ビュー:
警告
警告
アプリケーションコントロールは、サーバを継続的に監視し、ソフトウェアの変更が発生するたびにイベントをログに記録します。 Webサーバやメールサーバなど、自動で変更されるソフトウェアを使用する環境や、通常は実行可能ファイルを作成する環境での使用は想定していません。アプリケーションコントロールが環境に適していることを確認するには、次のチェックボックスをオンにします。アプリケーションコントロールでソフトウェア変更として検出されるのはどれですか?
アプリケーションコントロールの動作については、を参照してください。About Application Control and アプリケーションコントロールの信頼エンティティ

新規および変更されたソフトウェアの監視 親トピック

保護対象コンピュータでインベントリが作成されると、追加または変更されたソフトウェア実行可能ファイルは「ソフトウェア変更」として分類され、 Server & Workload Protection[処理] ページに表示されます。認識されていないソフトウェアが実行された場合、または実行を試みてブロックされた場合、イベントは[イベントとレポート][イベント] [アプリケーションコントロールイベント] [セキュリティイベント] 。詳細については、アプリケーションコントロールイベント。
最初にアプリケーションコントロールを有効にした後は、 [処理] 画面に多くのソフトウェア変更が表示されることがあります。これは、許可されたソフトウェアが通常の処理を通じて新しい実行可能ファイルを作成したり、ファイル名を変更したり、ファイルを再配置したりする場合に発生します。アプリケーションコントロールを調整するルールを追加すると、ソフトウェアの変更が少なくなります。
すべてのコンピュータ上のすべてのソフトウェア変更をすばやく検索し、それらに対する許可ルールまたはブロックルールを簡単に作成するには、 [処理] タブを使用します。
ヒント
ヒント
Server & Workload Protection APIを使用して、ソフトウェアルールセットの許可またはブロックルールの作成を自動化できます。詳細については、認識されないソフトウェアを許可またはブロックする

手順

  1. Server & Workload Protection コンソールで、 [処理]に移動します。
  2. 承認されていないソフトウェアの特定の検出情報だけを表示するには、いくつかの方法で情報をフィルタできます。
    ヒント
    ヒント
    各コンピュータの各ソフトウェア変更を個別に評価する代わりに、この後で説明するフィルタを使用して問題のないことが分かっているソフトウェア変更を見つけて、一括で許可します。
    actions.png
    表示されるソフトウェア変更の数を減らすには、次の操作を実行します。
    • [アプリケーションコントロール: ソフトウェア変更]の横にあるドロップダウンリストから、 [過去7日間]などの時間範囲を選択します。ページ上部にあるグラフのバーをクリックして、その期間の変化を表示することもできます。
    • 左側のウィンドウで、 [コンピュータ] をクリックして個々のコンピュータまたはグループを選択するか、 [スマートフォルダ] をクリックして特定のスマートフォルダに含まれるコンピュータのみを表示します (「スマートフォルダを使用してコンピュータを動的にグループ化する)。
      注意
      注意
      [コンピュータ] タブとは異なり、 [ソフトウェア変更] ペインには通常、すべてのコンピュータが表示されるわけではありません。許可ルールまたはブロックルールが設定されていないソフトウェアの変更が検出されたコンピュータのみが表示されアプリケーションコントロール。
    • 検索フィルタフィールドに検索語と演算子を入力します。 [プロセス別変更]、[ユーザ別変更]、[ファイル名]、[ホスト名]、[インストールパス]、[MD5]、[SHA1]、および[SHA256] の各属性を検索します。たとえば、信頼する特定のユーザが行ったすべての変更を検索し、 [すべて許可] をクリックして、そのユーザのすべての変更を許可することができます。または、特定のソフトウェアアップデートが組織全体にインストールされた場合 (メンテナンスモードが有効になっていない場合)、ファイルのハッシュ値に従ってページをフィルタし、 [すべて許可] をクリックしてすべての出現を許可します。
      ヒント
      ヒント
      ソフトウェアの変更に関する詳細が右側のペインに表示されます。詳細でファイル名またはコンピュータ名をクリックすると、検索フィルタに追加できます。
    • [ファイルごとにグループ化 (ハッシュ)] または [コンピュータごとにグループ化]のどちらを使用するかを選択します。
  3. [許可] または [ブロック] をクリックして、そのコンピュータでのそのソフトウェアの許可ルールまたはブロックルールを追加します。許可するかブロックするかを判断するための詳細情報が必要な場合は、ソフトウェア名をクリックしてから、右側の詳細パネルを使用します。
    エージェントが次に Server & Workload Protectionに接続したときに、新しいルールが受信されます。

次に進む前に

変更の処理のヒント 親トピック

  • ほとんどの環境では、明示的にブロックされるまで、認識されないソフトウェアを許可するアプリケーションコントロールを有効にしたときに初期設定でソフトウェアの変更を許可し、変更に対する許可ルールとブロックルールを追加します。処理にアクセスします。最終的には、ソフトウェア変更の割合が減少します。その時点で、ソフトウェアの変更を初期設定でブロックし、適切であることがわかっているソフトウェアに対して許可ルールを作成することを検討できます。一部の組織では、引き続き初期設定で変更を許可し、処理ブロックする必要があるソフトウェアのページ。
  • 認識されていないソフトウェアを最初に処理するのではなく、セキュリティイベントの評価から開始することをお勧めします。セキュリティイベントは、実行された (または実行しようとした) 認識されていないソフトウェアを示します。セキュリティイベントの詳細については、を参照してください。アプリケーションコントロールイベントの監視
  • 認識されないファイルの実行が許可されていて、引き続き許可する場合は、許可ルールを作成します。ファイルの実行が許可されるだけでなく、そのファイルのイベントがログに記録されなくなります。これにより、ノイズが減少し、重要なイベントを見つけやすくなります。
  • 既知のファイルの実行がブロックされた場合は、コンピュータからそのファイルを駆除することを検討します (特に頻繁に発生する場合)。
  • ソフトウェアの変更は、変更が加えられたコンピュータごとに表示されます。コンピュータごとにソフトウェアを許可またはブロックする必要があります。
  • ルールは、ポリシーではなくコンピュータに割り当てられます。たとえば、helloworld.pyが3台のコンピュータで検出された場合、 Allow Allまたは Block Allをクリックしても、3台のコンピュータにのみ影響があります。他のコンピュータには独自のルールセットがあるため、他のコンピュータでの今後の検出には影響しません。
  • 制御可能なソフトウェアアップデートに関連する変更がある場合は、アップデートを実行するときにメンテナンスモード機能を使用します。参照計画的な変更を行うときにメンテナンスモードを有効にする
  • 自動アップデートが有効になっているコンピュータおよびサーバでは、アプリケーションコントロールをロックダウンモードで実行しないでください。

計画的な変更を行うときにメンテナンスモードを有効にする 親トピック

パッチのインストール、ソフトウェアのアップグレード、またはWebアプリケーションの配信を行うと、 アプリケーションコントロールによってそれらが検出されます。認識されないソフトウェアの処理方法の設定によっては、 Actions タブを使用して許可ルールを作成するまで、そのソフトウェアがブロックされることがあります。
デプロイメントおよびメンテナンス期間中の余分なダウンタイムやアラートを回避するために、 アプリケーションコントロールをメンテナンス期間用に設計されたモードにすることができます。メンテナンスモードが有効になっている間、アプリケーションコントロールは、アプリケーションコントロールルールによって具体的にブロックされているソフトウェアを引き続きブロックしますが、新規またはアップデートされたソフトウェアを実行して、コンピュータのインベントリに自動的に追加することは許可します。
ヒント
ヒント
Server & Workload Protection APIを使用して、メンテナンスモードを自動化できます。詳細については、アップグレード時のメンテナンスモードの設定ガイドします。

手順

  1. Server & Workload Protection コンソールで、 Computersに移動します。
  2. 1台以上のコンピュータを選択し、[処理] Turn On Maintenance Mode
  3. メンテナンス期間を選択します。
    メンテナンス時間帯の終了が予定されている場合、メンテナンスモードは自動的に無効になります。または、アップデートの完了時にメンテナンスモードを手動で無効にする場合は、 Indefiniteを選択します。
    DashboardApplication Control Maintenance Mode Status ウィジェットは、コマンドが成功したかどうかを示します。
  4. ソフトウェアをインストールまたはアップグレードします。
  5. メンテナンスモードを手動で無効にするよう選択した場合、ソフトウェアの変更の検出を再び開始するにはメンテナンスモードを忘れずに無効にしてください。