注意エージェントのバージョン10.0以降を実行しているコンピュータでアプリケーションコントロールを有効にできます。アプリケーションコントロールがサポートされているオペレーティングシステムのリストについては、を参照してください。サポートされる機能 (プラットフォーム別) 。
|
アプリケーションコントロールは、保護対象サーバのソフトウェア変更を継続的に監視し、適用設定に加えて、ソフトウェアルールセット、グローバルルールセット、および信頼エンティティのコンピュータおよびポリシー設定に基づいて、保護対象サーバを許可またはブロックします。
- アプリケーションコントロールの施行設定 (ポリシーまたはコンピュータの [アプリケーションコントロール] タブ) で、[認識されないソフトウェアを明示的に許可するまでブロックする] または [認識されないソフトウェアを明示的にブロックするまで許可する] に設定できます。どのオプションを選択するかは、環境に対して必要な制御レベルによって異なります。
- のルールソフトウェアルールセットソフトウェアの実行を許可するかブロックします。 Server & Workload Protection[処理] ページまたはアプリケーションコントロールイベント ( )、割り当てられたソフトウェアルールセットでアップデートされます。
- APIを使用して、グローバルルールすべての保護対象コンピュータに適用できるブロックルールを適用および追跡できます。
- は信頼するエンティティ機能を使用すると、事前定義されたプロパティに基づいて特定のソフトウェア変更を自動承認するように信頼ルールを設定できます。これにより、エントリが表示され、 [処理] ページまたは[アプリケーションコントロール] [セキュリティイベント数] ページで手動で許可またはブロックする必要がなくなります ( ) Server & Workload Protectionで。
ソフトウェアが新規または変更されたかどうかを判断するために、エージェントは、ファイルのSHA-256ハッシュおよびファイルサイズを、最初にインストールされたSHA-256ハッシュおよびファイルサイズと比較します。
ヒントAPIを使用して、アプリケーションコントロールの作成と設定を自動化できます。詳細については、アプリケーションコントロールの設定。
|
ソフトウェアルールセットの主な概念
ソフトウェアルールセットの主な概念を次に示します。
注意ソフトウェアルールセットを使用して手動で許可またはブロックする数を減らすために、ソフトウェアの変更を自動承認する方法については、「[アプリケーションコントロールの信頼エンティティ]」を参照してください。
|
[対象となる保護の状態:] アプリケーションコントロールを設定する際に行う必要がある主な決定の1つは、対象となる保護状態を決定することです。手動で許可するように指定しない限り、すべての新規または変更されたソフトウェアの実行を禁止しますか?または、特にブロックしない限り、初期設定で実行しますか?
1つの方法は、アプリケーションコントロールを初めて有効にするときに、認識されないソフトウェアの実行を許可することです。アプリケーションコントロールルールを追加し、認識されないソフトウェアの量が減少するにつれて、ブロックモードに切り替えることができます。
[ソフトウェアルールセットルール:] ルールは、特定のコンピュータでソフトウェアを許可するかブロックするかを指定します。
[インベントリ:] コンピュータにインストールされているソフトウェアの初期リスト。許可するソフトウェアのみがコンピュータにインストールされていることを確認します。アプリケーションコントロールを有効にすると、現在インストールされているすべてのソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。コンピュータがメンテナンスモードの場合、コンピュータに加えられたソフトウェアの変更はコンピュータのインベントリに追加され、実行が許可されます。コンピュータのソフトウェアインベントリリストはエージェントに保存されますが、
Server & Workload Protection コンソールには表示されません。
[承認されていないソフトウェア:] コンピュータのインベントリになく、まだアプリケーションコントロールルールの対象になっていないソフトウェア。参照アプリケーションコントロールでソフトウェア変更として検出されるのはどれですか?
[メンテナンスモード:] ソフトウェアのインストールまたはアップデートを計画している場合は、メンテナンスモードをオンにすることを強くお勧めします。メンテナンスモードでは、アプリケーションコントロールは、アプリケーションコントロールルールによって具体的にブロックされたソフトウェアを引き続きブロックしますが、新規またはアップデートされたソフトウェアの実行は許可し、コンピュータのインベントリリストに追加します。参照計画的な変更を行うときにメンテナンスモードを有効にする。
アプリケーションコントロールソフトウェアのルールセットの仕組み
手順
- ポリシーでアプリケーションコントロールを有効にし、そのポリシーをエージェントによって保護されているコンピュータに割り当てます (アプリケーションコントロールを有効にする)。
- エージェントはポリシーを受信すると、コンピュータにインストールされているすべてのソフトウェアのインベントリを作成します。インベントリにリストされているすべてのソフトウェアは安全であるとみなされ、そのコンピュータでの実行が許可されます。このインベントリリストは Server & Workload Protection コンソールには表示されません。つまり、アプリケーションコントロールを有効にするコンピュータに適切なソフトウェアのみがインストールされていることを確実に確認する必要があります。
- インベントリが完了すると、アプリケーションコントロールはコンピュータ上のソフトウェアの変更を認識します。ソフトウェアの変更には、コンピュータに表示される新しいソフトウェアや、既存のソフトウェアに対する変更が含まれます。
- コンピュータがメンテナンスモードの場合、エージェントはソフトウェアをインベントリに追加し、実行を許可します。この変更は、 Server & Workload Protection コンソールには表示されません。参照計画的な変更を行うときにメンテナンスモードを有効にする。
- 信頼されたインストーラによって変更が加えられた場合、 エージェントはソフトウェアをインベントリに追加し、実行を許可します。たとえば、Microsoft Windowsが自動的にコンポーネントのアップデートを開始すると、数百もの新しい実行可能ファイルがインストールされることがあります。アプリケーションコントロールは、既知のWindowsプロセスによって作成された多くのファイル変更を自動承認します。これらの変更は
Server & Workload Protection コンソールに表示されません。予想されるソフトウェア変更に関連する「ノイズ」を削除すると、注意が必要な変更をより明確に把握できます。
注意
信頼済みインストーラ機能は、 エージェントバージョン10.2以降で使用できます。 - コンピュータのソフトウェアルールセットに、このソフトウェアに対するルールが含まれている場合、そのソフトウェアは、そのルールに従って許可またはブロックされます。参照アプリケーションコントロールでソフトウェア変更として検出されるのはどれですか?
- ソフトウェアがコンピュータのインベントリになく、既存のルールの対象になっていない場合、そのソフトウェアは認識されないソフトウェアと見なされます。コンピュータに割り当てられたポリシーは、認識されていないソフトウェアの処理方法を指定します。ポリシーの設定に応じて、実行が許可されるかブロックされます。ソフトウェアがブロックされていて、OSでエラーメッセージを生成できる場合、保護対象のコンピュータにエラーメッセージが表示され、ソフトウェアに実行権限がない、またはアクセスが拒否されたことが示されます。Server & Workload Protection コンソールの [アプリケーションコントロール- ソフトウェアの変更] ページに、認識されないソフトウェアが表示されます。このページで、管理者は [ブロック] または [許可] をクリックして、特定のコンピュータ上のそのソフトウェアに対する許可ルールまたはブロックルールを作成できます。許可ルールまたはブロックルールは、ポリシーで指定された初期設定の処理よりも優先されます。参照新規および変更されたソフトウェアの監視。
アプリケーションコントロールインタフェースの概要
Server & Workload Protection コンソールには、アプリケーションコントロールに関連する変更を確認できる場所がいくつかあります。
アプリケーションコントロール: ソフトウェアの変更 (処理)
[アプリケーションコントロール: ソフトウェア変更] ページは、 Server & Workload Protection コンソールで [処理] をクリックすると表示されます。認識されていないソフトウェア (コンピュータのインベントリになく、対応するアプリケーションコントロールルールがないソフトウェア) がすべて表示されます。ソフトウェアの変更はコンピュータレベルで許可またはブロックされるため、特定のソフトウェアが50台のコンピュータにインストールされると、そのソフトウェアはそのページに50回表示されます。ただし、特定のソフトウェアをすべての場所で許可またはブロックする必要があることがわかっている場合は、
[処理] 画面をフィルタしてファイルハッシュ順に変更を並べ替え、 [すべて許可] をクリックして、そのソフトウェアがインストールされているすべてのコンピュータでそのソフトウェアを許可することができます。
コンピュータに適用されるポリシーでは、すべての認識されないソフトウェアの実行を初期設定で許可するか、またはすべての認識されないソフトウェアをブロックするかを指定します。ただし、
[処理] ページで [許可] または [ブロック] をクリックするまで、明示的なアプリケーションコントロールルールは作成されません。 [許可] または [ブロック] をクリックすると、対応するルールがコンピュータのソフトウェアルールセット
(
)。アプリケーションコントロールソフトウェアルールセット
コンピュータのソフトウェアルールセットを表示するには、
。ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックし、 [ルール] タブに移動します。 [ルール] タブには、ルールが関連付けられているソフトウェアが表示され、許可ルールをブロックするように変更したり、許可ルールをブロックするように変更したりできます。セキュリティイベント数
コンピュータで実行されたか、ブロックルールによって実行が禁止されている、認識されていないすべてのソフトウェアが表示されます。このリストは、期間やその他の条件でフィルタできます。
イベントごとに (集約イベントを除く)、 [ルールの表示] をクリックして、ルールを許可からブロックに、またはその逆に変更できます。バージョン10.2以降のエージェントには、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが含まれています。
アプリケーションコントロールの信頼エンティティ
に、ソフトウェアの変更を自動承認するように設定できる信頼ルールセットと信頼ルールを示します。詳細については、
アプリケーションコントロールでソフトウェア変更として検出されるのはどれですか?
異なる変更監視では、すべてのファイルを監視しますアプリケーションコントロールは、初期インストールの検査および変更の監視時にソフトウェアファイルのみを検索します。
ソフトウェアには次のものも含まれます。
- Windowsアプリケーション (.exe、.com、.dll、.sys)、Linuxライブラリ (.so)、およびその他のコンパイルされたバイナリやライブラリ
- Javaの.jarファイルと.classファイル、およびその他のコンパイルされたバイトコード
- PHP、Python、シェルスクリプト、およびその他の実行時に変換またはコンパイルされるWebアプリやスクリプト
- Windows PowerShellスクリプト、バッチファイル (.bat)、およびその他のWindows専用スクリプト (.wsf、.vbs、.js)
たとえば、WordPressとそのプラグイン、Apache、IIS、nginx、Adobe Acrobat、app.war、/usr/bin/sshは、いずれもソフトウェアとして検出されます。
アプリケーションコントロールは、ファイルの拡張子を調べて、それがスクリプトかどうかを判断します。さらに、Linuxでは、アプリケーションコントロールは、実行権限を持つファイルをスクリプトのように扱います。
注意Windowsコンピュータでは、アプリケーションコントロールはローカルファイルシステム上の変更を追跡しますが、ネットワーク上の場所、CD/DVDドライブ、またはUSBデバイス上の変更は追跡しません。
|
アプリケーションコントロールは、カーネル (Linuxコンピュータの場合) およびファイルシステムと統合されているため、rootまたは管理者アカウントによってインストールされたソフトウェアを含む、コンピュータ全体を監視する権限があります。エージェントは、ソフトウェアファイルに対するディスク書き込みアクティビティと、ソフトウェアの実行試行を監視します。