アプリケーションコントロールの設定 (エージェント)

アプリケーションコントロールポリシーを設定する前に、必要なアプリケーションコントロールの条件をすべて定義するようにしてください。アプリケーションコントロールポリシーには、エンドポイントまたは特定のユーザに対して「許可」または「ブロック」するアプリケーションを定義する、事前設定された条件の使用が必要となります。

詳細については、アプリケーションコントロールの条件を参照してください。

  1. [アプリケーションコントロールを有効にする] を選択します。
  2. [ユーザ定義ルール] セクションで、ログオンしたユーザアカウントに基づいてエンドポイントにルールを割り当てます。
    重要:
    • ユーザベースのアプリケーションコントロールを使用できるのは、Active Directoryを統合済みの場合のみです。Active Directoryを統合していない場合は、初期設定の「すべてのユーザアカウント」ルールのみに条件を割り当てることができます。

    • 初期設定の「すべてのユーザアカウント」ルールは削除できません。

    1. 新しいルールを追加するか、既存のルールを変更します。
      • 新しいルールを追加するには、[ルールの割り当て] をクリックします。

      • 既存のルールを変更するには、表の [ユーザアカウント] 列にある値をクリックします。

      [ルールの割り当て] 画面が表示されます。

    2. 特定のアプリケーションコントロールの条件を適用する [ユーザアカウント] を指定します。
      重要:
      • ユーザベースのアプリケーションコントロールを使用できるのは、Active Directoryを統合済みの場合のみです。Active Directoryを統合していない場合は、初期設定の「すべてのユーザアカウント」ルールのみにルールを割り当てることができます。

      • ルールごとに最大30のユーザまたはグループを割り当てることができます。1つのポリシーにより多くのユーザを割り当てる必要がある場合は、追加のルールを作成してください。

    3. 必要な条件の [名前] をクリックして、その条件を [選択した条件] 表に移動します。
    4. [保存] をクリックします。
    注:

    ルールの優先順位を変更するには、変更するルールを選択し、リスト内の別の場所にドラッグしてください。アプリケーションコントロールは、複数のルールに含まれているユーザに最初の一致ルールを適用します。

  3. [追加処理] セクションで、ユーザが [ユーザ定義ルール] のいずれの条件とも一致しないアプリケーションの実行を試みた場合にアクションコントロールで実行する処理を指定します。
    • 許可: 他のすべてのアプリケーションの実行を許可: アプリケーションコントロールは、[ユーザ定義ルール] のいずれの条件とも一致しないアプリケーションに対して何も実行しません。アプリケーションコントロールを使用してアプリケーションの利用をブロックまたは監視する場合に選択します。

    • ロックダウン: 前回のインベントリ検索で確認できなかったアプリケーションをすべてブロック: エンドポイントがこのコマンドを受信すると、アプリケーションコントロールは以下の処理を実行します。

      1. アプリケーションコントロールは、エンドポイント内を検索して完全なアプリケーションインベントリを作成します。

      2. アプリケーションコントロールにより、エンドポイントは「ロックダウン」され、以下のアプリケーションへのアクセスが禁止されます。

        • [ユーザ定義ルール] の表で定義された許可条件と正確に一致しないアプリケーション

        • [ユーザ定義ルール] の表で定義された診断条件と正確に一致しないアプリケーション

        • 特定のエンドポイントに対するインベントリ検索の結果にないアプリケーション

      • トレンドマイクロの信頼済みベンダのアプリケーションを除外: 信頼済みベンダのアプリケーションであるとトレンドマイクロの脅威の専門家が判断したアプリケーションをすべて自動的に許可する場合に選択します。

      • 診断モードを有効にする: ロックダウンの適用時に実行が明示的に許可されていないがブロックもされていないアプリケーションへのアクセスをログに記録する場合に選択します。

        ヒント:

        許可ルールに追加しなかったすべてのアプリケーションへのアクセスを完全にブロックする前に、ユーザがどのアプリケーションを必要としているかを特定する場合に、診断モードを使用します。

  4. [エージェント通知] セクションで、[アプリケーションがブロックされたときに通知を表示] を選択し、アプリケーションコントロールによってアプリケーションがブロックされたときにエンドポイントで通知が表示されるようにします。
  5. [ログ管理] セクションで、次の情報を指定します。
    • ログの最大保存期間 (日数): エンドポイントでログデータが保持される最大日数を指定します。

    • セキュリティエージェントで1時間ごとに送信できるログの条件あたりの最大数: 各条件ルールについて、1つのセキュリティエージェントからApex Oneサーバに1時間ごとに送信できるログの最大数を指定します。

      注:

      セキュリティエージェントの数やネットワーク設定によっては、サーバに大量のネットワークトラフィックが送られ、パフォーマンスの低下を招く恐れがあります。

    重要:

    別の画面に移動する前に、必ずApex Oneセキュリティエージェントポリシーの [配信] または [保存] を実行してください。ポリシー全体を保存しない場合は、変更内容がすべて失われます。