ビュー:
Server & Workload Protection を使用すると、イベントの識別と並べ替えに使用できるタグを作成できます。たとえば、タグを使用して、無害なイベントと詳細な調査が必要なイベントを区別できます。タグを使用して、カスタマイズされたダッシュボードとレポートを作成できます。
イベントタグはさまざまな目的で使用できますが、イベント管理の負担を軽減するために設計されています。イベントを分析して良性であると判断した場合は、そのコンピュータ (および同様に設定およびタスクが実行されたその他のコンピュータ) のイベントログを調べて、類似するイベントを見つけて同じラベルを適用できます。各イベントを個別に表示します。
現在使用されているタグを表示するには、[Policies] [共通オブジェクト] [その他] [タグ]
注意
注意
タグによってイベント自体のデータが変更されることはなく、ユーザがイベントを削除することもできません。これらは、 Server & Workload Protectionによって提供される単なる追加属性です。
タグ付けには次の方法があります。
  • 手動タグ付けでは、必要に応じて特定のイベントにタグを付けることができます。
  • 自動タグ設定では、既存のイベントをモデルとして使用して、同じコンピュータまたは別のコンピュータで同様のイベントに自動タグを設定できます。 「類似度」のパラメータを定義するには、適用するタグのモデルイベント属性と一致する必要があるイベント属性を選択します。
  • 信頼できる送信元のタグ付けでは、信頼できるソースからの既知の正常なイベントとの類似性に基づいて、変更監視イベントに自動的にタグを付けることができます。
注意
注意
標準のタグ付けと信頼済みのソースを使用したタグ付けには重要な違いがあります。[今すぐ既存のイベントに実行] を実行できるのは、標準のタグ付けのみです。

手動タグ付け 親トピック

手順

  1. に移動[イベントとレポート] [イベント]をクリックし、イベントリストを選択します。イベントを右クリック (または複数のイベントを選択して右クリック) し、 [タグの追加]を選択します。
  2. タグの名前を入力します。 Server & Workload Protection は、入力時に既存のタグの一致する名前を提案します。
  3. [選択した[イベントの種類]イベント]を選択します。 [次へ]をクリックします。
  4. オプションのコメントを入力し、 [完了]をクリックします。

次に進む前に

イベントリストの [タグ] 列にタグが表示されます。

自動タグ設定 親トピック

Server & Workload Protection を使用すると、類似するイベントに同じタグを自動的に適用するルールを定義できます。保存されている既存の自動タグ設定ルールを表示するには、 [イベント] ページのメニューバーで [自動タグ付け] をクリックします。保存したルールは、このページから手動で実行できます。

手順

  1. に移動[イベントとレポート] [イベント]をクリックし、イベントリストを選択します。代表的なイベントを右クリックし、 [タグの追加]を選択します。
  2. タグの名前を入力します。 Server & Workload Protection は、入力時に既存のタグの一致する名前を提案します。
  3. [選択した類似のイベントに適用 [イベントの種類] イベント] を選択し、 [次へ]をクリックします。
  4. イベントに自動タグを設定するコンピュータを選択し、 [次へ]をクリックします。タグをシステムイベントに適用する場合、このページはスキップされます。
  5. イベントが類似しているかどうかを判断するために調べる属性を選択します。属性オプションの大部分は、 [イベント] リストページの列に表示される情報と同じです。イベント選択プロセスに含める属性を選択したら、 [次へ]をクリックします。
  6. 次のページで、イベントにタグを付けるタイミングを指定します。 [既存の [イベントの種類] イベント]を選択した場合は、 [今すぐ自動タグルールを適用する] を選択して自動タグ設定ルールをすぐに適用するか、 [バックグラウンドで自動タグルールを適用する] を選択してバックグラウンドで優先度を低くして実行するかを選択できます。今後発生するイベントに自動タグルールを適用するには、 [今後の [イベントの種類] イベント] を選択します。 [自動タグルールの保存] を選択し、必要に応じて名前を入力して、自動タグ設定ルールを保存することもできます。 [次へ]をクリックします。
  7. 自動タグ設定ルールの概要を確認し、 [完了]をクリックします。

次に進む前に

イベントリストで、ベースにしたイベントおよび同様のすべてのイベントにタグが付けられていることを確認できます。
注意
注意
イベントのタグ付けは、エージェントから Server & Workload Protection データベースにイベントが取得された後にのみ実行されます。

自動タグ付けルールに優先度を設定する 親トピック

自動タグ設定ルールを作成したら、 [優先度] 値を割り当てることができます。今後のイベントで実行するように自動タグルールが設定されている場合は、ルールの優先順位によって、すべての自動タグルールが受信イベントに適用される順序が決まります。たとえば、すべての「ユーザのサインイン」イベントに「不審」というタグを付ける優先度の値が「1」のルールと、すべてのイベントから「不審」のタグを削除する「2」のルールを作成できます。対象 (ユーザ) が自分である場合の「ユーザのサインイン」イベント。これにより、今後のすべての「ユーザのサインイン」イベントに「不審」タグが適用されます。

手順

  1. 保存されている自動タグ設定ルールのリストを表示するには、イベントリストで [自動タグ付け] をクリックします。
  2. 自動タグ設定ルールを右クリックし、 [詳細]を選択します。
  3. [一般] タブで、ルールの [優先度] を選択します。

次に進む前に

セキュリティログ監視イベントを自動でタグ付けする 親トピック

ログ検査イベントには、ログファイル構造でのグループ分けに基づいて自動的にタグが付けられます。これにより、 Server & Workload Protection内のログ検査イベントの処理が簡素化および自動化されます。自動タグ設定を使用すると、ログ検査グループにタグを自動的に適用できます。ログインスペクションルールには、ルール内で関連付けられたグループがあります。例:
 <rule id="18126" level="3"> <if_sid>18101</if_sid> <id>^20158</id> <description>Remote access login success</description> <group>authentication_success,</group> </rule> <rule id="18127" level="8"> <if_sid>18104</if_sid> <id>^646|^647</id> <description>Computer account changed/deleted</description><group>account_changed,</group> </rule>  <group>authentication_success,</group> </rule> <rule id="18127" level="8"> <if_sid>18104</if_sid> <id>^646|^647</id> <description>Computer account changed/deleted</description><group>account_changed,</group> </rule>
各グループ名には、「わかりやすい」名前文字列が関連付けられています。上記の例では、「authentication_success」は「Authentication Success」、「account_changed」は「Account Changed」になります。このチェックボックスをオンにすると、フレンドリ名がそのイベントのタグとして自動的に追加されます。複数のルールがトリガーされた場合、複数のタグがイベントに添付されます。

信頼済みのソースを使用したタグ付け 親トピック

注意
注意
信頼できる送信元のイベントタグ付けは、変更監視保護モジュールによって生成されたイベントでのみ使用できます。
注意
注意
2021年7月12日以降にサブスクライブし、バージョン20.0.0-2593以降のエージェントを使用している場合、Trusted Common Baselineは使用できなくなります。 2021年7月12日より前にサブスクライブした場合、このボタンは2022年1月1日まで使用できます。詳細については、 Server & Workload Protectionの変更監視自動タグルールからのTrusted Common Baselineオプションの削除
変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連する属性の変更を監視できます。 (「変更」には、作成、削除、および編集が含まれます。) 変更を監視できるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされているソフトウェア、待機ポート番号、プロセス、レジストリキーなどがあります。
分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。
類似イベントの自動タグ付けに加えて、変更監視モジュールを使用すると、 [信頼できる送信元]で検出されたイベントおよびデータとの類似性に基づいてイベントにタグを付けることができます。信頼できるソースは次のとおりです。
  • [ローカルの信頼済みコンピュータ]
  • [トレンドマイクロのソフトウェア安全性評価サービス]
  • [信頼された共通ベースライン]。コンピュータのグループから収集されたファイル状態のセットです。

信頼済みのローカルコンピュータ 親トピック

信頼済みコンピュータとは、「モデル」コンピュータとして使用されるコンピュータで、無害または無害のイベントのみが生成されることがわかっているコンピュータです。 「対象」コンピュータとは、許可されていない変更や予期しない変更がないかどうかを監視するコンピュータのことです。自動タグ設定ルールは、対象コンピュータのイベントを調べ、信頼するコンピュータのイベントと比較します。いずれかのイベントが一致すると、自動タグ設定ルールで定義されたタグがイベントにタグ付けされます。
保護対象コンピュータのイベントと信頼済みコンピュータのイベントを比較する自動タグルールを設定できます。たとえば、計画されたパッチのロールアウトを信頼済みコンピュータに適用できます。パッチの適用に関連するイベントには、「Patch X」のタグを付けることができます。他のシステムで発生した同様のイベントに自動タグを付け、許容可能な変更として識別して除外することで、評価が必要なイベントの数を減らすことができます。

Server & Workload Protection では、対象コンピュータのイベントが信頼できる送信元コンピュータのイベントと一致するかどうかをどのように判断しますか? 親トピック

変更監視イベントには、ある状態から別の状態への遷移に関する情報が含まれます。つまり、イベントには処理処理後の情報が含まれます。イベントを比較する際、自動タグ設定エンジンは一致する前と後の状態を探します。 2つのイベントの前と後の状態が同じである場合、イベントは一致と判断され、2番目のイベントにタグが適用されます。これは、作成イベントと削除イベントにも適用されます。
注意
注意
信頼できる送信元のイベントタグ付けに信頼できるコンピュータを使用する場合、タグ付けされるイベントは変更監視ルールによって生成されたイベントであることに注意してください。つまり、対象コンピュータでイベントを生成している変更監視ルールが、信頼できる送信元コンピュータでも実行されている必要があります。
注意
注意
信頼済みのソースを使用したイベントのタグ付けを適用する前に、信頼済みのソースのコンピュータで不正プログラムを検索する必要があります。
注意
注意
Linuxのprelinkingのような、システムのファイルの中身を定期的に変更するユーティリティは、信頼済みのソースを使用したイベントのタグ付けと干渉することがあります。

信頼済みのローカルコンピュータに基づいてイベントにタグを付ける 親トピック

手順

  1. 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. イベントに自動タグを付けるコンピュータが、信頼できる送信元コンピュータと同じ (または一部の同じ) 変更監視ルールを実行していることを確認します。
  3. Server & Workload Protection コンソールで、[イベントとレポート] [変更監視イベント]をクリックし、ツールバーの [自動タグ付け] をクリックします。
  4. [自動タグルール (整合性監視イベント)] ウィンドウで、 [新しい信頼できる送信元] をクリックして [タグウィザード]を表示します。
  5. [信頼済みのローカルコンピュータ] を選択し、 [次へ]をクリックします。
  6. リストから、信頼できる発行元にするコンピュータを選択し、 [次へ]をクリックします。
  7. 対象コンピュータのイベントがこの信頼できる送信元コンピュータのイベントと一致した場合に、そのイベントに適用するタグを1つ以上指定します。 [次へ]をクリックします。
    注意
    注意
    新しいタグをテキストで入力するか、既存のタグのリストから選択します。
  8. 信頼された送信元のイベントと一致するイベントの対象コンピュータを特定します。 [次へ]をクリックします。
  9. 必要に応じて、ルールに名前を付け、 [完了]をクリックします。

次に進む前に

トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付ける 親トピック

ソフトウェア安全性診断サービスは、トレンドマイクロが管理する正常なファイル署名のリストです。この種類の信頼できる送信元タグ付けでは、対象コンピュータのファイル関連の変更監視イベントを監視します。イベントが記録されると、変更後のファイルの署名が、トレンドマイクロが提供する既知の有効なファイル署名のリストと比較されます。一致するイベントが見つかった場合、イベントにタグが付けられます。

手順

  1. Server & Workload Protection コンソールで、[イベントとレポート] [変更監視イベント]をクリックし、ツールバーの [自動タグ付け] をクリックします。
  2. [自動タグルール (整合性監視イベント)] ウィンドウで、 [新しい信頼できる送信元] をクリックして [タグウィザード]を表示します。
  3. [ソフトウェア安全性評価サービス] を選択し、 [次へ]をクリックします。
  4. 対象コンピュータ上のイベントがソフトウェア安全性評価サービスに一致した場合に、そのイベントに適用するタグを1つ以上指定します。 [次へ]をクリックします。
  5. 安全対策ソフトウェアサービスと照合するイベントの対象となるコンピュータを特定します。 [次へ]をクリックします。
  6. 必要に応じて、ルールに名前を付け、 [完了]をクリックします。

次に進む前に

信頼済みの共通ベースラインに基づいてイベントにタグを付ける 親トピック

信頼された共通ベースライン方式では、コンピュータのグループ内のイベントが比較されます。コンピュータのグループが識別され、グループ内のコンピュータで有効な変更監視ルールの対象となるファイルとシステムの状態に基づいて、共通のベースラインが生成されます。グループ内のコンピュータで変更監視イベントが発生すると、変更後のファイルの署名が共通ベースラインと比較されます。ファイルの新しい署名が共通ベースラインの他の場所で一致する場合、タグがイベントに適用されます。信頼するコンピュータによる方法では、変更監視イベントの変更前と変更後の状態が比較されますが、信頼できる共通ベースラインによる方法では、変更後の状態のみが比較されます。
注意
注意
この方法では、共通グループ内のすべてのコンピュータが安全で不正プログラムに感染していないことが前提となります。共通ベースラインを生成する前に、グループ内のすべてのコンピュータで不正プログラム対策の完全検索を実行する必要があります。
注意
注意
コンピュータの変更監視ベースラインが生成されると、 Server & Workload Protection はまず、そのコンピュータが信頼された共通ベースライングループに属しているかどうかを確認します。存在する場合は、コンピュータのベースラインデータがそのグループの信頼された共通ベースラインに含まれます。このため、共通ベースライングループ内のコンピュータに変更監視ルールを適用する前に、信頼された共通ベースライン自動タグルールを設定する必要があります。

手順

  1. 信頼済みの共通ベースラインを構成するコンピュータグループに追加するすべてのコンピュータで、不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. Server & Workload Protection コンソールで、[イベントとレポート] [変更監視イベント]をクリックし、ツールバーの [自動タグ付け] をクリックします。
  3. [自動タグルール (整合性監視イベント)] ウィンドウで、 [新しい信頼できる送信元] をクリックして [タグウィザード]を表示します。
  4. [信頼済みの共通ベースライン] を選択し、 [次へ]をクリックします。
  5. 信頼できる共通ベースラインに一致するイベントがある場合にイベントに適用するタグを1つ以上指定し、 [次へ]をクリックします。
  6. 信頼済みの共通ベースラインの生成に使用するグループに含めるコンピュータを指定します。 [次へ]をクリックします。
  7. 必要に応じて、このルールに名前を付け、 [完了]をクリックします。

次に進む前に

タグを削除する 親トピック

手順

  1. イベントリストで、タグを削除するイベントを右クリックし、 [タグの削除]を選択します。
  2. 削除するタグを選択します。タグを [選択した[イベントの種類]イベント] から削除するか、 [選択した類似の[イベントの種類]イベントに適用します。] から削除するかを選択します。 [次へ]をクリックします。
  3. オプションのコメントを入力し、 [完了]をクリックします。

次に進む前に