アプリケーションコントロールはサーバを継続的に監視し、ソフトウェアの変更が発生するたびにイベントを記録します。自己変更型ソフトウェアや、いくつかのWebサーバやメールサーバのように通常実行可能ファイルを作成する環境には適していません。アプリケーションコントロールがご利用の環境に適しているかどうかを確認するには、アプリケーションコントロールはどのようなソフトウェア変更を検出しますか?をご覧ください
詳細については、アプリケーションコントロールについておよびアプリケーションコントロール信頼エンティティを参照してください。
アプリケーションコントロールを有効にしてソフトウェア変更を監視するには、次の操作を実行します。

手順

  1. アプリケーションコントロールをオンにする。
  2. 新しいソフトウェアと変更されたソフトウェアをモニタします。
  3. 計画的な変更を行う際は、メンテナンスモードをオンにしてください。

次に進む前に

アプリケーションコントロールを有効にすると、次の方法も学習できます。

アプリケーションコントロールを有効にする 親トピック

アプリケーションコントロールは、コンピュータの設定またはポリシーで有効にできます。

手順

  1. コンピュータまたはポリシーエディタを開き、[アプリケーションコントロール][一般]に移動します。
  2. [アプリケーションコントロールの状態][オン]または[継承 (オン)]に設定します。
  3. [施行] で、対象の保護状態を選択します。
    • [承認されていないソフトウェアを明示的に許可するまでブロック]
    • [明示的にブロックされるまで、認識されないソフトウェアを許可する] (アプリケーションコントロールの初期設定時にこのオプションを選択する必要があります)
  4. [保存]をクリックします。
    ac-policy=319906d0-d3b7-4f49-8c95-daaa0be77a56.png
    Workload Security とエージェントが次回接続したときに、エージェントはコンピュータにインストールされているすべてのソフトウェアのインベントリを検索して生成し、検出したすべてのソフトウェアを許可するルールを作成します。環境に応じて、この初期インベントリには15分以上かかることがあります。
    アプリケーションコントロールが期待通りに動作していることを確認するには、アプリケーションコントロールが有効であることを確認するの指示に従ってください。

新規および変更済みソフトウェアを監視する 親トピック

保護対象のコンピュータでインベントリが作成されると、追加または変更されたソフトウェア実行可能ファイルはすべてソフトウェア変更として分類され、Workload Securityの[処理]ページに表示されます。認識されていないソフトウェアが実行された場合、または実行を試みてブロックされた場合、そのイベントは[イベントとレポート][イベント][アプリケーションコントロールイベント][セキュリティイベント]に表示されます。詳細については、アプリケーションコントロールイベントを参照してください
最初にアプリケーションコントロールを有効にした後は、[処理] 画面に多くのソフトウェア変更が表示されることがあります。これは、許可されたソフトウェアが通常の処理を通じて新しい実行可能ファイルを作成したり、ファイル名を変更したり、ファイルを再配置したりする場合に発生します。アプリケーションコントロールを調整するルールを追加すると、ソフトウェアの変更が少なくなります。
すべてのコンピュータのすべてのソフトウェア変更をすばやく検索し、許可ルールまたはブロックルールを簡単に作成するには、[処理]タブを使用します。
Workload Security APIを使用して、ソフトウェアルールセットの許可またはブロックルールの作成を自動化できます。詳細については、未認識のソフトウェアを許可またはブロックするを参照してください。

手順

  1. Workload Security コンソールで、[処理]に移動します。
  2. 承認されていないソフトウェアの特定の検出情報だけを表示するには、いくつかの方法で情報をフィルタできます。
    各コンピュータの各ソフトウェア変更を個別に評価する代わりに、この後で説明するフィルタを使用して問題のないことが分かっているソフトウェア変更を見つけて、一括で許可します。
    actions=498d46fc-54c0-48c2-94b8-120cb8845691.png
    表示されるソフトウェア変更の数を減らすには、次の操作を実行します。
    • アプリケーションコントロール: ソフトウェアの変更]の横にあるドロップダウンリストから、[過去7日間]などの時間範囲を選択します。画面の上部付近にあるグラフのバーをクリックして、その期間の変更を表示することもできます。
    • 左側のペインで[コンピュータ]をクリックし、個々のコンピュータまたはグループを選択するか、[スマートフォルダ]をクリックして、特定のスマートフォルダに含まれるコンピュータのみを表示します (グループのコンピュータでは、スマートフォルダが動的に表示されます)。
      [コンピュータ] タブとは異なり、 [ソフトウェア変更] ペインには、通常、すべてのコンピュータが表示されるわけではありません。許可ルールまたはブロックルールが設定されていないソフトウェアの変更が検出されたコンピュータのみが表示されアプリケーションコントロール。
    • 検索フィルタフィールドに検索語句と演算子を入力します。これらの属性は、プロセスごとの変更、ユーザ別の変更、ファイル名、ホスト名、インストールパス、MD5、SHA1、およびSHA256で検索できます。たとえば、信頼する特定のユーザが加えたすべての変更を検索し、[すべて許可] をクリックしてそのユーザのすべての変更を許可できます。または、メンテナンスモードが有効になっていないときに組織全体に特定のソフトウェアアップデートがインストールされた場合は、ファイルのハッシュ値に従って画面をフィルタし、[すべて許可] をクリックして発生したすべての変更を許可します。
      ソフトウェア変更に関する詳細が右側の画面に表示されます。詳細のファイル名またはコンピュータ名をクリックして、検索フィルタに追加できます。
    • [ファイル (ハッシュ) 別にグループ化] または [コンピュータ別にグループ化] を選択します。
  3. [許可]または[ブロック]のいずれかをクリックして、そのコンピュータの許可ルールまたはブロックルールをそのソフトウェアに追加します。許可するかブロックするかを判断するために詳細な情報が必要な場合は、ソフトウェア名をクリックし、右側の詳細パネルを使用します。
    次回エージェントが Workload Securityに接続すると、エージェントは新しいルールを受信します。

変更の処理のヒント 親トピック

  • ほとんどの環境で、[承認されていないソフトウェアを明示的にブロックするまで許可] オプションを選択し、[ アプリケーションコントロール ]を最初に有効にしたときにソフトウェアの変更を初期設定で許可するようにし、[処理] ページで表示される変更の許可およびブロックのルールを追加することをお勧めします。最終的に、ソフトウェア変更の頻度が低下します。この時点で、初期設定でソフトウェア変更をブロックし、問題のないことが分かっているソフトウェアの許可ルールを作成することを検討できます。一部の組織では、初期設定で変更を許可し、[Actions] ページでブロックするソフトウェアを監視しています。
  • まずは認識されていないソフトウェアに対処するのではなく、セキュリティイベントを評価することをお勧めします。セキュリティイベントは、どの認識されていないソフトウェアが実行された (または実行を試みた) かを示します。セキュリティイベントの詳細については、アプリケーションコントロールイベントのモニタを参照してください。
  • 承認されていないファイルの実行が許可された場合に、そのまま許可を継続するときは、許可ルールを作成します。ファイルの実行が許可されるだけでなく、ファイルに対するイベントが記録されなくなるため、ノイズが低減され、重要なイベントを見つけやすくなります
  • 既知のファイルの実行がブロックされた場合は、コンピュータからそのファイルを駆除することを検討します (特に頻繁に発生する場合)。
  • ソフトウェア変更は、発生したコンピュータごとに表示されることに注意してください。各コンピュータのソフトウェアを許可またはブロックする必要があります。
  • ルールはコンピュータに割り当てられ、ポリシーには割り当てられません。たとえば、3台のコンピュータでhelloworld.pyが検出された場合、[すべて許可] または [すべてブロック] をクリックしても反映されるのはこの3台のコンピュータのみです。他のコンピュータは独自のルールセットを使用しているため、他のコンピュータでその後同じファイルが検出されても選択した処理は適用されません。
  • 制御可能なソフトウェア更新に関連する変更がある場合は、それらの更新を実行する際にメンテナンスモード機能を使用してください。計画された変更を行う際のメンテナンスモードの有効化については、計画された変更を行う際のメンテナンスモードの有効化を参照してください。
  • 自動アップデートが有効になっているコンピュータおよびサーバでは、アプリケーションコントロールをロックダウンモードで実行しないでください。

変更の計画時にメンテナンスモードをオンにする 親トピック

アプリケーションコントロールはパッチのインストール、ソフトウェアのアップグレード、またはWebアプリケーションの配信も検出します。承認されていないソフトウェアの処理方法の設定によっては、[処理] タブで許可ルールを作成するまでこれらのソフトウェアがブロックされることがあります。
インストールやメンテナンスの実行時に不要なダウンタイムやアラートを回避するには、アプリケーションコントロールをメンテナンス期間用のモードに切り替えます。メンテナンスモードが有効な場合、アプリケーションコントロールによってブロックされたソフトウェアを引き続きブロックします。アプリケーションコントロール新しいソフトウェアやアップデートされたソフトウェアを実行し、コンピュータのインベントリに自動的に追加できるようになります。
Workload Security APIを使用してメンテナンスモードを自動化できます。詳細については、アップグレード中のメンテナンスモードの構成を参照してください。

手順

  1. Workload Security コンソールで、[コンピュータ]に移動します。
  2. 1つ以上のコンピュータを選択し、[処理][メンテナンスモードをオンにする] をクリックします。
  3. メンテナンス期間を選択します。
    メンテナンスモードは、メンテナンス期間の終了が予定されているときに自動的に無効になります。または、アップデートの完了時にメンテナンスモードを手動で無効にする場合は、[無期限] を選択します。
    [ダッシュボード][アプリケーションコントロール - メンテナンスモードのステータス] ウィジェットに、コマンドが成功したかどうかが示されます。
  4. ソフトウェアをインストールまたはアップグレードします。
  5. メンテナンスモードを手動で無効にするよう選択した場合、ソフトウェアの変更の検出を再び開始するにはメンテナンスモードを忘れずに無効にしてください。

アプリケーションコントロールのヒントと注意事項 親トピック

  • パフォーマンスを向上させるために、アプリケーションコントロールではWindows Defenderの代わりにWorkload Security不正プログラム対策を使用してください。Windows Server 2016に不正プログラム対策モジュールをインストールした後、Windows Defenderが完全に無効化されていることを確認するを参照してください。
  • バッチファイルやPowerShellスクリプトに対してブロックルールを作成すると、その関連するインタープリター (PowerShellスクリプトの場合はpowershell.exe、バッチファイルの場合はcmd.exe) を使用してファイルをコピー、移動、または名前を変更することができなくなります。
  • 許可またはブロックルールを追加すると、通常、エージェントが次回Workload Securityに接続する際にエージェントに送信されます。ルールセットのアップロードが成功しなかったというエラーが表示された場合は、エージェントとWorkload Securityまたはリレーの間のネットワークデバイスがハートビートポート番号またはリレーポート番号での通信を許可していることを確認してください。
  • ブロックルールが機能していることを確認するには、先ほどブロックしたソフトウェアを実行してみてください。エージェントが変更を検出する方法の詳細については、アプリケーションコントロールはソフトウェアの変更をどのように検出しますか?をご覧ください
  • ブロックしたソフトウェアがインストールされたままの場合、アプリケーションコントロールは引き続きソフトウェアの実行をブロックするとアラートを表示し、ログに記録します。コンピュータの権限に関するエラーログを少なくし、攻撃対象領域を縮小するには、アプリケーションコントロールがブロックしているソフトウェアをアンインストールします。その後、関連するアラートを消去するには、[アラート] または [ダッシュボード] へ進み、そのアラートをクリックし、[アラートの消去] をクリックします。ただし、すべてのアラートを消去できるわけではありません。詳細については、事前定義アラートを参照してください。
  • パフォーマンスの理由から、コンピュータにソフトウェアの変更が多すぎる場合、アプリケーションコントロールは既存のルールを適用し続けますが、ソフトウェアの変更の検出と表示を停止します。これを解決するには、ソフトウェアの変更が多すぎる場合のアプリケーションコントロールのリセットを参照してください。