推奨設定の検索の管理と実行

検索内容

• インストール済みアプリケーション
• Windowsレジストリ
• オープンポート
• ディレクトリリスト
• ファイルシステム
• 実行中のプロセスとサービス
• 環境変数
• ユーザ

検索の制限

• 推奨スキャンには以下が含まれません:
  • Webアプリケーション保護ルール。
  • ほとんどのスマートルールは、重大な脅威や特定の脆弱性に対処しない限り適用されません。スマートルールは、1つ以上の（ゼロデイ）脆弱性に対処します。Server & Workload Protection のルールリストは、[種類] 列の [Smart] でスマートルールを識別します。
  • Windowsシステムでは、アプリケーションが内部で使用するOpenSSLルールが適用されます。スキャナーは、OpenSSLを明示的にインストールした場合にのみ、OpenSSLに関する推奨事項を提供できます。
• 以下の技術に対してスキャナーが不要なルールを推奨する場合があります:
  • Red Hat JBoss
  • Eclipse Jetty
  • Apache Struts
  • Oracle WebLogic
  • WebSphere
  • Oracle Application Testing Suite
  • Oracle Golden Gate
  • Nginx
  • Chrome 用 Adobe Flash Player プラグイン - 推奨事項は Chrome のバージョンに基づいています。
  • コンテンツ管理システム（CMS）およびすべてのCMSプラグイン - PHPを使用するWebサーバーの場合、スキャンはCMSに関連するすべてのIPSルールを推奨します。
• Linuxシステムでは:
  • Webブラウザのみが該当ベクタである場合は、Java関連の脆弱性のルールはスキャナーによって推奨されません。
• Unix または Linux システムでは:
  • 推奨設定の検索エンジンが、OSの初期設定のパッケージマネージャを使用してインストールされていないソフトウェアを検出できない可能性があります。例えば、Apache Struts、Wordpress、Joomlaなどです。標準のパッケージマネージャを使用してインストールされたアプリケーションにはこの問題はありません。
  • 推奨設定には、デスクトップアプリケーションの脆弱性またはローカルの脆弱性に関するルールは含まれません。たとえば、ブラウザやメディアプレーヤなどです。

推奨設定の検索を実行する

注意 推奨設定の検索を実行するには、ワークロードのライセンスが必要です。

• [予約タスク:] 設定したスケジュールに従って推奨設定の検索を実行する予約タスクを作成します。予約タスクは、すべてのコンピュータ、1台のコンピュータ、定義済みのコンピュータグループ、または特定のポリシーで保護されているすべてのコンピュータに割り当てることができます。参照推奨設定の検索を定期的に実行する予約タスクを作成する。
• [Ongoing scans:] ポリシーを構成して、ポリシーで保護されているすべてのコンピューターが定期的に推奨事項のスキャンを受けるようにします。また、個々のコンピューターに対して継続的なスキャンを構成することもできます。このタイプのスキャンは、最後のスキャンが行われた時間を確認し、設定された間隔を待ってスキャンを行います。これにより、環境内で推奨事項のスキャンが異なる時間に行われることになります。継続的なスキャンは、エージェントが短時間または断続的にオンラインになる環境で役立ちます。たとえば、インスタンスを頻繁に構築および廃棄するクラウド環境です。継続的なスキャンの構成を参照してください
• [Manual scans:] 1台以上のコンピューターで単一の推奨検索を実行します。手動検索は、最近プラットフォームやアプリケーションに大きな変更を加えた場合に、新しい推奨事項を確認するためにスケジュールされたタスクを待たずに強制的にチェックするのに役立ちます。推奨検索を手動で実行するを参照してください。
• [コマンドライン:] の推奨スキャンを Server & Workload Protection コマンドラインインターフェイスを使用して開始します。コマンドラインユーティリティ を参照してください。
• [API:] 推奨スキャンを Server & Workload Protection アプリケーションプログラミングインターフェイス (API) を使用して開始します。Server & Workload Protection REST API の使用方法を参照してください。

注意 スケジュールされたタスクと進行中のスキャンは、それぞれの設定で推奨スキャンを独立して実行できます。スケジュールされたタスクまたは進行中のスキャンのいずれかを使用してください。両方を使用しないでください。

推奨設定の検索を定期的に実行する予約タスクを作成する

ヒント 大規模な環境の場合は、ポリシーを通じて、推奨設定の検索を含むすべての処理を実行してください。

1. Server & Workload Protection コンソールで、[Administration ] → [ Scheduled Tasks] に移動します。
2. [新規] → [New Scheduled Task] を選択して、新しいスケジュールされたタスクウィザードを表示します。
3. [種類] → [Scan Computers for Recommendations] を選択します。
4. スキャンの頻度を選択します。
5. [次へ] をクリックします。
6. 選択に基づいてスキャン頻度を指定してください。
7. [次へ] をクリックします。
8. スキャンするコンピュータを選択します。
9. [次へ] をクリックします。
10. 新しいスケジュールされたタスクに名前を付けてください。
11. [Run Task on Finish]を選択します。
12. [完了] をクリックします。

継続検索を設定する

ヒント 大規模な環境の場合は、ポリシーを通じて、推奨設定の検索を含むすべての処理を実行してください。

1. Server & Workload Protection コンソールで、対応するエディタを開きます:
   • 個人用[Computer]。
   • [ポリシー]を使用しているすべてのコンピューターに対して。
2. [Settings] をクリックします。
3. [一般] タブの [推奨] の下で、[Perform ongoing Recommendation Scans] を使用して、進行中の推奨スキャンを有効または無効にします。この設定は継承可能です。ポリシー、継承、およびオーバーライド を参照してください。
4. [Ongoing Scan Interval] を使用してスキャンの頻度を指定します。この設定は継承可能です。ポリシー、継承、およびオーバーライド を参照してください。

推奨設定の検索を手動で実行する

1. Server & Workload Protection コンソールで、[Computers] に移動します。
2. スキャンするコンピュータを選択
3. クリック[処理] → [推奨設定の検索] 。

推奨設定の検索をキャンセルする

1. Server & Workload Protection コンソールで、[Computers] に移動します。
2. 検索をキャンセルするコンピュータを選択します。
3. クリック[処理] → [推奨設定の検索のキャンセル] 。

ルールまたはアプリケーションの種類を推奨設定の検索から除外する

ヒント 大規模な環境の場合は、ポリシーを通じて、推奨設定の検索を含むすべての処理を実行することを推奨します。

1. Server & Workload Protection コンソールで、対応するエディタを開きます:
   • 個人用[Computer]。
   • [ポリシー]を使用しているすべてのコンピューターに対して。
2. 除外したいルールの種類を選択してください:
   • [侵入防御]
   • [変更監視]
   • [セキュリティログ監視]
3. [一般] タブで、次のいずれかを選択します:
   • [Assign/Unassign] のルール
   • [Application Types] のアプリケーションタイプ
4. 除外するルールまたはアプリケーションの種類をダブルクリックします。
5. [オプション] タブをクリックします。
6. 次のいずれかを実行します。
   • ルールの場合、[Exclude from Recommendations] を [はい] または [Inherited (Yes)] に設定します。
   • アプリケーションタイプには、[Exclude from Recommendations]を選択します。

推奨設定を自動的に適用する

ヒント 大規模な環境の場合は、ポリシーを通じて、推奨設定の実装を含むすべての処理を実行することを推奨します。

1. Server & Workload Protection コンソールで、対応するエディタを開きます:
   • 個人用[Computer]。
   • [ポリシー]を使用しているすべてのコンピューターに対して。
2. 自動的に実装したいタイプを選択してください:
   • [侵入防御]
   • [変更監視]
   • [セキュリティログ監視]
   設定は保護モジュールごとに独立して変更できます。
3. [一般] タブの [推奨] の下で、[はい] または [Inherited (Yes)] を選択します。

• 適用する前に設定が必要なルール。
• 推奨設定の検索から除外されたルール。
• ユーザーが上書きした自動的に割り当てられた、または割り当て解除されたルール。例えば、Server & Workload Protectionが自動的にルールを割り当て、その後にあなたがそれを割り当て解除した場合、次の推奨スキャンではそのルールは再割り当てされません。
• ポリシー階層の上位レベルで割り当てられているルールを下位レベルで割り当て解除することはできません。ポリシーレベルでコンピュータに割り当てられたルールは、ポリシーレベルで割り当て解除する必要があります。
• トレンドマイクロから発行されたものであるが、誤判定のリスクの可能性があるルール。これはルールの説明で対処されています。

検索結果を確認してルールを手動で割り当てる

1. 推奨設定の検索が完了したら、検索したコンピュータに割り当てられているポリシーを開きます。
2. [Intrusion Prevention ] → [ General] に移動します。未解決の推奨事項の数 (該当する場合) は、推奨事項セクションに表示されます。
3. [Assign/Unassign] をクリックしてルールの割り当て画面を開きます。
4. 割り当てられていない推奨ルールのリストを表示する:
   1. ルールを並べ替える [By Application Type]。
   2. [Recommended for Assignment] を選択します。
      • 推奨ルールには、長方形または完全なフラグがあります。
      • 三角形、または部分的なフラグ は、アプリケーションタイプの一部のルールのみが推奨されていることを示します。
5. ポリシーに単一のルールを割り当てるには、ルール名の横にあるチェックボックスをオンにします。
   • のあるルールには設定オプションがあります。
   • のあるルールには、ルールを有効にする前に設定する必要がある設定があります。
6. 一度に複数のルールを割り当てるには:
   1. ルールを選択する際に Shift または Control を押し続けます。
   2. 選択範囲を右クリックします。
   3. [Assign Rule(s)] をクリックします。

推奨ルールを設定する

一部のルールは適用する前に設定が必要です。例えば、一部のログインスペクションルールはログファイルの場所を指定する必要があります。この場合、推奨が行われたコンピュータにアラートが表示されます。アラートのテキストには、ルールを設定するために必要な情報が含まれています。ポリシーまたはコンピュータエディタでは、が付いているルールは有効化する前に設定が必要です。が付いているルールは任意の設定です。

一般的な脆弱性の追加ルールを実装する

トラブルシューティング: 推奨設定の検索の失敗

コミュニケーション

サーバリソース