アプリケーションコントロールイベントの監視

Deep Security 10で導入された新機能です。

初期設定では、アプリケーションコントロールを有効にした場合、ソフトウェアの変更が検出されたときなどにイベントがログに記録されます。ログはソフトウェアの実行がブロックされたときにも記録されます。ソフトウェア変更イベントは、[処理] タブと [イベントとレポート] タブに表示されます。設定してあればアラートもトリガされます。

どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステム、syslogサーバ、またはSNMPマネージャに転送するかを設定できます。

コンピュータ上のソフトウェアの変更を監視するための基本手順は次のとおりです。

  1. ログに記録するアプリケーションコントロールイベントを選択する
  2. アプリケーションコントロールアラートを監視する

ログに記録するアプリケーションコントロールイベントを選択する

  1. [管理]→[システム設定]→[システムイベント] に進みます。
  2. Event ID 7000「アプリケーションコントロールイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
  3. そのタイプのイベントのイベントログを記録するには、[記録する] を有効にします。

    該当するイベントが発生すると、[イベント]→[レポート]→[イベント]→[システムイベント] にイベントが表示されます。ログは最大保存期間に達するまで保存されます。保存期間はDeep Security Managerプラットフォームによって異なります。詳細については、ログとイベントの保存に関するベストプラクティスを参照してください。

    ここで設定するイベントは、[コンピュータ]→[詳細]→[アプリケーションコントロール]→[イベント] に表示されるイベントではありません。それらのイベントは常にログに記録されます。
  4. イベントログをSIEM、SNMP、またはSyslogサーバに転送するには、[転送する]を有効にします。
  5. 特定のコンピュータからDeep Security Managerを介さずにSIEMに直接ログを転送する場合は、[コンピュータ] に進み、コンピュータを右クリックして [詳細] を選択します。左側の画面で、[設定] をクリックし、[SIEM] タブに進みます。下にスクロールして、[アプリケーションコントロールイベントの転送] で設定を指定します。
  6. 外部SIEMを使用する場合は、必要に応じて、対象となるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定します。アプリケーションコントロールイベントのリストについてはシステムイベントを参照してください。

アプリケーションコントロールイベントログを表示する

アプリケーションイベントが表示される場所は、イベントの種類によって異なります。

  • 監査イベント (設定の変更やソフトウェアアップデートの履歴): [イベントとレポート]→[イベント]→[システムイベント]
  • セキュリティイベント (アプリケーションコントロールでブロックまたは許可された承認されていないソフトウェア、ブロックルールでブロックされたソフトウェア): [イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント]

アプリケーションコントロール は、次のセキュリティイベントをログに記録します。

  • 承認されていないソフトウェアの実行を許可
  • 承認されていないソフトウェアの実行をブロック
  • ソフトウェアの実行をルールでブロック

アプリケーション制御システムイベントのリストについては、を参照してください。システムイベント.

アプリケーションコントロールでソフトウェアを誤ってブロックしているイベントが見つかった場合は、ルールを取り消すことができます。

アプリケーションコントロールアラートを監視する

アプリケーションコントロールアラートが表示された、ダッシュボードの [アラートステータス] ウィジェット。

どのアプリケーションコントロールイベントまたは重要度でアラートを生成するかを設定するには、[アラート] タブに進み、[アラートの設定] ボタンをクリックし、次にイベントを選択して [プロパティ] をクリックします。詳細については、アラートのメール通知の設定を参照してください。

アプリケーションコントロールイベントに対してアラートが有効になっていると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と実行がブロックされたソフトウェアがすべて [アラート] タブに表示されます。[アラートステータス] ウィジェットを有効にした場合には、ダッシュボードにもアプリケーションコントロールアラートが表示されます。

どのコンピュータでメンテナンスモードが有効になっているかを監視するには、[ウィジェットの追加/削除] をクリックし、[アプリケーションコントロールメンテナンスモード] ウィジェットを有効にします。このウィジェットには、コンピュータのリストと各コンピュータで予定されているメンテナンス期間が表示されます。

アラート (および関連イベントの数) は、設定された最大保存期間に達するまで保持されます。