共有ルールセットとグローバルルールセットを作成するためのAPIの使用

アプリケーションコントロールの概要については、アプリケーションコントロールによるソフトウェアのロックダウンを参照してください。初期設定の手順については、アプリケーションコントロールの設定を参照してください。

Deep Security Managerインタフェースを使用することで、保護している各コンピュータ用に個別のローカルルールセットを作成できます。Deep Security APIを使用することで、共有ルールセットとグローバルルールセットも作成できます。1種類のルールセットを使用することも、組み合わせて使用することもできます。

  • ローカルルールセット: コンピュータのソフトウェアインベントリの一部として、またはメンテナンスモードで追加されたルールは、保護対象コンピュータにのみ保存され、Deep Security Managerでは表示されません。Deep Security Managerで設定するルールの許可またはブロックは、Agentに送信され、両方の場所に保存されます。Agentはインベントリ情報をManagerに転送しないため、ローカルルールセットは共有ルールセットよりも優れたパフォーマンスを発揮します。
  • 共有ルールセット: すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、初期インベントリ検索またはメンテナンスモードのルールを確認する必要がある場合や、設定が同一でなければならない多数のコンピュータで構成されるサーバファームを管理する場合は、共有ルールセットを使用する方が業務を簡素化できることがあります。共有ルールセットは、同じ構成のLAMP Webサーバで構成されるサーバプールや、複数仮想マシンでオートスケーリンググループを構成している場合などに便利です。管理作業の負荷も軽減できます。共有ルールセットを作成するには、共有ルールセットを作成するを参照してください。

    [承認されていないソフトウェアを明示的に許可するまでブロック] が有効で、コンピュータが単に類似しているが同一ではない場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータのすべてのソフトウェアがブロックされてしまいます。重要なファイルが含まれている場合、OSが破損する可能性があります。OSが破損すると、再インストール、バックアップの復元、またはOSの復旧モードの使用が必要になる可能性があります。

  • グローバルルールセット: 共有ルールセットと同様に、グローバルルールセットはManagerによってAgentに配布されます (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、これらのルールセットはグローバルであるため、各ポリシーでの選択の手間を省くことができます。グローバルルールは、Deep Security Managerに表示されるルールセットの一部ではありません。グローバルルールを表示するには、APIを使用します。(Deep Security REST APIの使用を参照してください)。グローバルルールセットに含めることができるのはブロックルールのみです。許可ルールを含めることはできません。

    グローバルルールセットを使用するには、Deep Security Agent 10.2以降が必要です。Managerはそれより古いAgentにはグローバルルールセットを送信しません。グローバルルールセットは、他のすべてのアプリケーションコントロールルールよりも優先されます。また、アプリケーションコントロールが有効になっているすべてのコンピュータに適用されます。グローバルルールセットのルールは、ファイルのSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意のため、ファイルパス、ポリシー、コンピュータグループに関係なく、またアプリケーションコントロールによって以前にソフトウェアが検出されているかどうかに関係なく、特定のソフトウェアをあらゆる場所でブロックできます。

    マルチテナント環境では、各テナントに個別のグローバルルールセットが用意されています。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。

このトピックの内容:

共有ルールセットを作成する

APIを使用して共有許可またはブロックルールを作成し、そのルールセットを他のコンピュータに適用できます。これは、同一のコンピュータが複数ある場合 (Webサーバファームで負荷を分散している場合など) に便利です。共有ルールセットはインベントリが完全に一致するコンピュータにのみ適用する必要があります。

  1. APIを使用して、コンピュータの共有許可およびブロックルールを構築します。詳細については、Deep Security REST APIの使用を参照してください。共有ルールセットを配信する前に内容を確認する場合は、アプリケーションコントロールルールセットの表示と変更を参照してください。
  2. コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[アプリケーションコントロール] に進みます。
  3. [ルールセット] で、[設定を継承] が選択されていないことを確認してから、[共有ルールセットを使用] を選択します。使用する共有ルールセットを指定します。

    これらの設定は、APIを使用して作成した共有ルールセットがない場合は表示されません。共有ルールセットを作成していない場合、または初期設定をそのまま使用する場合は、各コンピュータには独自の許可およびブロックルールがローカルに使用されます。ローカルルールに対する変更は他のコンピュータには反映されません。

  4. [保存] をクリックします。

    コンピュータのDeep Security Agentが次回Deep Security Managerに接続するときに、Agentによってルールが適用されます。

    ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、AgentとManagerまたはRelay間のネットワークデバイスによって、ハートビートポート番号またはRelayポート番号の通信が許可されていることを確認します。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

APIで作成された共有許可またはブロックルールを現在使用しているコンピュータで、ローカルルールを使用するように変更することができます。アプリケーションコントロールをはじめて有効にしたときと同様に、ファイルシステムに現在インストールされているすべてのソフトウェアが検索され、初期ルールセットが作成されます。

この手順を開始する前に、適切なソフトウェアのみが現在インストールされていることを確認してください。ルールセットを再構築すると、安全性が確認されていないソフトウェアや不正プログラムも含め、現在インストールされているすべてのソフトウェアが許可されます。インストールされているソフトウェアを把握していない場合は、クリーンインストールを実施し、その後でアプリケーションコントロールを有効にするのが最も安全な方法です。

以下の手順は、特定のコンピュータのAgentでローカルルールセットを使用するように設定する手順です。すべてのコンピュータでローカルルールを使用する場合は、代わりに [ポリシー] タブで設定を編集します。

  1. コンピュータエディタコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[アプリケーションコントロール] に進みます。
  2. [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。

    変更を確認するには、AgentとDeep Security Managerとの次回接続時に、アプリケーションコントロールルールセットの構築に関するイベントログを確認します。

Relayを介してアプリケーションコントロール共有ルールセットをインストールする

アプリケーションコントロールルールセットを作成または変更するたびに、使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりも大きくなります。また、共有ルールセットはさまざまなサーバにも適用されることがあります。ルールセットをManagerから同時に直接ダウンロードすると、負荷が大きくなり、パフォーマンスが低下する可能性があります。グローバルルールセットの注意事項も同じです。

Deep Security Relayを使用すると、この問題を解決できます。(Relayの設定の詳細については、「Relayによるセキュリティとソフトウェアのアップデートの配布」を参照してください。)

マルチテナント環境を使用しているかどうかによって、手順が異なります。

単一テナント環境

[管理]→[システム設定]→[詳細] の順に選択し、[アプリケーションコントロールルールセットをRelayから提供する] を選択します。

ローカルルールセットと共有ルールセット

マルチテナント環境

プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtNアプリケーションコントロールルールセットが設定されません。他のテナント (tN) は独自のRelayグループを作成してから [アプリケーションコントロールルールセットをRelayから提供する] を選択する必要があります。

tNルールセットRelay

Relayと共有ルールセットを使用する際の注意事項

Relayを使用する前に、Relayに使用環境との互換性があることを確認してください。以前にダウンロードしたルールセットがAgentに現在適用されていない場合、新しいアプリケーションコントロールルールを受信しないと、コンピュータはアプリケーションコントロールで保護されません。アプリケーションコントロールルールセットのダウンロードに失敗した場合は、ルールセットダウンロード失敗イベントが、ManagerおよびAgentで記録されます。

  • プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。

    Deep Security Agent 10.0以前では、プロキシ経由でのRelayへの接続がサポートされていませんでした。プロキシが原因でルールセットダウンロードに失敗した場合、およびAgentがRelayまたはManager (Deep Security as a Serviceなど) にアクセスするためのプロキシを必要とする場合は、次のいずれかを実行する必要があります。

  • 共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。
  • ローカルルールセットを使用している場合は、Relayを使用するとパフォーマンスが低下する可能性があります。
  • プライマリ以外のテナント (tN) が初期設定のプライマリ (t0) Relayグループを使用する場合は、マルチテナント設定でRelayを使用しないでください。