ビュー:
アプリケーションコントロールはサーバを継続的に監視し、ソフトウェアの変更が発生するたびにイベントを記録します。自己変更型ソフトウェアや、いくつかのWebサーバやメールサーバのように通常実行可能ファイルを作成する環境には適していません。アプリケーションコントロールがご利用の環境に適しているかどうかを確認するには、アプリケーションコントロールはどのようなソフトウェア変更を検出しますか?をご覧ください
詳細については、アプリケーションコントロールについておよびアプリケーションコントロール信頼エンティティを参照してください。
アプリケーションコントロールを有効にしてソフトウェア変更を監視するには、次の操作を実行します。
  1. アプリケーションコントロールをオンにする。
  2. 新しいソフトウェアと変更されたソフトウェアをモニタします。
  3. 計画的な変更を行う際は、メンテナンスモードをオンにしてください。
アプリケーションコントロールを有効にすると、次の方法も学習できます。

アプリケーションコントロールを有効にする 親トピック

アプリケーションコントロールは、コンピュータの設定またはポリシーで有効にできます。
  1. コンピュータまたはポリシーエディタを開き、[アプリケーションコントロール][一般]に移動します。
  2. [アプリケーションコントロールの状態][オン]または[継承 (オン)]に設定します。
  3. [施行]で、対象の保護状態を選択してください。
    • 承認されていないソフトウェアを明示的に許可するまでブロック
    • [承認されていないソフトウェアを明示的にブロックするまで許可](アプリケーションコントロールを初期設定する際にこのオプションを選択してください)
  4. [保存] をクリックします。
    ac-policy=319906d0-d3b7-4f49-8c95-daaa0be77a56.png
Workload Security とエージェントが次回接続したときに、エージェントはコンピュータにインストールされているすべてのソフトウェアのインベントリを検索して生成し、検出したすべてのソフトウェアを許可するルールを作成します。環境に応じて、この初期インベントリには15分以上かかることがあります。
アプリケーションコントロールが期待通りに動作していることを確認するには、アプリケーションコントロールが有効であることを確認するの指示に従ってください。

新規および変更済みソフトウェアを監視する 親トピック

保護されたコンピュータでインベントリが作成されると、追加または変更されたソフトウェア実行ファイルはソフトウェア変更として分類され、Workload Securityの[処理]ページに表示されます。認識されないソフトウェアが実行されるか、実行を試みてブロックされると、そのイベントは[イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント]に一覧表示されます。詳細については、アプリケーションコントロールイベントを参照してください
アプリケーションコントロールを最初に有効にした後、[処理]ページで多くのソフトウェア変更が見られる可能性があります。これは、許可されたソフトウェアが新しい実行ファイルを作成したり、ファイルの名前を変更したり、通常の操作過程でファイルを移動したりする際に発生することがあります。アプリケーションコントロールを調整するためにルールを追加すると、ソフトウェアの変更が少なくなるはずです。
すべてのコンピューターでのソフトウェア変更を迅速に見つけ、それに対する許可またはブロックルールを簡単に作成するには、[処理] タブを使用してください。
Workload Security APIを使用して、ソフトウェアルールセットの許可またはブロックルールの作成を自動化できます。詳細については、未認識のソフトウェアを許可またはブロックするを参照してください。
  1. Workload Securityコンソールで、[処理]に移動します。
  2. 承認されていないソフトウェアの特定の検出情報だけを表示するには、いくつかの方法で情報をフィルタできます。
    各コンピュータの各ソフトウェア変更を個別に評価する代わりに、この後で説明するフィルタを使用して問題のないことが分かっているソフトウェア変更を見つけて、一括で許可します。
    actions=498d46fc-54c0-48c2-94b8-120cb8845691.png
    表示されるソフトウェア変更の数を減らすには、次の操作を実行します。
    • [アプリケーションコントロール: ソフトウェア変更]の横にあるドロップダウンリストから[過去7日間]などの時間範囲を選択します。また、ページ上部のグラフ内のバーをクリックして、その期間の変更を表示することもできます。
    • 左側のペインで[コンピュータ]をクリックし、個別のコンピュータまたはグループを選択するか、[スマートフォルダ]をクリックして特定のスマートフォルダに含まれるコンピュータのみを表示します (スマートフォルダでコンピュータを動的にグループ化するを参照)。
      [コンピュータ]タブとは異なり、[ソフトウェア変更]ペインは通常すべてのコンピューターを表示しません。アプリケーションコントロールが許可またはブロックルールを持たないソフトウェアの変更を検出したコンピューターのみを表示します。
    • 検索フィルター欄に検索用語と演算子を入力します。次の属性を検索できます: プロセスによる変更、ユーザによる変更、ファイル名、ホスト名、インストールパス、MD5、SHA1、SHA256。例えば、信頼する特定のユーザによって行われたすべての変更を見つけて、[すべて許可]をクリックしてそのすべての変更を許可することができます。また、特定のソフトウェア更新が組織全体にインストールされた場合 (メンテナンスモードが有効でない間)、ファイルのハッシュ値に従ってページをフィルターし、[すべて許可]をクリックしてすべての発生を許可します。
      ソフトウェア変更に関する詳細が右側の画面に表示されます。詳細のファイル名またはコンピュータ名をクリックして、検索フィルタに追加できます。
    • [ファイル (ハッシュ) 別にグループ化]または[コンピュータ別にグループ化]を選択してください。
  3. [許可]または[ブロック]をクリックして、そのコンピュータでそのソフトウェアに対する許可またはブロックのルールを追加します。許可するかブロックするかを決定するためにさらに情報が必要な場合は、ソフトウェア名をクリックし、右側の詳細パネルを使用してください。
次回エージェントが Workload Securityに接続すると、エージェントは新しいルールを受信します。

変更の取り扱いに関するガイドライン 親トピック

  • ほとんどの環境では、アプリケーションコントロールを初めて有効にし、[処理]ページで確認した変更に対して許可およびブロックルールを追加する際に、デフォルトでソフトウェアの変更を許可する[承認されていないソフトウェアを明示的にブロックするまで許可]オプションを選択することをお勧めします。最終的には、ソフトウェアの変更率が減少するはずです。その時点で、デフォルトでソフトウェアの変更をブロックし、良好であることがわかっているソフトウェアに対して許可ルールを作成することを検討できます。一部の組織は、デフォルトで変更を許可し続け、ブロックすべきソフトウェアを[処理]ページでモニタすることを好みます。
  • まずは認識されていないソフトウェアに対処するのではなく、セキュリティイベントを評価することをお勧めします。セキュリティイベントは、どの認識されていないソフトウェアが実行された (または実行を試みた) かを示します。セキュリティイベントの詳細については、アプリケーションコントロールイベントのモニタを参照してください。
  • 承認されていないファイルの実行が許可された場合に、そのまま許可を継続するときは、許可ルールを作成します。ファイルの実行が許可されるだけでなく、ファイルに対するイベントが記録されなくなるため、ノイズが低減され、重要なイベントを見つけやすくなります
  • 既知のファイルの実行がブロックされた場合は、コンピュータからそのファイルを駆除することを検討します (特に頻繁に発生する場合)。
  • ソフトウェア変更は、発生したコンピュータごとに表示されることに注意してください。各コンピュータのソフトウェアを許可またはブロックする必要があります。
  • ルールはポリシーではなくコンピューターに割り当てられます。例えば、helloworld.pyが3台のコンピューターで検出された場合、[すべて許可]または[すべてブロック]をクリックすると、影響を受けるのはその3台のコンピューターのみです。他のコンピューターでの将来の検出には影響しません。なぜなら、それぞれ独自のルールセットを持っているからです。
  • 制御可能なソフトウェア更新に関連する変更がある場合は、それらの更新を実行する際にメンテナンスモード機能を使用してください。計画された変更を行う際のメンテナンスモードの有効化については、計画された変更を行う際のメンテナンスモードの有効化を参照してください。
  • 自動アップデートが有効になっているコンピュータおよびサーバでは、アプリケーションコントロールをロックダウンモードで実行しないでください。

変更の計画時にメンテナンスモードをオンにする 親トピック

パッチをインストールしたり、ソフトウェアをアップグレードしたり、ウェブアプリケーションを展開したりすると、アプリケーションコントロールがそれらを検出します。未認識のソフトウェアをどのように処理するかの設定によっては、[処理] タブを使用して許可ルールを作成するまで、そのソフトウェアがブロックされる可能性があります。
インストールやメンテナンスの実行時に不要なダウンタイムやアラートを回避するには、アプリケーションコントロールをメンテナンス期間用のモードに切り替えます。メンテナンスモードが有効な場合、アプリケーションコントロールによってブロックされたソフトウェアを引き続きブロックします。アプリケーションコントロール新しいソフトウェアやアップデートされたソフトウェアを実行し、コンピュータのインベントリに自動的に追加できるようになります。
Workload Security APIを使用してメンテナンスモードを自動化できます。詳細については、アップグレード中のメンテナンスモードの構成を参照してください。
  1. Workload Securityコンソールで、[コンピュータ]に移動します。
  2. 1つ以上のコンピュータを選択し、[処理][メンテナンスモードをオンにする] をクリックします。
  3. メンテナンス期間を選択します。
    メンテナンスモードは、メンテナンスウィンドウが終了するようにスケジュールされている場合、自動的に無効になります。あるいは、更新が完了した際に手動でメンテナンスモードを無効にしたい場合は、[無期限]を選択してください。
    [ダッシュボード]で、[アプリケーションコントロール - メンテナンスモードのステータス]ウィジェットはコマンドが成功したかどうかを示します。
  4. ソフトウェアをインストールまたはアップグレードします。
  5. メンテナンスモードを手動で無効にするよう選択した場合、ソフトウェアの変更の検出を再び開始するにはメンテナンスモードを忘れずに無効にしてください。

アプリケーションコントロールのヒントと注意事項 親トピック

  • パフォーマンスを向上させるために、アプリケーションコントロールではWindows Defenderの代わりにWorkload Security不正プログラム対策を使用してください。Windows Server 2016に不正プログラム対策モジュールをインストールした後、Windows Defenderが完全に無効化されていることを確認するを参照してください。
  • バッチファイルやPowerShellスクリプトに対してブロックルールを作成すると、その関連するインタープリター (PowerShellスクリプトの場合はpowershell.exe、バッチファイルの場合はcmd.exe) を使用してファイルをコピー、移動、または名前を変更することができなくなります。
  • 許可またはブロックルールを追加すると、通常、エージェントが次回Workload Securityに接続する際にエージェントに送信されます。ルールセットのアップロードが成功しなかったというエラーが表示された場合は、エージェントとWorkload Securityまたはリレーの間のネットワークデバイスがハートビートポート番号またはリレーポート番号での通信を許可していることを確認してください。
  • ブロックルールが機能していることを確認するには、先ほどブロックしたソフトウェアを実行してみてください。エージェントが変更を検出する方法の詳細については、アプリケーションコントロールはソフトウェアの変更をどのように検出しますか?をご覧ください
  • ブロックされたソフトウェアがインストールされたままの場合、アプリケーションコントロールはソフトウェアの実行をブロックする際にログを記録し、アラートを表示し続けます。コンピュータ上の権限エラーログを減らし、攻撃領域を縮小するために、アプリケーションコントロールがブロックしているソフトウェアをアンインストールしてください。それが完了したら、関連するアラートを解除したい場合は、[アラート]に移動するか、[ダッシュボード]に移動してアラートをクリックし、次に[アラートの消去]をクリックしてください。すべてのアラートを解除できるわけではありません。詳細については、事前定義されたアラート定義を参照してください。
  • パフォーマンスの理由から、コンピュータにソフトウェアの変更が多すぎる場合、アプリケーションコントロールは既存のルールを適用し続けますが、ソフトウェアの変更の検出と表示を停止します。これを解決するには、ソフトウェアの変更が多すぎる場合のアプリケーションコントロールのリセットを参照してください。