソフトウェアルールセットルールのアクションを変更します。
ソフトウェアが削除され、再インストールされる可能性が低い場合は、個別のアプリケーションコントロールソフトウェアルールセットルールを削除します。
アプリケーションコントロールのソフトウェアルールセットを削除するには、ルールセットに関連付けられたコンピュータが削除されている必要があります。

特定のコンピュータで実行する必要のあるソフトウェアがアプリケーションコントロールによってブロックされているとユーザから報告された場合は、そのコンピュータでブロックルールを取り消すことができます。 [イベントとレポート] → [ アプリケーションコントロールイベント] → [ セキュリティイベント] の順に選択し、コンピュータを検索してブロックイベントを見つけ、[ルールの表示] をクリックします。表示されるダイアログで、ブロックルールを許可ルールに変更できます。

アプリケーションコントロールソフトウェアルールセットの表示

アプリケーションコントロールのソフトウェアルールセットのリストを表示するには、[ポリシー] → [共通オブジェクト] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]に移動します。

application-control-policies-rulesets=8792ee0a-f623-4541-8e12-02ef14862bf8.png

ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして[ルール]タブに移動します。[ルール]タブには、ルールが関連付けられているソフトウェアファイルが表示され、許可ルールをブロックするように変更したり、許可ルールをブロックするように変更したりできます。1つのアプリケーションコントロールルールの処理を変更するを参照してください。

セキュリティイベント

ac-security-events=ae6d08d0-9334-4bf1-8d71-8c7e31311672.png

[イベントとレポート] → [イベント] → [アプリケーションコントロールイベント] → [セキュリティイベント]には、コンピュータ上で実行されているか、アクティブに実行がブロックされているすべての承認されていないソフトウェアが表示されます。このリストは、期間および他の基準によってフィルタできます。詳細については、アプリケーションコントロールイベントを参照してください。

イベント (集約イベント以外) ごとに、[ルールの表示] をクリックすると、ルールの許可とブロックを切り替えることができます。

エージェントバージョン10.2以降には、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが含まれています。集約されたセキュリティイベントの解釈を参照してください。

アプリケーションコントロールルールの処理を変更する

以前にブロックしたソフトウェアを許可する (またはその逆) 場合は、ルールの処理を編集できます。ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、個々のアプリケーションコントロールルールを削除するを参照してください。

手順

[ポリシー ] → [共通オブジェクト ] → [ルール ] → [アプリケーションコントロールルール ] → [ソフトウェアルールセット]に移動します。
変更するルールを含むルールセットをダブルクリックして選択します。
表示されるダイアログで、[ルール] タブに移動します。
ブロック (または許可) されたソフトウェアに注目する場合は、[アプリケーションコントロールルール] の横にあるメニューで [処理別] を選択し、類似するルールをグループ化します。または、検索を使用してリストをフィルタすることもできます。

ソフトウェアファイルの処理を変更する場合、ファイル名が複数ある場合は、[ファイル名]を選択して、関連するルールをグループ化します。
許可またはブロックするソフトウェアに対応する行を探します。
[処理] 列で、許可するかブロックするかの設定を変更し、[OK] をクリックします。

エージェントが次にWorkload Securityに接続したときにルールが更新され、バージョン番号が増加します。

個々のアプリケーションコントロールルールを削除する

作成したルールを取り消す場合は、[Policies] → [共通オブジェクト] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]の順に移動し、ルールを含むルールセットをダブルクリックして[ルール]タブに移動し、ルールを選択します。[削除]をクリックします。

次の点に注意してください。

ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、RAMとCPUの使用量が削減され、パフォーマンスが向上します。
ルールを削除すると、アプリケーションコントロールはそのソフトウェアを認識できなくなります。ソフトウェアを再度インストールすると、[処理] タブに再度表示されます。
ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。
最も古いルールを見つけるには、[Policies] → [ Rules] → [ Application Control Rules] → [ Software Rulesets]の順に選択し、[Columns]をクリックします。[Date/Time (Last Change)]を選択して[OK]をクリックし、その列のヘッダをクリックすると、日付順にソートできます。

アプリケーションコントロールルールセットを削除する

ルールセットに関連付けられたコンピュータがもう存在しない場合など、アプリケーションコントロールルールセットがもう使用されていない場合は、削除できます。

ルールセットを削除するには、[ポリシー] → [ルール] → [アプリケーションコントロールルール] → [ソフトウェアルールセット]に移動し、ルールセットをクリックして選択し、[削除]をクリックします。