本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
アプリケーションコントロールイベントの監視
Deep Security 10で導入された新機能です。
初期設定では、アプリケーションコントロールを有効にした場合、ソフトウェアの変更が検出されたときなどにイベントがログに記録されます。ログはソフトウェアの実行がブロックされたときにも記録されます。ソフトウェア変更イベントは、[処理] タブと [イベントとレポート] タブに表示されます。設定してあればアラートもトリガされます。
どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステム、syslogサーバ、またはSNMPマネージャに転送するかを設定できます。
コンピュータ上のソフトウェアの変更を監視するための基本手順は次のとおりです。
ログに記録するアプリケーションコントロールイベントを選択する
- [管理]→[システム設定]→[システムイベント] に進みます。
- Event ID 7000「アプリケーションコントロールイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
-
そのタイプのイベントのイベントログを記録するには、[記録する] を有効にします。
該当するイベントが発生すると、[イベント]→[レポート]→[イベント]→[システムイベント] にイベントが表示されます。ログは最大保存期間に達するまで保存されます。保存期間はDeep Security Managerプラットフォームによって異なります。詳細については、ログとイベントの保存に関するベストプラクティスを参照してください。
ここで設定するイベントは、[コンピュータ]→[詳細]→[アプリケーションコントロール]→[イベント] に表示されるイベントではありません。それらのイベントは常にログに記録されます。 - イベントログをSIEM、SNMP、またはSyslogサーバに転送するには、[転送する]を有効にします。
- 特定のコンピュータからDeep Security Managerを介さずにSIEMに直接ログを転送する場合は、[コンピュータ] に進み、コンピュータを右クリックして [詳細] を選択します。左側の画面で、[設定] をクリックし、[SIEM] タブに進みます。下にスクロールして、[アプリケーションコントロールイベントの転送] で設定を指定します。
-
外部SIEMを使用する場合は、必要に応じて、対象となるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定します。アプリケーションコントロールイベントのリストについてはシステムイベントを参照してください。
アプリケーションコントロールイベントログを表示する
アプリケーションイベントが表示される場所は、イベントの種類によって異なります。
- 監査イベント (設定の変更やソフトウェアアップデートの履歴): [イベントとレポート]→[イベント]→[システムイベント]
- セキュリティイベント (アプリケーションコントロールでブロックまたは許可された承認されていないソフトウェア、ブロックルールでブロックされたソフトウェア): [イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント]
アプリケーションコントロール は、次のセキュリティイベントをログに記録します。
- 承認されていないソフトウェアの実行を許可
- 承認されていないソフトウェアの実行をブロック
- ソフトウェアの実行をルールでブロック
アプリケーション制御システムイベントのリストについては、を参照してください。システムイベント.
アプリケーションコントロールでソフトウェアを誤ってブロックしているイベントが見つかった場合は、ルールを取り消すことができます。
アプリケーションコントロールアラートを監視する
どのアプリケーションコントロールイベントまたは重要度でアラートを生成するかを設定するには、[アラート] タブに進み、[アラートの設定] ボタンをクリックし、次にイベントを選択して [プロパティ] をクリックします。詳細については、アラートのメール通知の設定を参照してください。
アプリケーションコントロールイベントに対してアラートが有効になっていると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と実行がブロックされたソフトウェアがすべて [アラート] タブに表示されます。[アラートステータス] ウィジェットを有効にした場合には、ダッシュボードにもアプリケーションコントロールアラートが表示されます。
どのコンピュータでメンテナンスモードが有効になっているかを監視するには、[ウィジェットの追加/削除] をクリックし、[アプリケーションコントロールメンテナンスモード] ウィジェットを有効にします。このウィジェットには、コンピュータのリストと各コンピュータで予定されているメンテナンス期間が表示されます。
アラート (および関連イベントの数) は、設定された最大保存期間に達するまで保持されます。