ビュー:
アプリケーションコントロールの概要については、を参照してください。アプリケーションコントロールによるソフトウェアのロックダウン。初期設定の手順については、を参照してください。アプリケーションコントロールの設定
初期設定では、アプリケーションコントロールを有効にすると、ソフトウェアに変更があったときや、ソフトウェアの実行がブロックされたときなどのイベントがログに記録されます。アプリケーションコントロールイベントは、 [処理] および [イベントとレポート] ページに表示されます。設定されている場合は、 [アラート] ページにアラートが表示されます。
記録するアプリケーションコントロールイベントログの一部を設定できます。外部SIEMシステムまたはSyslogサーバに転送
コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。

手順

  1. ログに記録するアプリケーションコントロールイベントの選択
  2. アプリケーションコントロールのイベントログを表示する
  3. 集約されたセキュリティイベントの解釈
  4. アプリケーションコントロールアラートの監視

ログに記録するアプリケーションコントロールイベントを選択する 親トピック

手順

  1. に移動[管理] [システム設定] [システムイベント]
  2. イベント ID 7000「アプリケーションコントロールセキュリティイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
  3. その種類のイベントのイベントログを記録する場合は、 [記録する]を選択します。
    これらのイベントが発生すると、[イベント] [Reports] [イベント] [システムイベント] 。ログは、最大ログ保存期間の基準を満たすまで保持されます。詳細については、 Server & Workload Protectionでのイベント収集
    注意
    注意
    表示されるイベント[コンピュータ] [詳細] [アプリケーションコントロール] [イベント]ここでは設定されていません。これらは常にログに記録されます。
  4. イベントログをSIEMまたはSyslogサーバに転送する場合は、 [転送]を選択します。
  5. 外部SIEMを使用している場合は、可能性のあるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定する必要があります。アプリケーションコントロールイベントのリストについては、を参照してください。アプリケーションコントロールイベント

アプリケーションコントロールイベントログを表示する 親トピック

アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。
  • [システムイベント:] 設定変更またはソフトウェアアップデートの履歴を提供する監査イベント。システムイベントを表示するには、[イベントとレポート] [イベント] [システムイベント] 。リストについては、を参照してください。システムイベント
  • [セキュリティイベント:] アプリケーションコントロールが認識できないソフトウェアをブロックまたは許可する場合、またはブロックルールに基づいてソフトウェアをブロックする場合に、エージェントで発生するイベント。セキュリティイベントを表示するには、[イベントとレポート] [イベント] [アプリケーションコントロールイベント] [セキュリティイベント数] 。リストについては、「[アプリケーションコントロールイベント](../application-control-events.

集約されたセキュリティイベントを解釈する 親トピック

エージェントのハートビートに同じセキュリティイベントの複数のインスタンスが含まれる場合、 Server & Workload Protection はそれらのイベントをセキュリティイベントログに集約します。イベントを集約すると、ログ内の項目数が減り、重要なイベントを見つけやすくなります。
  • 同じファイルに対してイベントが発生した場合 (通常は)、ログには、集約されたイベントのファイル名が記録されます。たとえば、ハートビートには、Test_6_file.shファイルの「認識されないソフトウェアの実行が許可されました」イベントの3つのインスタンスが含まれ、そのイベントの他のインスタンスは含まれません。 Server & Workload Protection は、これら3つのイベントをTest_6_file.shファイルに集約します。
  • 多数のファイルでイベントが発生した場合、ルールのリンク、パス、ファイル名、およびユーザ名がログから除外されます。たとえば、ハートビートには、複数の異なるファイルに対して発生した「認識されないソフトウェアの実行の許可」イベントの21のインスタンスが含まれます。 Server & Workload Protection では、21件のイベントが1つのイベントに集約されますが、ルールのリンク、パス、ファイル名、またはユーザ名は含まれません。
集約されたイベントが複数のファイルに適用される場合、これらのイベントの他の発生が他のハートビートで報告されている可能性があります。ファイル名が判明している他のイベントに応答した後は、集約イベントが発生しなくなる可能性があります。
ログでは、集計されたイベントには特別なアイコンが使用されます [繰り返しカウント] 列は、集計されたイベントの数を示します。
ac_events=ee156cdd-6ef0-42dc-99dd-28cb2834ae9b.png

アプリケーションコントロールアラートを監視する 親トピック

アラートを生成するアプリケーションコントロールイベントまたは重大度を設定するには、 [アラート] タブに移動し、 [アラートの設定] ボタンをクリックしてイベントを選択し、 [プロパティ]をダブルクリックします。詳細については、アラートの設定
アプリケーションコントロールイベントに対するアラートを有効にすると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と、アプリケーションコントロールエンジンによって実行がブロックされたソフトウェアが、 [アラート] タブに表示されます。 [アラートステータス] ウィジェットを有効にしている場合は、ダッシュボードにアプリケーションコントロールアラートも表示されます。
dashboard-alert-status-app-control=c9fdda02-efde-4402-b67f-bdea853ff4d7.png
メンテナンスモードになっているコンピュータを監視するには、 [ウィジェットの追加/削除] をクリックして [アプリケーションコントロールのメンテナンスモード] ウィジェットを有効にします。このウィジェットには、コンピュータとその予約メンテナンスウィンドウのリストが表示されます。