アプリケーションコントロールの設定

ビュー:

警告

アプリケーションコントロールは、サーバを継続的に監視し、ソフトウェアの変更が発生するたびにイベントをログに記録します。 Webサーバやメールサーバなど、自動で変更されるソフトウェアを使用する環境や、通常は実行可能ファイルを作成する環境での使用は想定していません。アプリケーションコントロールが環境に適していることを確認するには、次のチェックボックスをオンにします。アプリケーションコントロールでソフトウェア変更として検出されるのはどれですか? 。

アプリケーションコントロールの動作については、を参照してください。About Application Control and アプリケーションコントロールの信頼エンティティ。

アプリケーションコントロールを有効にしてソフトウェア変更を監視するには、次の操作を実行します。

次に進む前に

この記事では、アプリケーションコントロールのヒントと考慮事項アプリケーションコントロールを使用する際の注意事項です。

アプリケーションコントロールを有効にした後は、次のことを実行する方法について学ぶこともできます。

アプリケーションコントロールを有効にする

アプリケーションコントロールは、コンピュータの設定またはポリシーで有効にできます。

手順

コンピュータエディタまたはポリシーエディタを開き、[アプリケーションコントロール] → [一般] 。
[アプリケーションコントロールの状態] を「オン」または「継承 (オン)」に設定します。
[Enforcement]で、対象の保護状態を選択します。
- [承認されていないソフトウェアを明示的に許可するまでブロック]
- [承認されていないソフトウェアを明示的にブロックするまで許可] (アプリケーションコントロールの初期設定時にこのオプションを選択することをお勧めします)
[保存]をクリックします。

次に進む前に

Server & Workload Protection とエージェントが次回接続したときに、エージェントはコンピュータにインストールされているすべてのソフトウェアを検索してインベントリを生成し、検出されたすべてのソフトウェアを許可するルールを作成します。環境によっては、この初期インベントリに15分以上かかることがあります。

アプリケーションコントロールが正常に動作していることを確認するには、次の手順に従います。アプリケーションコントロールが有効になっていることを確認する。

新規および変更されたソフトウェアの監視

保護対象コンピュータでインベントリが作成されると、追加または変更されたソフトウェア実行可能ファイルは「ソフトウェア変更」として分類され、 Server & Workload Protectionの [処理] ページに表示されます。認識されていないソフトウェアが実行された場合、または実行を試みてブロックされた場合、イベントは[イベントとレポート] → [イベント] → [アプリケーションコントロールイベント] → [セキュリティイベント数] 。詳細については、アプリケーションコントロールイベント。

最初にアプリケーションコントロールを有効にした後は、 [処理] 画面に多くのソフトウェア変更が表示されることがあります。これは、許可されたソフトウェアが通常の処理を通じて新しい実行可能ファイルを作成したり、ファイル名を変更したり、ファイルを再配置したりする場合に発生します。アプリケーションコントロールを調整するルールを追加すると、ソフトウェアの変更が少なくなります。

すべてのコンピュータ上のすべてのソフトウェア変更をすばやく検索し、それらに対する許可ルールまたはブロックルールを簡単に作成するには、 [処理] タブを使用します。

ヒント

Server & Workload Protection APIを使用して、ソフトウェアルールセットの許可またはブロックルールの作成を自動化できます。詳細については、認識されないソフトウェアを許可またはブロックする。

手順

Server & Workload Protection コンソールで、 [処理]に移動します。

承認されていないソフトウェアの特定の検出情報だけを表示するには、いくつかの方法で情報をフィルタできます。

ヒント

各コンピュータの各ソフトウェア変更を個別に評価する代わりに、この後で説明するフィルタを使用して問題のないことが分かっているソフトウェア変更を見つけて、一括で許可します。

表示されるソフトウェア変更の数を減らすには、次の操作を実行します。

[アプリケーションコントロール: ソフトウェア変更]の横にあるドロップダウンリストから、 [過去7日間]などの時間範囲を選択します。ページ上部にあるグラフのバーをクリックして、その期間の変化を表示することもできます。

左側のウィンドウで、 [コンピュータ] をクリックして個々のコンピュータまたはグループを選択するか、 [スマートフォルダ] をクリックして特定のスマートフォルダに含まれるコンピュータのみを表示します (「スマートフォルダを使用してコンピュータを動的にグループ化する)。

注意

[コンピュータ] タブとは異なり、 [ソフトウェア変更] ペインには通常、すべてのコンピュータが表示されるわけではありません。許可ルールまたはブロックルールが設定されていないソフトウェアの変更が検出されたコンピュータのみが表示されアプリケーションコントロール。

検索フィルタフィールドに検索語と演算子を入力します。 [プロセス別変更]、[ユーザ別変更]、[ファイル名]、[ホスト名]、[インストールパス]、[MD5]、[SHA1]、および[SHA256] の各属性を検索します。たとえば、信頼する特定のユーザが行ったすべての変更を検索し、 [すべて許可] をクリックして、そのユーザのすべての変更を許可することができます。または、特定のソフトウェアアップデートが組織全体にインストールされた場合 (メンテナンスモードが有効になっていない場合)、ファイルのハッシュ値に従ってページをフィルタし、 [すべて許可] をクリックしてすべての出現を許可します。

ヒント

ソフトウェア変更の詳細が右側のペインに表示されます。詳細でファイル名またはコンピュータ名をクリックすると、検索フィルタに追加できます。

[ファイルごとにグループ化 (ハッシュ)] または [コンピュータごとにグループ化]のどちらを使用するかを選択します。

[許可] または [ブロック] をクリックして、そのコンピュータでのそのソフトウェアの許可ルールまたはブロックルールを追加します。許可するかブロックするかを判断するための詳細情報が必要な場合は、ソフトウェア名をクリックしてから、右側の詳細パネルを使用します。

エージェントが次に Server & Workload Protectionに接続したときに、新しいルールが受信されます。

次に進む前に

変更の処理のヒント

ほとんどの環境では、明示的にブロックされるまで、認識されないソフトウェアを許可するアプリケーションコントロールを有効にしたときに初期設定でソフトウェアの変更を許可し、変更に対する許可ルールとブロックルールを追加します。処理にアクセスします。最終的には、ソフトウェア変更の割合が減少します。その時点で、ソフトウェアの変更を初期設定でブロックし、適切であることがわかっているソフトウェアに対して許可ルールを作成することを検討できます。一部の組織では、引き続き初期設定で変更を許可し、処理ブロックする必要があるソフトウェアのページ。
認識されていないソフトウェアを最初に処理するのではなく、セキュリティイベントの評価から開始することをお勧めします。セキュリティイベントは、実行された (または実行しようとした) 認識されていないソフトウェアを示します。セキュリティイベントの詳細については、を参照してください。アプリケーションコントロールイベントの監視。
認識されないファイルの実行が許可されていて、引き続き許可する場合は、許可ルールを作成します。ファイルの実行が許可されるだけでなく、そのファイルのイベントがログに記録されなくなります。これにより、ノイズが減少し、重要なイベントを見つけやすくなります。
既知のファイルの実行がブロックされた場合は、コンピュータからそのファイルを駆除することを検討します (特に頻繁に発生する場合)。
ソフトウェアの変更は、変更が加えられたコンピュータごとに表示されます。コンピュータごとにソフトウェアを許可またはブロックする必要があります。
ルールは、ポリシーではなくコンピュータに割り当てられます。たとえば、helloworld.pyが3台のコンピュータで検出された場合、 Allow All または Block Allをクリックしても、3台のコンピュータにのみ影響があります。他のコンピュータには独自のルールセットがあるため、他のコンピュータでの今後の検出には影響しません。
制御可能なソフトウェアアップデートに関連する変更がある場合は、アップデートを実行するときにメンテナンスモード機能を使用します。参照計画的な変更を行うときにメンテナンスモードを有効にする。
自動アップデートが有効になっているコンピュータおよびサーバでは、アプリケーションコントロールをロックダウンモードで実行しないでください。

計画的な変更を行うときにメンテナンスモードを有効にする

パッチのインストール、ソフトウェアのアップグレード、またはWebアプリケーションの配信を行うと、アプリケーションコントロールによってそれらが検出されます。認識されないソフトウェアの処理方法の設定によっては、 Actions タブを使用して許可ルールを作成するまで、そのソフトウェアがブロックされることがあります。

デプロイメントおよびメンテナンス期間中の余分なダウンタイムやアラートを回避するために、アプリケーションコントロールをメンテナンス期間用に設計されたモードにすることができます。メンテナンスモードが有効になっている間、アプリケーションコントロールは、アプリケーションコントロールルールによって具体的にブロックされているソフトウェアを引き続きブロックしますが、新規またはアップデートされたソフトウェアを実行して、コンピュータのインベントリに自動的に追加することは許可します。

ヒント

Server & Workload Protection APIを使用して、メンテナンスモードを自動化できます。詳細については、アップグレード時のメンテナンスモードの設定ガイドします。

手順

Server & Workload Protection コンソールで、 Computersに移動します。
1台以上のコンピュータを選択し、[処理] → Turn On Maintenance Mode 。
メンテナンス期間を選択します。

メンテナンス時間帯の終了が予定されている場合、メンテナンスモードは自動的に無効になります。または、アップデートの完了時にメンテナンスモードを手動で無効にする場合は、 Indefiniteを選択します。

Dashboardの Application Control Maintenance Mode Status ウィジェットは、コマンドが成功したかどうかを示します。
ソフトウェアをインストールまたはアップグレードします。
メンテナンスモードを手動で無効にするよう選択した場合、ソフトウェアの変更の検出を再び開始するにはメンテナンスモードを忘れずに無効にしてください。

次に進む前に

アプリケーションコントロールのヒントと考慮事項

アプリケーションコントロールのパフォーマンスを向上させるには、Windows Defenderの代わりに Server & Workload Protection 不正プログラム対策を使用してください。参照Windows Server 2016に不正プログラム対策モジュールをインストールした後、Windows Defenderが完全に無効になっていることを確認します。。
バッチファイルまたはPowerShellスクリプトに対するブロックルールを作成する場合は、関連するインタープリタ (PowerShellスクリプトの場合はpowershell.exe、バッチファイルの場合はcmd.exe) の使用時に、このファイルをコピー、移動、または名前変更することはできません。
追加した許可ルールまたはブロックルールは、通常、次回エージェントが Server & Workload Protectionに接続したときにエージェントに送信されます。ルールセットのアップロードが失敗したことを示すエラーが表示された場合は、エージェントと Server & Workload Protection またはRelayの間のネットワークデバイスで、ハートビートポート番号またはRelayでの通信が許可されていることを確認します。ポート番号。
ブロックルールが機能していることを確認するには、ブロックしたばかりのソフトウェアを実行してみます。 ( エージェントが変更を検出する方法の詳細については、アプリケーションコントロールでソフトウェア変更として検出されるのはどれですか? )
ブロックされたソフトウェアがインストールされたままの場合、アプリケーションコントロールはログを記録し、ソフトウェアの実行がブロックされたときにアラートを表示します。コンピュータの権限エラーログを減らし、攻撃対象領域を減らすには、アプリケーションコントロールがブロックしているソフトウェアをアンインストールします。設定が完了したら、関連するアラートを消去する場合は、 [アラート] または [[Dashboard]]に移動し、アラートをクリックしてから [アラートの消去]をクリックします。すべてのアラートを消去できるわけではありません。詳細については、事前定義されたアラート定義。
パフォーマンス上の理由から、コンピュータのソフトウェア変更が多すぎる場合、アプリケーションコントロールは既存のルールを引き続き適用しますが、ソフトウェア変更の検出と表示は停止します。この問題を解決するには、を参照してください。ソフトウェアの変更が多すぎるとアプリケーションコントロールをリセットする。