アラートやその他のアクティビティに関するレポートの生成

手順

1. Server & Workload Protection コンソールで、 [イベントとレポート] タブに移動し、左側のペインで[生成报告] → [単独レポート] 。
2. [レポート] リストで、生成するレポートの種類を選択します。使用している保護モジュールに応じて、次のレポートを使用できます。
   • [アラートレポート:] 最も一般的なアラートのリスト
   • [不正プログラム対策レポート:] 感染コンピュータ上位25件のリスト
   • [攻撃レポート:] モード別の分析アクティビティの概要テーブル。内容の詳細については、次を参照してください。攻撃レポートについて。
   • コンピュータレポート: [コンピュータ] タブに表示される各コンピュータの概要
   • [侵入防御ルールの推奨状況レポート:] 侵入防御ルールの推奨事項。このレポートは、一度に1台のセキュリティポリシーまたはコンピュータに対してのみ実行できます。
   • [ファイアウォールレポート:] ファイアウォールルールとステートフル設定アクティビティの記録
   • [コンピュータフォレンジックス監査レポート:] コンピュータ上のエージェントの設定
   • [変更監視ベースラインレポート:] 特定の時点におけるコンピュータのベースライン (タイプ、キー、およびフィンガープリントの日付を示す)

     注意 2021年7月12日以前に Server & Workload Protection をサブスクライブし、エージェントバージョン20.0.0-2593以降を使用しているお客様は、ベースラインが削除され、 [変更監視ベースラインレポート] を使用できなくなりました。 2021年7月12日より前にサブスクライブしたユーザの場合、レポートは2022年1月1日以降利用できなくなります。 詳細については、を参照してください。 Server & Workload Protectionからの「整合性監視ベースラインレポート」の削除。

   • [変更監視の詳細な変更レポート:] 検出された変更の詳細
   • [変更監視レポート:] 検出された変更の概要
   • [侵入防御レポート:] 侵入防御ルールのアクティビティの記録
   • [セキュリティログ監視の詳細レポート:] 収集されたログデータの詳細
   • [セキュリティログ監視レポート:] 収集されたログデータの概要
   • [推奨設定レポート:] 推奨設定の検索アクティビティの記録
   • [推奨事項の概要レポート:] Server & Workload Protection アクティビティの統合サマリ
   • [セキュリティモジュールの使用状況レポート:] クラウドアカウント別使用時間内訳
   • [不審なアプリケーション活動レポート:] 不正行為の疑いに関する情報
   • [システムイベントレポート:] システム (セキュリティ以外) アクティビティの記録
   • [ユーザおよび連絡先レポート:] ユーザおよび連絡先のコンテンツとアクティビティの詳細
   • [Webレピュテーションレポート:] Webレピュテーションイベントが最も多いコンピュータのリスト
3. レポートの [形式] をPDFまたはRTFから選択します。 (「セキュリティモジュール使用状況レポート」は例外で、常にCSVファイルで出力されます。)
4. オプションの [分類] をPDFまたはRTFレポートに追加することもできます。BLANK、TOP SECRET、SECRET、CONFIDENTIAL、FOR OFFICIAL USE ONLY、LAW ENFORCEMENT SENSITIVE (LES)、LIMITED DISTRIBUTION、UNCLASSIFIED、INTERNAL USE ONLY。
5. [タグ] 領域では、イベントタグを使用してレポートデータをフィルタできます (イベントデータを含むレポートを選択した場合)。すべてのイベントの場合は [すべて] 、タグなしのイベントのみの場合は [タグなし] を選択します。または、 [タグ] を選択して1つ以上のタグを指定し、選択したタグの付いたイベントのみを含めます。

   注意 複数の矛盾するタグを適用すると、タグは結合するのではなく、互いに打ち消し合います。たとえば、[ユーザのサインイン] と [ユーザのサインアウト] を選択した場合、システムイベントは発生しません。

6. [期間] 領域を使用して、レコードが存在する任意の期間に対して時間フィルタを設定できます。これは、セキュリティ監査に役立ちます。時間フィルタオプション:
   • [過去24時間:] 過去24時間の開始時刻と終了時刻のイベントが含まれます。たとえば、12月5日の午前10時14分にレポートを生成すると、12月4日の午前10時から12月5日の午前10時までに発生したイベントのレポートが生成されます。
   • [過去7日間:] 過去1週間のイベントが含まれます。週の開始時刻と終了時刻は午前0時 (00:00) です。たとえば、12月5日の午前10時14分にレポートを生成すると、11月28日の午前0時から12月5日の午前0時までに発生したイベントのレポートが生成されます。
   • [前月:] 午前0時 (00:00) に開始および終了する、過去の暦月のイベントが含まれます。たとえば、11月15日にこのオプションを選択すると、10月1日午前0時から11月1日午前0時までに発生したイベントに関するレポートを受信します。
   • [Custom Range:] レポートに独自の日時範囲を指定できます。レポートで、開始日が2日以上前の場合、開始時刻が午前0時に変更されることがあります。

   注意 レポートでは、カウンタに保存されているデータが使用されます。カウンタは、イベントから定期的に収集されるデータです。カウンタデータは、直近60時間の1時間ごとに集計されます。現在の時間のデータはレポートに含まれません。 60時間以上経過したデータは、日次で集計されるカウンタに保存されます。このため、過去60時間のレポート対象期間は時間単位で指定できますが、60時間を超える場合は日単位でのみ指定できます。

7. [コンピュータ] 領域で、レポートにデータを含めるコンピュータを選択します。
   • [すべてのコンピュータ:] Server & Workload Protection内のすべてのコンピュータ
   • [マイコンピュータ:] サインインしたユーザが、ユーザの役割の権限設定に基づいてコンピュータへのアクセスを制限している場合、これらのコンピュータは、サインインしたユーザが表示アクセス権を持っているコンピュータです。
   • [グループ:] Server & Workload Protection グループ内のコンピュータ。
   • [使用ポリシー:] 特定の保護ポリシーを使用しているコンピュータ。
   • [コンピュータ名:] 1台のコンピュータ。

   注意 複数のコンピュータグループの特定のコンピュータに関するレポートを生成するには、対象のコンピュータに対する表示権限のみを持つユーザを作成してから、そのユーザの「すべてのコンピュータ」レポートを定期的に生成する予約タスクを作成するか、そのユーザとしてサインインします。 [すべてのコンピュータ] レポートを実行します。そのユーザに表示権限があるコンピュータのみがレポートに含まれます。

8. [暗号化] 領域では、現在サインインしているユーザのパスワード、またはこのレポート専用の新しいパスワードを使用してレポートを保護できます。
   • [レポートのパスワードの無効化:] レポートはパスワードで保護されていません。
   • [現在のユーザのレポートのパスワードを使用:] 現在のユーザのPDFレポートのパスワードを使用します。アクティブユーザのPDFレポートのパスワードを変更するには、 Server & Workload Protection内から画面上部の [ユーザプロパティ] をクリックし、 [設定] タブをクリックします。 [パスワードで保護されたレポート] セクションで、必要に応じて [このユーザが生成したレポートをパスワードで保護する] チェックボックスをオンにし、新しいパスワードを入力して確認します。
   • [カスタムレポートのパスワードの使用:] このレポートの1回限りのパスワードを作成します。パスワードの複雑さに関する要件はありません。