ソフトウェアのブロックおよび許可の取り消し

Deep Security 10で導入された新機能です。

現在インストールされているソフトウェアに基づいてルールを再構築すると、取り消す必要がないものも含め、既存のルールが「すべて」削除されます。そのため、通常は次のいずれかの方法を使用します。

ルールセットがローカル (1台のコンピュータに適用) であるか共有 (複数のコンピュータに適用) であるかに応じて、ルールの変更は複数のコンピュータに影響することがあります。ただし、ハッシュ、ファイル名、パス、およびファイルサイズの組み合わせはルールごとに一意です。そのため、同じファイルでも多数の異なるファイル名やハッシュが使用されている場合、多くのルールで処理の編集が必要になることがあります。

このような複雑な変更を取り消す必要がある場合や、特定の担当者によって行われた変更を取り消す必要がある場合は、個々のルールを編集するのではなく、判定ログを使用した方が簡単な場合があります (アプリケーションコントロールで複数の新しいルールやルールの変更をまとめて取り消すを参照してください)。

1つのアプリケーションコントロールルールの処理を変更する

以前にブロックしたソフトウェアを許可 (または以前に許可したソフトウェアをブロック) する場合は、該当するルールの処理を編集します。ソフトウェアのファイル名とファイルサイズが同じであれば、インストール先に関係なく、類似するルールの処理を簡単に編集することができます。

ソフトウェアがアプリケーションコントロールで認識されないようにルールを取り消す必要がある場合 (処理を変更するだけでなく、ルール自体を削除する場合) は、個々のアプリケーションコントロールルールを削除するを参照してください。

  1. [ポリシー]→[共通オブジェクト]→[ルール]→[アプリケーションコントロールルールセット] の順に選択します。
  2. 変更するルールを含むルールセットをダブルクリックして選択します。

    ルールが含まれているルールセットがわからなくても、変更した時期やその内容がわかっていれば、判定ログを使用して関連するルールセットを探すことができます。
  3. 表示されたポップアップ画面で、[ルール] タブを選択します。
  4. ブロック (または許可) されたソフトウェアに絞り込む場合は、画面の上部付近にあるリストから [処理別] または [パス別] を選択して類似するルールをグループ化します。また、検索を使用してリストをフィルタすることもできます。

    処理を変更するソフトウェアファイルについて、ファイル名やパスが異なる複数のルールがある場合は、[ファイル名別] または [パス別] を選択して関連するルールをグループ化します。

    アプリケーションコントロールルールの処理

  5. 許可またはブロックするソフトウェアに対応する行を探します。
  6. [処理] 列で、許可するかブロックするかの設定を変更し、[OK] をクリックします。

    AgentからDeep Security Managerへの次回接続時に、ルールがアップデートされ、バージョン番号が上がります。所要時間は以下の要素によって異なります。

アプリケーションコントロールで複数の新しいルールやルールの変更をまとめて取り消す

あるソフトウェアを許可またはブロックすると、多数の新しいルールが、多くのコンピュータに、それぞれ異なるルールセットで作成されるという複雑なトランザクションが発生します。

[処理] タブでソフトウェアを許可またはブロックした場合、他の処理をまだ実行していなければ、画面の下部に「24ファイルをブロック」などのメッセージが表示されます。他の処理を実行していなければ、[取り消し] をクリックして処理を取り消すことができます。

アプリケーションコントロールの取り消し

許可/ブロック後に他の処理を実行した場合は、[取り消し] ボタンは表示されなくなるか、または許可ルールやブロックルールの最後の変更に対応した内容に変わります。その場合も、ルールセットエディタを使用して個々のルールを削除するかその処理を変更すれば、変更を取り消すことは可能です。ただし、次の処理が必要な場合があります。

  • 複数のルールやルールセットの変更をまとめて取り消す
  • 複数の処理をまとめて取り消す
  • 別の管理者の変更を取り消す
  • 追加の情報を確認する (変更を行ったユーザやその日時など)
判定ログを使用すれば、簡単に詳細な情報を確認できます。

  1. [イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[判定ログ] の順に選択します。
  2. 誤ってブロック (または許可) されたソフトウェアだけに絞り込む場合は、画面の上部付近にあるリストから [操作別] を選択して同じ処理のルールをグループ化します。また、検索を使用してリストをフィルタすることもできます。

    特定の管理者アカウントで変更されたルールや、特定の期間に変更されたルールを検索することもできます。

  3. 取り消す変更に対応する行を探します。

    [ファイル名] 列に「複数」と表示されている場合、変更の対象となったファイルを確認するには、[プレビュー] アイコンをクリックします。

    アプリケーションコントロールの取り消し

    処理が [すべて許可] または [すべてブロック] の場合は、多数のパスやコンピュータに影響している可能性があります。
    [ステータス] が「失効」の場合は、設定が後から変更されています。以前の判定は現在適用されていないため、失効した判定を取り消す必要はありません。
  4. [取り消し] をクリックします。

    判定ログでの取り消し操作は元に戻すことはできません。後でまた元に戻す場合は、もう一度 [処理] タブまたはルールセットエディタで変更を行ってください。

    [ステータス] 列が「取り消し」に変わり、[プレビュー] アイコンをクリックすると「この判定に対する変更はすでに元に戻されました」というメッセージが表示されます。AgentからDeep Security Managerへの次回接続時に、ルールがアップデートされ、ルールセットのバージョンが上がります。所要時間は以下の要素によって異なります。

    次の変更を取り消した場合は、該当するルールが存在しなくなることがあります。

    • ルールの作成 ([判定元] 列が「処理画面」)
    • 処理の変更 ([判定元] 列が「セキュリティイベント」または「ルールセットエディタ」)

    その場合、そのソフトウェアはルールに一致しなくなるため、[処理] タブに再び表示されるようになります。