ビュー:
Server & Workload Protection は、レポートをPDFまたはRTF形式で生成します。ほとんどのレポートには、期間やコンピュータグループ別のレポートなど、設定可能なパラメータがあります。パラメータオプションは、適用されないレポートでは無効になります。 1回限りのレポートを設定できます (単一のレポートを設定する) またはレポートを定期的に実行するようにスケジュールを設定します (「予約レポートを設定する)。

単独レポートを設定する 親トピック

手順

  1. Server & Workload Protection コンソールで、 [イベントとレポート] タブに移動し、左側のペインで[生成报告] [単独レポート]
  2. [レポート] リストで、生成するレポートの種類を選択します。使用している保護モジュールに応じて、次のレポートを使用できます。
    • [アラートレポート:] 最も一般的なアラートのリスト
    • [不正プログラム対策レポート:] 感染コンピュータ上位25件のリスト
    • [攻撃レポート:] モード別の分析アクティビティの概要テーブル。内容の詳細については、次を参照してください。攻撃レポートについて
    • コンピュータレポート: [コンピュータ] タブに表示される各コンピュータの概要
    • [侵入防御ルールの推奨状況レポート:] 侵入防御ルールの推奨事項。このレポートは、一度に1台のセキュリティポリシーまたはコンピュータに対してのみ実行できます。
    • [ファイアウォールレポート:] ファイアウォールルールとステートフル設定アクティビティの記録
    • [コンピュータフォレンジックス監査レポート:] コンピュータ上のエージェントの設定
    • [変更監視ベースラインレポート:] 特定の時点におけるコンピュータのベースライン (タイプ、キー、およびフィンガープリントの日付を示す)
      注意
      注意
      2021年7月12日以前に Server & Workload Protection をサブスクライブし、エージェントバージョン20.0.0-2593以降を使用しているお客様は、ベースラインが削除され、 [変更監視ベースラインレポート] を使用できなくなりました。 2021年7月12日より前にサブスクライブしたユーザの場合、レポートは2022年1月1日以降利用できなくなります。 詳細については、を参照してください。 Server & Workload Protectionからの「整合性監視ベースラインレポート」の削除
    • [変更監視の詳細な変更レポート:] 検出された変更の詳細
    • [変更監視レポート:] 検出された変更の概要
    • [侵入防御レポート:] 侵入防御ルールのアクティビティの記録
    • [セキュリティログ監視の詳細レポート:] 収集されたログデータの詳細
    • [セキュリティログ監視レポート:] 収集されたログデータの概要
    • [推奨設定レポート:] 推奨設定の検索アクティビティの記録
    • [推奨事項の概要レポート:] Server & Workload Protection アクティビティの統合サマリ
    • [セキュリティモジュールの使用状況レポート:] クラウドアカウント別使用時間内訳
    • [不審なアプリケーション活動レポート:] 不正行為の疑いに関する情報
    • [システムイベントレポート:] システム (セキュリティ以外) アクティビティの記録
    • [ユーザおよび連絡先レポート:] ユーザおよび連絡先のコンテンツとアクティビティの詳細
    • [Webレピュテーションレポート:] Webレピュテーションイベントが最も多いコンピュータのリスト
  3. レポートの [形式] をPDFまたはRTFから選択します。 (「セキュリティモジュール使用状況レポート」は例外で、常にCSVファイルで出力されます。)
  4. オプションの [分類] をPDFまたはRTFレポートに追加することもできます。BLANK、TOP SECRET、SECRET、CONFIDENTIAL、FOR OFFICIAL USE ONLY、LAW ENFORCEMENT SENSITIVE (LES)、LIMITED DISTRIBUTION、UNCLASSIFIED、INTERNAL USE ONLY。
  5. [タグ] 領域では、イベントタグを使用してレポートデータをフィルタできます (イベントデータを含むレポートを選択した場合)。すべてのイベントの場合は [すべて] 、タグなしのイベントのみの場合は [タグなし] を選択します。または、 [タグ] を選択して1つ以上のタグを指定し、選択したタグの付いたイベントのみを含めます。
    注意
    注意
    複数の矛盾するタグを適用すると、タグは結合するのではなく、互いに打ち消し合います。たとえば、[ユーザのサインイン] と [ユーザのサインアウト] を選択した場合、システムイベントは発生しません。
  6. [期間] 領域を使用して、レコードが存在する任意の期間に対して時間フィルタを設定できます。これは、セキュリティ監査に役立ちます。時間フィルタオプション:
    • [過去24時間:] 過去24時間の開始時刻と終了時刻のイベントが含まれます。たとえば、12月5日の午前10時14分にレポートを生成すると、12月4日の午前10時から12月5日の午前10時までに発生したイベントのレポートが生成されます。
    • [過去7日間:] 過去1週間のイベントが含まれます。週の開始時刻と終了時刻は午前0時 (00:00) です。たとえば、12月5日の午前10時14分にレポートを生成すると、11月28日の午前0時から12月5日の午前0時までに発生したイベントのレポートが生成されます。
    • [前月:] 午前0時 (00:00) に開始および終了する、過去の暦月のイベントが含まれます。たとえば、11月15日にこのオプションを選択すると、10月1日午前0時から11月1日午前0時までに発生したイベントに関するレポートを受信します。
    • [Custom Range:] レポートに独自の日時範囲を指定できます。レポートで、開始日が2日以上前の場合、開始時刻が午前0時に変更されることがあります。
    注意
    注意
    レポートでは、カウンタに保存されているデータが使用されます。カウンタは、イベントから定期的に収集されるデータです。カウンタデータは、直近60時間の1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。 60時間以上経過したデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポート対象期間は時間単位で指定できますが、60時間を超える場合は日単位でのみ指定できます。
  7. [コンピュータ] 領域で、レポートにデータを含めるコンピュータを選択します。
    • [すべてのコンピュータ:] Server & Workload Protection内のすべてのコンピュータ
    • [マイコンピュータ:] サインインしたユーザが、ユーザの役割の権限設定に基づいてコンピュータへのアクセスを制限している場合、これらのコンピュータは、サインインしたユーザが表示アクセス権を持っているコンピュータです。
    • [グループ:] Server & Workload Protection グループ内のコンピュータ。
    • [使用ポリシー:] 特定の保護ポリシーを使用しているコンピュータ。
    • [コンピュータ名:] 1台のコンピュータ。
    注意
    注意
    複数のコンピュータグループの特定のコンピュータに関するレポートを生成するには、対象のコンピュータに対する表示権限のみを持つユーザを作成してから、そのユーザの「すべてのコンピュータ」レポートを定期的に生成する予約タスクを作成するか、そのユーザとしてサインインします。 [すべてのコンピュータ] レポートを実行します。そのユーザに表示権限があるコンピュータのみがレポートに含まれます。
  8. [暗号化] 領域では、現在サインインしているユーザのパスワード、またはこのレポート専用の新しいパスワードを使用してレポートを保護できます。
    • [レポートのパスワードの無効化:] レポートはパスワードで保護されていません。
    • [現在のユーザのレポートのパスワードを使用:] 現在のユーザのPDFレポートのパスワードを使用します。アクティブユーザのPDFレポートのパスワードを変更するには、 Server & Workload Protection内から画面上部の [ユーザプロパティ] をクリックし、 [設定] タブをクリックします。 [パスワードで保護されたレポート] セクションで、必要に応じて [このユーザが生成したレポートをパスワードで保護する] チェックボックスをオンにし、新しいパスワードを入力して確認します。
    • [カスタムレポートのパスワードの使用:] このレポートの1回限りのパスワードを作成します。パスワードの複雑さに関する要件はありません。

次に進む前に

予約レポートを設定する 親トピック

予約レポートは、定期的にレポートを生成し、任意の数のユーザおよび連絡先に配信する予約タスクです (この機能は、以前は「定期レポート」と呼ばれていました)。
予約レポートを設定するには、 [イベントとレポート] タブに移動し、左側のペインで[生成报告] [予約レポート][新規]をクリックします。 [予約タスクの新規作成] ウィザードが開き、設定プロセスの手順が示されます。時間フィルタを除き、ほとんどのオプションは単一レポートのオプションと同じです。
2016-07-07_000117_DS10=5c0a02ef-e0b1-45c3-b8c7-8cd0a96ce72e.png
  • [過去 [N] 時間:] [N] が60未満の場合、開始時刻と終了時刻は指定された時間の先頭になります。 [N] が60を超える場合は、時間範囲の最初の1時間ごとのデータを使用できないため、レポートの開始時刻は開始日の午前0時 (00:00) に変更されます。
  • [過去 [N] 日間:] [N] 数日前の午前0時から当日の午前0時までのデータが含まれます。
  • [過去 [N] 週間:] 深夜 (00:00) に開始および終了する、過去 [N] 週間のイベントが含まれます。
  • [過去 [N] か月間:] 深夜 (00:00) に開始および終了する、過去 [N] のイベントが含まれます。たとえば、11月15日に「過去1か月」を選択した場合、10月1日午前0時から11月1日午前0時までに発生したイベントのレポートを受信します。
注意
注意
レポートでは、カウンタに保存されているデータが使用されます。カウンタは、イベントから定期的に集計されるデータです。カウンタデータは、直近60時間の1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。 60時間以上経過したデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポート対象期間は時間単位で指定できますが、60時間を超える場合は日単位でのみ指定できます。

トラブルシューティング: 予約レポートの送信に失敗しました 親トピック

Server & Workload Protectionでは、定期的なレポートをスケジュール設定してメールで送信できます。ただし、メールのサイズは20MBを超えることはできません。サイズが20MBを超えると、メールの送信に失敗します。 [イベントとレポート] ページで、対応する「メール失敗」イベントが発生し、エラーメッセージ、メールの件名、およびメール送信先情報が表示されます。
メッセージサイズが制限を超えたためにレポートメールを送信できない場合は、期間を短くするか、グループまたはポリシーで対象コンピュータをフィルタして、レポートをサブレポートに分割します。