イベントベースタスクを使用して、保護対象のコンピュータの特定のイベントを監視し、特定の条件に基づいてタスクを実行できます。

イベントベースタスクを作成する

Workload Securityで、[管理][イベントベースタスク][新規]の順にクリックして、新しいタスクを作成するための手順を含む一連のダイアログを開きます。タスクの種類に応じて、さまざまな情報の入力を求められます。

既存のイベントベースタスクを編集または停止する

既存のイベントベースタスクのプロパティを変更するには、[管理][イベントベースタスク] をクリックします。リストからイベントベースタスクを選択し、[プロパティ]をクリックします。

監視するイベント

  • エージェント起動によるアクティベーション: エージェントは、エージェント起動アクティベーションを使用してアクティベーションを実行します。
  • IPアドレスが変更されました: コンピュータが別のIPアドレスを使用し始めました。

条件

タスクを実行するために、特定の一致条件が満たされるように要求することができます。たとえば、Amazon EC2インスタンスで [コンピュータのアクティブ化] 処理 ( 処理を参照) を実行するには、AWSタグ ProductionSystem がAmazon EC2インスタンスに存在する必要があります。
条件を追加する場合:
  • 複数の条件を追加するには、プラスボタンをクリックします。複数条件設定では、処理を実行するにはすべての条件が満たされている必要があります。
  • Javaの正規表現構文 (regex) を使用します。例については、Javaの正規表現の例を参照してください。正規表現の詳細については、クラスパターンを参照してください。

それぞれの条件と説明のリスト

  • クラウドインスタンスのイメージID]: AWSクラウドインスタンスのAMI ID。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。
  • クラウドインスタンスのメタデータ: 一致するメタデータは、AWS、Azure、またはGCPインスタンスに追加された AWSタグAzureタグ、または GCPラベル に対応します。
    この一致条件は、[コンピュータ][追加][ AWSアカウントを追加する][コンピュータ][追加][AzureAWSアカウントを追加する]、または [コンピュータ][追加][GCPアカウントを追加する] を通じて Deep Security Manager に追加された AWS インスタンス、Azure VM、および GCP VM にのみ利用可能です。現在コンピュータに関連付けられているメタデータは、そのエディタウィンドウの [概要] ページに表示されます。一致条件を定義するには、メタデータキーとメタデータ値の2つの情報を提供する必要があります。例えば、AlphaFunction という名前のメタデータキーに DServer という値があるコンピュータと一致させるには、AlphaFunction と DServer を入力します。複数の条件に一致させたい場合は、正規表現を使用して AlphaFunction と .*Server、または AlphaFunction と D.* を入力することができます
  • クラウドインスタンスのセキュリティグループ名: クラウドインスタンスが適用されるセキュリティグループです。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。
  • クラウドアカウント名: [クラウドアカウント] プロパティウィンドウの [表示名] フィールド。
  • Cloud Vendor: インスタンスのクラウド環境ベンダー。この条件は、特定のクラウドベンダーのインスタンスを照合するために使用されます。
    [クラウドベンダー]は、クラウドインスタンスを[コンピュータ][追加][AWSアカウントを追加][コンピュータ][追加][Azureアカウントを追加]、または[コンピュータ][追加][GCPアカウントを追加]を通じてマネージャに追加した場合にのみ機能します。
  • コンピュータ名: コンピュータのプロパティウィンドウの [Hostname] フィールド。
  • GCPネットワークタグ: GCP VMに追加されたネットワークタグ
    GCP VM に複数の GCP ネットワーク タグがある場合、そのうちのいずれかに一致するものが見つかると、VM は一致したと見なされます。
  • プラットフォーム: コンピュータのOSです。

Java正規表現の例

一致する:
これを使用:
任意の文字列 (空ではない)
.+
空の文字列 (文字なし)
^$
Folder Alpha
Folder\ Alpha
FIN-1234
FIN-\d+ または FIN-.*
RD-ABCD
RD-\w+ または RD-.*
ABまたはABCまたはABCCCCCCCCCC
ABC*
Microsoft Windows 2003 または Windows XP
.*Windows.*
Red Hat 7またはSome_Linux123
.*Red.*|.*Linux.*|
新しいコンピュータのソースによっては、一部のフィールドが使用できない場合があります。たとえば、Active Directoryとの同期の結果として追加されたコンピュータでは、プラットフォームを使用できません。

処理

検出されたイベントに応じて、次の処理が実行されます
  • コンピュータのアクティベート: Workload Security プロテクションは、コンピュータで有効になっています。
    • 遅延アクティベーション間隔 (分): アクティベーション数が指定された分だけ遅延します。
  • コンピュータの無効化: Workload Security保護がコンピュータで無効化されています。
  • ポリシーの割り当て: 新しいコンピュータには自動的にポリシーが割り当てられます。最初にコンピュータをアクティベートする必要があります。
  • Relayグループの割り当て: 新しいコンピュータには、セキュリティ更新プログラムを受信するためのリレーグループが自動的に割り当てられます。
  • 割り当て先コンピュータグループ: コンピュータは、 [コンピュータ] 画面のコンピュータグループのいずれかに配置されています。

実行順序

イベントベースのタスクを使用する場合は、各タスクに固有の条件を作成して使用する必要があります。これは、同一の条件が検出された場合、 Workload Securityは特定の順序でそれらを処理します。この順序では、タスク内の条件の数を考慮せずに、それらのタスクを互いにランク付けするためです。
たとえば、Windows Server 2012プラットフォーム上のserver01.example.comコンピュータで次のイベントベースのタスクが発生したとします。
event-based-tasks=7d177f29-4623-4af0-b364-9f3c8a451e31.png
より多くの条件を含むイベントベースタスクが最初に自動的に実行されることはありません。代わりに、プラットフォーム条件が2回一致し、タスクの名前に基づいてイベントベースのタスクが実行されます。
予期しない結果を回避するには、イベントベースのタスク(CamelCaseなど)に固有の命名規則を使用してください。

イベントベースタスクを一時的な無効にする

既存のイベントベースタスクが実行されないようにするには、タスクを右クリックし、[無効] をクリックします。たとえば、特定の管理作業を実行している間はイベントベースのタスクを一時的に無効にし、その間は何も行わないようにすることができます。
イベントベースタスクを再び有効にするには、このタスクを右クリックして、[有効] をクリックします。