アプリケーションコントロールの概要については、を参照してください。アプリケーションコントロールによるソフトウェアのロックダウン。初期設定の手順については、を参照してください。アプリケーションコントロールの設定。
Server & Workload Protection APIを使用して、共有ルールセットとグローバルルールを作成できます。 1種類のルールセットを使用することも、組み合わせて使用することもできます。詳細については、Create a shared ruleset and グローバルルールの追加。
-
[ローカルルールセット]: コンピュータのソフトウェアインベントリの一部として追加されたルール、またはメンテナンスモードのときに追加されたルールは、保護対象のコンピュータにのみ保存され、 Server & Workload Protectionには表示されません。 Server & Workload Protection で設定した許可ルールまたはブロックルールはエージェントに送信され、両方の場所に保存されます。エージェントはインベントリ情報を Server & Workload Protectionに転送しないため、共有ルールセットよりもローカルルールセットの方がパフォーマンスが高くなります。ソフトウェアが新規または変更されたかどうかを判断するために、バージョン10のエージェントは、最初にインストールされたソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名 (「ファイルベース」のローカルルールセットを備えている) とファイルを比較します。バージョン11以降のエージェントでは、ファイルのSHA-256ハッシュとファイルサイズのみが比較されます (「ハッシュベース」のローカルルールセットがあります)。バージョン11以降のエージェントで作成されたルールは一意のハッシュとファイルサイズのみを比較するため、ソフトウェアファイルの名前が変更または移動されても、ルールは引き続き適用されます。その結果、バージョン11以降のエージェントを使用することで、対応が必要なソフトウェア変更の数を減らすことができます。バージョン10のエージェントは、バージョン11以降にアップグレードするまで、引き続きファイルベースのローカルルールセットを使用します。アップグレードすると、ローカルルールセットはハッシュベースのルールを使用するように変換されます。
注意
同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールは「許可」ルールになります。 -
[共有ルールセット]: すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayにも同期します)。これにより、ネットワークおよびディスク領域の使用量が増加します。ただし、最初のインベントリ検索またはメンテナンスモードでルールを検証する必要がある場合や、同一のコンピュータが多数存在するサーバファームを管理している場合は、この方が簡単な場合があります。たとえば、同一のLAMP Webサーバのサーバプールがある場合や、それらが自動スケーリンググループの一部である仮想マシン (VM) である場合は、共有ルールセットが役立ちます。また、管理者の作業負荷を軽減することもできます。
警告
[承認されていないソフトウェアを明示的に許可するまでブロック]を有効にしていて、コンピュータが類似している (ただし同一ではない) 場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータ上のすべてのソフトウェアをブロックします。重要なファイルが含まれていると、OSが破損する可能性があります。その場合は、再インストールするか、バックアップに戻すか、OSのリカバリモードを使用する必要があります。新しい共有ルールセットを作成するときは、ハッシュベースのルール (ファイルのハッシュとサイズのみを比較するルール) のみを含めることができます。以前のバージョンの Server & Workload Protectionを使用して共有ルールセットを作成した場合は、ファイルベースのルール (ファイルの名前、パス、サイズ、およびハッシュを比較するルール) が含まれます。古い共有ルールセットでは、共有ルールセットを使用するすべてのAgentがエージェントバージョン11以降にアップグレードされるまで、ファイルベースのルールが引き続き使用されます。次に、共有ルールセットがハッシュベースのルールを使用するように変換されます。警告
すべてのAgentがバージョン11.0以降にアップグレードされるまで、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートするバージョン10.3以前のエージェントとは互換性がありません。
ヒント
同じハッシュ値に対して複数のファイルベースのルールがある場合、それらは1つのハッシュベースのルールに統合されます。統合するルールが互いに競合する場合 (1つのルールでファイルをブロックし、別のルールでファイルを許可する)、新しいハッシュベースのルールは「許可」ルールになります。共有ルールを作成するには、を参照してください。共有ルールセットを作成する。 -
グローバルルールには、バージョン10.2以降のエージェントが必要です。 Server & Workload Protection は、古いエージェントにグローバルルールを送信しません。グローバルルールは、他のすべてのアプリケーションコントロールルールよりも優先され、アプリケーションコントロールが有効になっているすべてのコンピュータに適用されます。グローバルルールのルールは、ファイルのMD5、SHA-1、またはSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意であるため、ファイルパス、ポリシー、またはコンピュータグループに関係なく、またアプリケーションコントロールが以前にソフトウェアを検出したかどうかに関係なく、特定のソフトウェアをすべての場所でブロックできます。
注意
マルチテナント環境では、各テナントに個別のグローバルルールがあります。すべてのテナントのソフトウェアをブロックするには、テナントごとに同じグローバルルールを作成します。グローバルルールを作成するには、を参照してください。グローバルルールの追加。
このトピックの内容:
共有ルールセットを作成する 
APIを使用して、共有の許可ルールまたはブロックルールを作成し、そのルールセットを他のコンピュータに適用できます。これは、負荷分散されたWebサーバファームなど、同一のコンピュータが多数ある場合に便利です。
[共有ルールセットはインベントリが完全に一致するコンピュータにのみ適用する必要があります。]
手順
- APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、共有ルールセットの作成。配信する前に共有ルールセットを確認する場合は、を参照してください。アプリケーションコントロールルールセットの表示と変更。
- に移動 。
- [ルールセット] セクションで、 [設定を継承] が選択されていないことを確認し、 [共有ルールセットを使用]を選択します。使用する共有ルールを指定します。
注意
これらの設定は、APIを使用して少なくとも1つの共有ルールセットを作成するまで非表示になります。共有ルールセットを作成していない場合、または初期設定のままにしている場合、各コンピュータは独自の許可ルールとブロックルールをローカルに保持します。ローカルルールを変更しても、他のコンピュータには影響しません。 - [保存]をクリックします。コンピュータ上のエージェントが次回 Server & Workload Protectionに接続しエージェントときに、これらのルールが適用されます。ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、 エージェントと Server & Workload Protection またはRelayの間のネットワークデバイスで、ハートビートポートまたはRelayでの通信が許可されていることを確認します。ポート番号。
共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える
APIを介して作成された共有の許可ルールまたはブロックルールをコンピュータで使用している場合は、ローカルルールを使用するように変更できます。アプリケーションコントロールは、ファイルシステムで現在インストールされているすべてのソフトウェアを検索し、アプリケーションコントロールを最初に有効にしたときと同様に、そのソフトウェアの初期ルールセットを作成します。
|
警告開始する前に、適切なソフトウェアのみがインストールされていることを確認します。ルールセットを再構築すると、安全でないソフトウェアや不正なソフトウェアであっても、現在インストールされているすべてのソフトウェアが許可されます。何がインストールされているかわからない場合は、クリーンインストールを実行してからアプリケーションコントロールを有効にするのが最も安全な方法です。
|
次の手順では、ローカルルールセットを使用するようにコンピュータのエージェントを設定します。すべてのコンピュータでローカルルールを使用する場合は、 [Policies] タブで設定を編集します。
手順
- に移動 。
- [ルールセット] セクションで、必要に応じて [設定を継承] の選択を解除し、 [最初はインストールされているソフトウェアに基づいてローカルルールセットを使用]を選択します。
- [保存]をクリックします。変更を確認するには、次回エージェントとServer & Workload Protectionつながる、探す アプリケーションコントロールルールセットの構築に関するイベント ログ メッセージ。
Relayを介してアプリケーションコントロール共有ルールセットをインストールする
アプリケーションコントロールルールセットを作成または変更するたびに、それを使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりもサイズが大きくなります。共有ルールセットは、多くのサーバに適用されることもよくあります。すべてのユーザーが同時に
Server & Workload Protection からルールセットを直接ダウンロードした場合、負荷が高くなるとパフォーマンスが低下する可能性があります。グローバルルールセットについても同様の考慮事項があります。
Relayを使用すると、この問題を解決できます。 (Relayの設定については、を参照してください。 Relayを使用したセキュリティアップデートとソフトウェアアップデートの配信.)
マルチテナント環境を使用しているかどうかによって、手順が異なります。
単一テナント環境
に移動をクリックし、 [アプリケーションコントロールルールセットをRelayから提供する]を選択します。
マルチテナント環境
プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtN個のアプリケーションコントロールルールセットがありません。他のテナント
(Tn) は独自のテナントを作成する必要があります。 Relayグループを選択し、 [アプリケーションコントロールルールセットをRelayから提供する]を選択します。
共有ルールセットでRelayを使用する際の考慮事項
Relayを使用する前に、使用しているデプロイメントと互換性があることを確認してください。以前にダウンロードしたルールセットがエージェントに存在せず、かつ [新しいアプリケーションコントロールルールを受信しない場合、コンピュータはアプリケーションコントロールによって保護されません。] アプリケーションコントロールルールセットのダウンロードが失敗した場合、ルールセットのダウンロード失敗イベントが Server & Workload Protection コンソールとエージェントに記録されます。
-
プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。
注意
Agentのバージョン10.0以前では、 エージェントはプロキシを介したRelayへの接続をサポートしていませんでした。プロキシが原因でルールセットのダウンロードが失敗し、AgentがRelayまたは Server & Workload Protectionにアクセスするためにプロキシを必要とする場合は、次のいずれかを実行する必要があります。- update agents' software, then configure the proxy
- プロキシをバイパスする。
- リレーを追加し、 [アプリケーションコントロールルールセットをRelayから提供する]を選択します。
-
共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。
-
ローカルルールセットを使用している場合は、Relayを使用するとパフォーマンスが低下する可能性があります。
-
プライマリ以外のテナント (tN) が初期設定のプライマリ (t0) Relayグループを使用する場合は、マルチテナント設定でRelayを使用しないでください。