ビュー:
注意
注意
現在、一部のトラストルールのプロパティは、サポートされているWindowsプラットフォームのエージェントにのみ適用され、Linuxではまだ使用できません。詳細については、 Linuxでの信頼ルールプロパティの制限事項
ヒント
ヒント
APIドキュメントはルールセットを信頼する
信頼エンティティ機能は、信頼ルール割り当てられたルールセットを信頼する。各信頼ルールには、プロパティソフトウェアの変更を自動承認するためのパラメータを定義します。
トラストエンティティ機能を使用すると、エージェント上のソフトウェア変更をプロアクティブに自動承認できるため、エージェントに送信されるソフトウェア変更イベントの数が削減されます。Server & Workload Protection 。たとえば、定期的な OS アップデートを受けるエージェントは、パッチが適用されるたびにいくつかの新しいソフトウェア変更を作成します。適切な信頼ルールを構成し、それらのエージェントに適用することで、エージェント上のソフトウェアの変更を自動承認することができ、ソフトウェアの変更をシステムから手動で管理する必要がなくなります。Server & Workload Protection[処理] タブ、またはアプリケーションコントロールセキュリティ イベントとして。
信頼エンティティを使用してソフトウェアの変更を自動承認するには、次の設定を行う必要があります。信頼ルールに割り当てます。ルールセットを信頼する、およびルールセットの割り当てをポリシーまたはコンピュータに追加します。
注意
注意
信頼エンティティ機能を使用して自動承認されていないソフトウェアの変更を許可またはブロックする方法については、を参照してください。アプリケーションコントロールソフトウェアのルールセットの表示と変更
注意
注意
このドキュメントでは、ソースはソフトウェア変更を作成するプロセスを指し、ターゲットはソフトウェア変更自体を指す場合に使用されます。

ルールセットを信頼する 親トピック

信頼ルールセットは、ユーザーが構成した 1 つ以上のルールで構成されます。信頼ルール。もし、あんたが信頼ルールセットを割り当てるポリシーまたはコンピュータにServer & Workload Protection、そのルールセットに含まれるルールは関連するワークロードに適用され、そのルールのプロパティ要件を満たすソフトウェアの変更が自動的に承認されます。

信頼ルールセットを作成する 親トピック

新しい信頼ルールセットを作成するには、次のいずれかの操作を行います。

手順

  • からServer & Workload Protection[Policies] タブ:
    1. に移動[共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ]
    2. [信頼ルールセット] セクションで、 [新規]を選択します。
    3. [新しいルールセット] ウィンドウで、新しいルールセットの名前を入力し、必要に応じて説明を入力します。
    4. リストから1つ以上の信頼ルールを選択して、信頼ルールセットに割り当てます。
      application-control-_011.png
      割り当てたルールを含む信頼ルールセットが作成されます。
    5. [OK]をクリックします。
  • からServer & Workload Protection[コンピュータ] または [Policies] タブ:
    1. コンピュータまたはポリシーをダブルクリックします (または右クリックして [詳細]を選択します)。
    2. [アプリケーションコントロール] に移動し、[設定] が [オン] または [継承 (オン)]に設定されていることを確認します。
    3. [信頼ルールセット] リストで、 [新規]を選択します。
      application-control-_010.png
    4. [新しいルールセット] ウィンドウで、新しいルールセットの名前を入力し、必要に応じて説明を入力します。
      application-control-_009.png
    5. リストから1つ以上の信頼ルールを選択して信頼ルールセットに割り当て、 [保存] をクリックして、割り当てたルールを含む信頼ルールセットを作成します。
    6. 必要に応じて、 [保存] をクリックして、新しい信頼ルールセットをコンピュータまたはポリシーに割り当てます。

次に進む前に

ヒント
ヒント
信頼ルールセットを最初から作成する代わりに、重複信頼できるエンティティの管理画面 (ポリシー共通オブジェクトルールアプリケーションコントロールルールエンティティの信頼) をクリックして既存のルールセットのコピーを作成し、必要に応じて設定します。

信頼ルールセットの割り当てまたは割り当て解除 親トピック

信頼ルールセットを割り当てるには 親トピック

手順

  1. からServer & Workload Protection[コンピュータ] または [Policies] タブで、コンピュータまたはポリシーをダブルクリックします (または右クリックして [詳細]を選択します)。
  2. [アプリケーションコントロール] に移動し、 [構成][オン] または [継承 (オン)]に設定されていることを確認します。
  3. リストから [信頼ルールセット] を選択します。
    application-control-_002.png
  4. [保存]をクリックします。

次に進む前に

選択した信頼ルールセットがコンピュータまたはポリシーに割り当てられました。

信頼ルールセットの割り当てを解除するには 親トピック

手順

  1. に移動[共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ]をクリックし、信頼ルールセットを選択します。
  2. 右側に表示される [信頼ルールセットのプロパティ] 画面で、[割り当て] の横にある数字を選択します。
    application-control-_012.png
  3. [割り当て先] 画面で、コンピュータまたはポリシーを選択します。
    application-control-_013.png
  4. コンピュータまたはポリシーウィンドウの [アプリケーションコントロール] タブで、[ルールセットの信頼] ドロップダウンリストから [なし] を選択して、ルールセットの割り当てを解除します。
    application-control-_014.png
  5. [保存]をクリックします。

次に進む前に

信頼ルールセットがコンピュータまたはポリシーに割り当てられなくなりました。

信頼ルールセットを削除する 親トピック

手順

  1. に移動[共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ]
  2. [信頼ルールセット] セクションで、削除するルールセットを選択し、 [削除]を選択します。
  3. [ルールセットの削除] の確認ダイアログで、 [OK] をクリックします。

次に進む前に

application-control-_008.png
信頼ルールセットが削除されます。
注意
注意
コンピュータまたはポリシーに継承されているか、割り当てられている信頼ルールセットは削除できません。する必要があります。信頼ルールセットの割り当て解除削除できます。

信頼ルール 親トピック

信頼ルールには、アプリケーションコントロールによって自動承認されるソフトウェアの変更を決定する1つ以上のプロパティが含まれます。信頼ルールのプロパティに一致するソフトウェアの変更は自動的に承認されるため、 Server & Workload Protectionにイベントは作成されません。
警告
警告
トラストルールのプロパティが空の場合、ワイルドカードとして扱われます。これにより、信頼ルールを自由にカスタマイズできますが、システムのセキュリティにも影響を与える可能性があります。システムのセキュリティを最大限に高め、望ましくないソフトウェアの変更が承認されないようにするには、信頼ルールを作成するときに、できるだけ多くのプロパティを入力するようにしてください。信頼ルールによるセキュリティへの影響が不明な場合は、信頼ルールセットに追加する前に、システムセキュリティに詳しい担当者に確認するか、トレンドマイクロにお問い合わせください。

信頼ルールの種類 親トピック

警告
警告
ソース別無視ルールで使用すると、プロセス名プロパティは、 エージェントバージョン [後にリリース] 20.0.0.3288 (20 LTS Update 2021-10-28)でのみサポートされます。
  • [ソースから許可] ルールは、特定のプロパティを持つプロセスを自動承認して、ソフトウェア変更を作成します。
  • [対象別に許可] ルールは、特定のプロパティに一致するソフトウェアの変更を自動的に承認します。
  • [ソースから無視] ルールは、特定のユーザによるソフトウェア変更を無視します。プロセス名または特定の範囲内でパスまたはその両方。
注意
注意
ソースからの許可ルールによってソフトウェアの変更が自動承認されるたびに、変更が発生したエージェントのローカルインベントリにエントリが追加されます。これは、ソースからの無視ルールでは発生しません。

信頼ルールを作成する 親トピック

手順

  1. に移動[共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ]
  2. [信頼ルール] セクションで、 [新規]を選択し、次のいずれかを選択します。信頼ルールの種類リストから選択します。
  3. [新規ルール] ウィンドウで、新しいルールの名前と (オプションで) 説明を入力します。
  4. [プロパティの追加] リストからプロパティを選択して、新しいルールに追加します。
    application-control-_004.png
  5. 表示されたフィールドにプロパティの値を入力します。
    application-control-_005.png
  6. 必要に応じて、手順4と5を繰り返して、この信頼ルールにプロパティを追加します。
  7. [OK]をクリックします。

次に進む前に

新しい信頼ルールが作成され、信頼ルールセットに割り当てる準備ができました。
ヒント
ヒント
信頼ルールのプロパティ値の設定については、を参照してください。トラストルールのプロパティの種類
ヒント
ヒント
信頼ルールを選択します ([Policies] [共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ] ) をクリックし、 [割り当て/割り当て解除] を使用して、この信頼ルールをどの信頼ルールセットに含めるかを定義します。これは、多数のルールセットに新しいルールをすばやく割り当てたり割り当て解除したりする場合に特に便利です。

信頼ルールのプロパティの変更 親トピック

手順

  1. [ Server & Workload Protection[信頼エンティティ] ] タブ ([Policies] [共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ] ) をクリックし、ルールを選択してから、 [編集] を選択します (またはルールをダブルクリックします)。
    application-control-_003.png
  2. [ルールの編集] ウィンドウで、次のいずれかの操作を行います。
    • 新しいプロパティを追加するには、 [プロパティの追加] リストからプロパティを選択し、その値を入力します。
    • 既存のプロパティを編集するには、そのフィールドの値を変更します。
    • 既存のプロパティを削除するには、 [削除]を選択します。

信頼ルールを削除する 親トピック

手順

  1. [ Server & Workload Protection[信頼エンティティ] ] タブ ([Policies] [共通オブジェクト] [ルール] [アプリケーションコントロールルール] [信頼エンティティ] ) をクリックし、ルールを選択して [削除]を選択します。
  2. [ルールを削除] ダイアログで [OK] をクリックして、削除を確認します。

次に進む前に

application-control-_007.png
注意
注意
いずれかの信頼ルールセットに現在割り当てられている信頼ルールを削除すると、警告プロンプトが表示された後、自動的に割り当てが解除されます。
application-control-_006.png

トラストルールのプロパティの種類 親トピック

信頼ルールに含まれるプロパティと値によって、そのルールによって自動承認されるソフトウェア変更が定義されます。次のセクションでは、信頼ルールの設定に使用できる信頼ルールのプロパティの種類について詳しく説明します。プロパティ値の設定に必要な情報を検索する手順も含まれます。

プロセス名 親トピック

警告
警告
で使用する場合ソースから無視するルールでは、プロセス名プロパティはエージェントバージョン released after 20.0.0.3288 (20 LTS Update 2021-10-28) でのみサポートされます。
注意
注意
Deep Security Agentでは、プロセス名にワイルドカードが使用されます。プロセス名にプロセスへのフルパスが含まれる場合は、globstarを使用します。**パス内のプロセス名に含まれる任意の数の追加文字、単一のアスタリスクまたはアスタリスクと一致*現在のディレクトリ内の任意の数の追加の文字に一致し、?単一の文字に一致します。は*文字は、ディレクトリパスの区切り文字 (/そして\)。は?文字はディレクトリパスの区切り文字と一致しません。ドライブ文字は、ターゲットパス内の他の文字と同じように扱われ、照合に特別な意味はありません。
このプロパティは、ソフトウェア変更を作成するプロセスの名前を指定します。プロセス名には、ファイル名を含むプロセスの絶対パスを使用する必要があります。
ソフトウェア変更のプロセス名を検索するには

手順

  1. Server & Workload Protection[処理] タブに移動します。
  2. ソフトウェア変更を検索して選択します。

次に進む前に

プロセス名は、他の詳細とともに [プロセスによる変更] の下の右側に表示されます。

パス 親トピック

警告
警告
パスプロパティにはファイル名を含めないでください。そうしないと、それが属するトラストルールが意図したとおりに機能しない可能性があります。
注意
注意
Deep Security Agent 20.0.0-5137では、globstar (**) パスへのワイルドカード機能。グロブスターの使用**パスに含まれる文字は、現在のディレクトリとそのサブディレクトリ内にある任意の数の追加の文字 (単一のアスタリスクまたはアスタリスク) に一致します。*現在のディレクトリ内の任意の数の追加の文字に一致し、?単一の文字に一致します。は*文字は、ディレクトリパスの区切り文字 (/そして\)。は?文字はディレクトリパスの区切り文字と一致しません。ドライブ文字は、ターゲットパス内の他の文字と同じように扱われ、照合に特別な意味はありません。
このプロパティは、信頼ルールに適用される対象パスを指定します。すべてのサブディレクトリを含む、このプロパティに入力されたパス内で発生したソフトウェアの変更は、アプリケーションコントロールによって自動的に承認されます。セミコロンで区切って複数のパスを設定できます。たとえば、\C:\Windows\;C:\Program Files\
パスの値を入力するときは、最後のスラッシュ (\または/ ) パス内のどのディレクトリが含まれるかに影響します。
  • スラッシュで終わるパスは、そのフルパスの下にあるすべてのサブディレクトリに一致します。たとえば、C:\Windows\System\のすべてのサブディレクトリに一致します。Systemディレクトリ。
  • 最後のスラッシュの後に指定された値は正規表現のワイルドカードとして扱われ、特定のディレクトリおよび同じ値で始まる他のディレクトリと一致します。たとえば、C:\Windows\System 「C:\\Windows\\System*」に一致するすべてのディレクトリとサブディレクトリが含まれます。C:\Windows\System\ ,C:\Windows\System32\ ,C:\Windows\SystemApps\などがあります。

SHA-256 親トピック

ソースからの許可ルールで使用する場合、ソフトウェア変更を作成するソースプロセスのチェックサム (SHA-256) を指定します。対象による許可ルールで使用される場合は、ソフトウェア変更自体のチェックサム (SHA-256) になります。
SHA256を検索するには、次のいずれかを実行します。

Windows PowerShellから (ソースまたはターゲット用): 親トピック

の指示に従います。 Windows PowerShellコマンド Get-FileHash

Server & Workload Protection から (ターゲットのみ): 親トピック

Server & Workload Protection[処理] タブで、ソフトウェアの変更を見つけて選択します。
右側の「SHA256」の下に、SHA256がその他の詳細とともに表示されます。

ベンダー 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェアのベンダを指定します。
ベンダーを検索するには、次のいずれかの操作を行います。

ファイルエクスプローラから: 親トピック

手順

  1. プロセスまたはファイルを含むディレクトリで、ファイルエクスプローラの上部に表示されるプロパティ (名前、変更日など) のいずれかを右クリックし、 [その他]を選択します。
  2. [会社] チェックボックスをオンにして、 [OK]を選択します。

次に進む前に

ファイルエクスプローラウィンドウにベンダーが表示されます。

Server & Workload Protectionから: 親トピック

Server & Workload Protection[処理] タブで、ソフトウェアの変更を見つけて選択します。
ベンダーは、右側の [ベンダー] の下にその他の詳細とともに表示されます。

製品名 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア製品名を指定します。
製品名を確認するには、次のいずれかの操作を行います。

ファイルのプロパティから: 親トピック

手順

  1. ファイルを含むディレクトリでプロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [詳細] タブで、[製品名] の値を確認します。

次に進む前に

ファイルエクスプローラから: 親トピック

手順

  1. ファイルが格納されているディレクトリで、ファイルエクスプローラの上部に表示されるプロパティ (名前、変更日など) のいずれかを右クリックし、 [その他]を選択します。
  2. [製品名] チェックボックスをオンにして、 [OK]を選択します。

次に進む前に

[製品名] 列に製品名が表示されます。

Server & Workload Protectionから: 親トピック

Server & Workload Protection[処理] タブで、ソフトウェアの変更を見つけて選択します。
製品名は、[製品名] の右側にその他の詳細とともに表示されます。

署名者名 親トピック

ソースからの許可ルールで使用する場合、ソフトウェア変更を作成するソースプロセスの署名者名を指定します。対象指定ルールで使用する場合、対象ファイルに署名した証明書の署名者名です。
このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書に署名した会社の名前を指定します。
証明書の署名者名を確認するには

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブの [署名リスト] テーブルで、署名者の名前を探します。

次に進む前に

[署名者名]の下に署名者の名前が表示されます。

発行者の共通名 親トピック

このプロパティは現在Windowsでのみサポートされており、署名するソフトウェア証明書の発行者の共通名 (CN) を指定します。
発行者の共通名を確認するには

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブで、署名リストに最初に表示された証明書を選択します。
  3. 証明書を選択し、 [詳細]を選択します。
  4. [証明書の表示]を選択します。
  5. [詳細] タブに移動し、 [発行元] フィールドを選択します。

次に進む前に

証明書に含まれている場合は、発行元CNが [発行元]の下に表示されます。

発行者の組織単位 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の組織単位 (OU) を指定します。
発行者の組織部門を検索するには、次の手順を実行します。

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブで、署名リストに最初に表示された証明書を選択します。
  3. 証明書を選択し、 [詳細]を選択します。
  4. [証明書の表示]を選択します。
  5. [詳細] タブに移動し、 [発行元] フィールドを選択します。

次に進む前に

証明書に含まれている場合は、発行者のOUが表示されます。

発行者の組織 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者組織 (O) を指定します。
発行者の組織を検索するには、次の手順を実行します。

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブで、署名リストに最初に表示された証明書を選択します。
  3. 証明書を選択し、 [詳細]を選択します。
  4. [証明書の表示]を選択します。
  5. [詳細] タブに移動し、 [発行元] フィールドを選択します。

次に進む前に

証明書に含まれている場合は、発行者Oが表示されます。

発行者の所在地 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の地域 (L) を指定します。
発行者の地域を検索するには、次の手順を実行します。

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブで、署名リストに最初に表示された証明書を選択します。
  3. 証明書を選択し、 [詳細]を選択します。
  4. [証明書の表示]を選択します。
  5. [詳細] タブに移動し、 [発行元] フィールドを選択します。

次に進む前に

証明書に含まれている場合は、発行者Lが表示されます。

発行者の都道府県 親トピック

このプロパティは現在Windowsでのみサポートされており、ソフトウェア証明書の発行者の都道府県 (S) を指定します。
発行者の都道府県を検索するには、次の手順を実行します。

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブで、署名リストに最初に表示された証明書を選択します。
  3. 証明書を選択し、 [詳細]を選択します。
  4. [証明書の表示]を選択します。
  5. [詳細] タブに移動し、 [発行元] フィールドを選択します。

次に進む前に

証明書に含まれている場合は、発行者Sが表示されます。

発行国 親トピック

このプロパティ (現在はWindowsでのみサポート) は、ソフトウェア証明書の発行者国 (C) を指定します。
発行者の国を確認するには、次の手順を実行します。

手順

  1. プロセスまたはファイルを右クリックし、 [プロパティ]を選択します。
  2. [デジタル署名] タブで、署名リストに最初に表示された証明書を選択します。
  3. 証明書を選択し、 [詳細]を選択します。
  4. [証明書の表示]を選択します。
  5. [詳細] タブに移動し、 [発行元] フィールドを選択します。

次に進む前に

証明書に含まれている場合は、発行者Cが表示されます。

アプリケーションコントロールイベントの集約と分析 親トピック

サーバ上の動的ソフトウェアアップデートにより、数千件のドリフトイベント ([処理] ページ) およびセキュリティイベント ([Application Control Events] ページ) が発生する可能性があります。これは、事後に何を承認するかを判断するのが難しいため、アプリケーションコントロールを使用する際の課題となります。 Deep Security Agentバージョン20.0.0.5761以降を使用している場合のこの状況を軽減するために、異常なドリフトイベントとセキュリティイベントのみを表示できるようにする信頼ルールを作成できます。これにより、サーバをロックダウンして、不正なソフトウェアの実行を防ぐこともできます。
ドリフトイベントは、プロセス名とターゲットパスに基づいて集計されます。セキュリティイベントは、SHA256ハッシュと対象パスに基づいて集計されます。たとえば、同じプロセスで同じパスに10,000個のドリフトアイテムが作成された場合、そのドリフトは1つの信頼ルールに集約されます。プロセス名そしてパス属性。
エージェントの診断が要求されると、集約されたドリフトイベントとセキュリティイベントが信頼ルール形式でJSONファイルに保存され、診断に含まれます。その後、 [Trust Rule] エディタでJSONファイルを使用してサーバの信頼ルールを追加できます。

ドリフトイベント 親トピック

JSON形式のドリフトイベントには、次の属性があります。
{ "time":1615999592250, "eventType":"ApplicationControl", "uid":1063, "gid":1064, "operationType":"create", "user":"ribapp", "group":"ribapp", "md5":"57579EF7681147B84774F69F44783A67", "sha256":"90B0418DCB3B29440EE6F69FEE05BD54265CEE3BCFABDA8ED355E257FECC2939", "processName":"/opt/IBM/WebSphere/AppServer/java/jre/bin/java", "type":4, "rdev":0, "lastModificationTime":1615999090000, "mode":33188,"size":3984617, "sha1":"B226BDB9DB39AD38C4BEB6FE4F1C1C7151207848", "nlink":1, "procUser":"ribapp", "isAuthorized":1, "pid":10223, "fileExtension":"jar", "operationDate":1615999591534, "procUid":1063, "procGroup":"ribapp", "path":"/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/", "fileName":"DC.jar", "recordTime":1615999592215, "fileSystemType":"ext4", "procGid":1063, "dev":64775, "source":4, "ino":3801778 }
  • プロセス名対象ファイルを作成または更新したプロセスの名前です。前の例では、 /opt/IBM/WebSphere/AppServer/java/jre/bin/java
  • パスプロセスが実行可能ファイルをアップデートまたは作成した場所です。前の例では、 /opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/

ドリフトイベントの信頼ルール 親トピック

イベントのドリフトを自動承認する信頼ルールを作成できます。設定で信頼できるアップデータを定義できます。 trustTypeこのルールを1に設定すると、パス:
"trustrules": [{ "trustType":"1", "processName":"/opt/IBM/WebSphere/AppServer/java/jre/bin/java", "paths":"/opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/" }]
信頼ルールを作成するためのドリフトイベントの処理は、多対1の操作になる場合があります。たとえば、 /opt/IBM/WebSphere/AppServer/java/jre/bin/javaパスに数千のJARファイルを作成します。 /opt/IBM/WebSphere/AppServer/profiles/devmiesAppSrv/installedApps/devdmrhx01-cell02/IESHSRIDEVM.ear/の場合、前述の信頼ルールによってこれらすべてのJARファイルのドリフトが排除されるため、信頼ルールでドリフトを効率的に集約できます。
信頼ルールは、ルールごとに1つの一意のプロセスを含むルールの配列で構成されます。各信頼ルールには、複数のパスを定義できます。パス属性。たとえば、プロセス1が3つの異なる場所でドリフトを作成しましたパス1 ,パス2 ,パス3によって作成されたすべてのドリフトを1つの信頼ルールでキャプチャできます。プロセス1次のすべての場所:
"trustrules": [{ "trustType":"1", "processName":"process1", "paths":"path1;path2;path3" }]
という追加の属性があります。ヒット数プロセスヒットカウントを目的としています。この属性を使用して、特定の信頼ルールにヒットした回数を確認できます。
拡張子のヒットカウントもあります:
"trustrules": [{ "trustType":"1", "processName":"process1", "paths":"path1;path2;path3", "hitcount":12342, ".jar":1234, ".py":323, ".":456 }]
前述の例では、JARファイルが1234回、piファイルが323回、拡張子のないファイルが456回更新されたプロセスを示しています。

セキュリティイベント 親トピック

JSON形式のセキュリティイベントには、次の属性があります。
{ "time":1492100772165, "eventType":"ApplicationControl", "sha1":"066A02D230F3B16439396B049DC912DB376B96CE", "fileName":"svchost.exe", "operationType":"detectOnly", "blockReason":2, "size":311544, "sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA", "type":1, "path":"C:\\Windows\\System32\\", "pid":1832, "operationDate":1492100772149, "processName":"\\device\\harddiskvolume2\\windows\\system32\\cmd.exe", "md5":"5F7B8544F7A20800069107FC93384F0E" }, { "time":1492100772165, "eventType":"ApplicationControl", "blockReason":2, "sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA", "size":311544, "processName":"\\device\\harddiskvolume2\\windows\\system32\\cmd.exe", "sha1":"066A02D230F3B16439396B049DC912DB376B96CE", "operationType":"detectOnly", "pid":1832, "md5":"5F7B8544F7A20800069107FC93384F0E", "path":"C:\\Program Files\\Trend Micro\\Deep Security Agent\\", "operationDate":149210077 }
前の例では、\ sha256\に設定されています\62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA\そして\パス\に設定されています\C:\\Windows\\System32\

セキュリティイベントの信頼ルール 親トピック

セキュリティイベントのドリフトを自動承認する信頼ルールを作成できます。設定を使用して、信頼できる対象を定義できます。 trustType次のいずれかのパスで、SHA256ハッシュに基づいて、このルールの場合は2~2パス:
"trustrules": [{ "trustType":"2", "sha256":"62EFB22F6853D73374761A0B8ED2CE40BF09AA401EC7D4AAAA0CE4D5C3380EEA", "paths":"C:\\Windows\\System32\\" }]
セキュリティイベントを処理して信頼ルールを作成する作業は複雑です。信頼ルールは、ルールごとに1つの一意のSHA256を持つルールの配列で構成されます。各信頼ルールには、複数のパスを定義できます。パス属性。たとえば、 sha256コンテンツハッシュAAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDD異なる場所からパス1 ,パス2 、およびパス3では、1つの信頼ルールでこれを次のように表すことができます。
"trustrules": [{ "trustType":"2", "sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDD", "paths":"path1;path2;path3" }]
という追加の属性があります。ヒット数SHA256ヒットカウントを目的としています。この属性を使用して、特定の信頼ルールにヒットした回数を確認できます。
ファイル名のヒット数もあり、異なる名前のファイルが同じSHA256コンテンツハッシュを持つことができます。この属性を使用して、特定の名前のファイルが使用されて同じSHA256が実行された回数をカウントできます。次の例では、SHA256 AAAAAAAABBBBBBCCCCCCCCDDDDDDDDEEEEEEEE 12342回実行されました。ファイル名1の使用回数は2342回で、ファイル名2使用回数は10000回です。両方ファイル名1そしてファイル名2コンテンツハッシュは同じです。
異なる名前のプロセスでも同じSHA256コンテンツハッシュを使用して同じターゲットを実行できるため、プロセス名が使用されて同じSHA256が実行された回数もカウントできます。次の例では、SHA256 AAAAAAAABBBBBBCCCCCCCCDDDDDDDDEEEEEEEE 12342回実行されました。ファイル名1の使用回数は2342回で、ファイル名2使用回数は10000回です。両方ファイル名1そしてファイル名2コンテンツハッシュは同じです。プロセス名/opt/process1ターゲットの実行に12000回使用され、 /opt/process2がターゲットの実行に342回使用されました。
"trustrules": [{ "trustType":"2", "sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE", "paths":"path1;path2;path3", "hitcount":12342, "filename1":2342, "filename2":10000 "/opt/process1":12000, "/opt/process2":342 }]
プロセスは絶対パスで表され、ファイル名はいずれかのパスへの相対パスで表されることに注意してください。

イベント分析出力 親トピック

アプリケーションコントロールのイベント分析出力は、次のファイルに送信されます。 ac_event_analysis.txt 。このファイルには、追加のヒットカウント属性と拡張子ヒットカウント属性を含む信頼ルール形式があります。
"trustrules": [{ "trustType":"1", "processName":"process1", "paths":"path11;path12;path13", "hitcount":12342, ".jar":12342 }, { "trustType":"1", "processName":"process2", "paths":"path21;path22;path23", "hitcount":23232, ".py":23232 }, { "trustType":"1", "processName":"process3", "paths":"path31;path32;path33", "hitcount":34332, ".exe":34322 }, { "trustType":"1", "processName":"process4", "paths":"path41;path42;path43", "hitcount":12312, ".":12312 }]
ファイルの場所は次のとおりです。
  • Windowsの場合: C:\\ProgramData\\ トレンドマイクロ\\ Deep Security Agent\\diag\\ac_event_analysis.txt
  • Linuxの場合: /var/opt/ds_agent/diag/ac_event_analysis.txt
  • 診断で:エージェント/ac/ac_event_analysis.txt
分析は再起動時にこのファイルからロードされるため、エージェントの再起動後もその状態が維持されます。アプリケーションコントロールを無効にしてから有効にすると、分析はクリアされます。を表示するにはac_event_analysis.txtファイル。 JQまたはオンラインJSONフォーマッタ

信頼ルールのデバッグ 親トピック

信頼ルールは次のようにデバッグできます。

手順

  1. Server & Workload Protectionに新しい信頼ルールを適用します。
  2. Deep Security Agentを停止します。
  3. 削除するac_event_analysis.txtファイル。
  4. Deep Security Agentを起動します。
  5. 数分待って、 ac_event_analysis.txtファイルが再表示されます。
    • ファイルが表示されなくなった場合は、信頼ルールが機能しており、イベントの生成が抑制されています。
    • ファイルが引き続き表示される場合は、 ac_event_analysis.txt新しいイベント情報をファイルに保存し、それに応じて新しい信頼ルールを追加します。信頼タイプ1のルールは、ドリフトイベントを自動承認する[ソースごとに許可]ルールであり、信頼タイプ2のルールは、対象ファイルの実行を許可する[対象者ごとに許可]ルールです。
  6. 新しい信頼ルールを設定するには、手順1からの手順を繰り返します。

次に進む前に

信頼ルールがヒットする頻度を確認するには、次のコマンドを実行します。 sendコマンドエージェントで次のように指定します。
  • Linux: /opt/ds_agent/sendCommand --TrustRulesの取得
  • Windows: \program files\trend micro\deep security agent\sendCommand --get TrustRules

コンサルト指標 親トピック

ドリフト分析とイベント分析がアプリケーションコントロールのメトリックに追加されました。ドリフト分析オブジェクトと、件数の多い上位10件のSHA256がevent_analysisオブジェクト:
"AC": { "eventReportInQueue":"0", "evtPreCreateProcessHandled":"17", "acProcessHashCount":"0", "acProcessBlockUnrecognized":"0", "engFlushDbBufferError":"0", "acFileProcessImgPath":"0", "evtFilePostClose":"249", "acFileErrorHash":"0", "acFileAllowImportingRuleset":"0", "evtFilePreCreateFromContainer":"0", "evtFilePostChmodFromContainer":"0", "engStopError":"0", "evtFilePreCreateHandled":"0", "ctrlInterpreterMatched":"0", "importCount":"0", "inventoryAdsVisited":"0", "engGetInventory":"1", "acFileAllow":"5", "acFileAllowBuilding":"0", "engSetConfigError":"0", "ctrlMsiInstallationMatched":"0", "ctrlDropProcessEvtReportQueueFull":"0", "importFail":"0", "eventReportDropped":"0", "evtFilePostChmod":"3", "acFileBlock":"0", "acFileDrift":"3", "engGetMetricsError":"0", "ctrlDropFileEvtReportQueueFull":"0", "inventoryFolderVisited":"0", "engStartError":"0", "evtFileCloudFileIgnore":"0", "engSetConfig":"1", "engFlushDbBuffer":"0", "engPurgeDbError":"0", "inventoryBytesInventoried":"433695822", "evtPreCreateProcessWithCmdLine":"0", "inventoryDriveVisited":"0", "importSuccess":"0", "engSetRuleset":"0", "eventReportSent":"3", "drift_analysis": [{ "trusttype":"1", "processName":"/usr/bin/bash", "paths":"/im1" }, { "trusttype":"1", "processName":"/usr/bin/cp", "hitcount":1, "paths":"/im1" }], "event_analysis": [{ "trusttype":"2", "sha256":"AAAAAAAABBBBBBBBCCCCCCCCDDDDDDDDEEEEEEEE", "hitcount":2, "paths":"/im1" }, { "trusttype":"2", "sha256":"EEEEEEEEEDDDDDDDDDCCCCCCCCBBBBBBBBAAAAAAAA", "hitcount":1, "paths":"/im1" }] }

署名者情報の表示 親トピック

信頼ルールを有効にすると、ドリフトイベント分析の信頼ルールにファイル署名者情報とプロセス署名者情報の両方が含まれます。セキュリティイベント分析のために、ファイルの署名者情報が含まれます。信頼ルールが有効になっている (ファイルの署名者情報とプロセスの署名者情報がac_event_analysis.txtファイル) 信頼エンティティルールセットがホストに適用されている場合。

Linuxでの信頼ルールプロパティの制限事項 親トピック

警告
警告
Linuxで現在サポートされていない信頼ルールを追加すると、そのルールはソフトウェアの変更に適用されなくなります。
Linuxの場合、次のトラストルールのプロパティは [現在サポートされていません] です。
  • 署名者名
  • 製品名
  • 発行者の共通名
  • 発行者の組織単位
  • 発行者の組織
  • 発行者の所在地
  • 発行者の都道府県
  • 発行国
  • ベンダー
現在、Linuxでは次のトラストルールのプロパティのみがサポートされています。
  • プロセス名
  • パス
  • SHA-256