Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
アプリケーションコントロールイベントの監視
アプリケーションコントロールの概要については、アプリケーションコントロールによるソフトウェアのロックダウンを参照してください。初期設定の手順については、アプリケーションコントロールの設定を参照してください。
初期設定では、アプリケーションコントロールを有効にすると、ソフトウェアの変更が発生したときやアプリケーションコントロールによってソフトウェアの実行がブロックされたときに、この機能によってイベントがログに記録されます。アプリケーションコントロールイベントは、[処理] 画面と [イベントとレポート] 画面に表示されます。設定されている場合は、[アラート] 画面にアラートが表示されます。
どのアプリケーションコントロールイベントログを記録し、どのアプリケーションコントロールイベントログを外部SIEMシステムまたはSyslogサーバに転送するかを設定できます。
コンピュータ上でのソフトウェア変更を監視するには、次の手順に従います。
- ログに記録するアプリケーションコントロールイベントを選択する
- アプリケーションコントロールイベントログを表示する
- 集約されたセキュリティイベントを解釈する
- アプリケーションコントロールアラートを監視する
ログに記録するアプリケーションコントロールイベントを選択する
- [管理]→[システム設定]→[システムイベント] に進みます。
- Event ID 7000「アプリケーションコントロールイベントのエクスポート」などのアプリケーションコントロールイベントにスクロールします。
-
そのタイプのイベントのイベントログを記録するには、[記録する] を選択します。
該当するイベントが発生すると、[イベントとレポート]→[イベント]→[システムイベント] にイベントが表示されます。ログは最大保持期間に達するまで記録されます。詳細については、Deep Securityのイベントを参照してください。
ここで設定するイベントは、[コンピュータ]→[詳細]→[アプリケーションコントロール]→[イベント] に表示されるイベントではありません。ここに表示されるイベントは常に記録されます。 - イベントログをSIEMまたはSyslogサーバに転送するには、[転送する] を選択します。
-
外部SIEMを使用する場合は、必要に応じて、対象となるアプリケーションコントロールイベントログのリストをロードし、実行する処理を指定します。アプリケーションコントロールイベントのリストについては、システムイベントおよびアプリケーションコントロールイベントを参照してください。
アプリケーションコントロールイベントログを表示する
アプリケーションコントロールは、システムイベントとセキュリティイベントを生成します。
- システムイベント: 設定変更やソフトウェアアップデートの履歴を提供する監査イベント。システムイベントを確認するには、[イベントとレポート]→[イベント]→[システムイベント] をクリックします。システムイベントの一覧については、システムイベントを参照してください。
- セキュリティイベント: アプリケーションコントロールで承認されていないソフトウェアがブロックまたは許可されるときや、ブロックルールによってソフトウェアがブロックされるときに、Agentで発生するイベント。セキュリティイベントを確認するには、[イベントとレポート]→[イベント]→[アプリケーションコントロールイベント]→[セキュリティイベント] の順にクリックします。一覧については、アプリケーションコントロールイベントを参照してください。
集約されたセキュリティイベントを解釈する
Agentのハートビートに同一のセキュリティイベントの複数のインスタンスが含まれている場合、Deep Securityではセキュリティイベントログのイベントを集約します。イベントの集約によって、ログ内の項目数が減少するため、重要なイベントを見つけやすくなります。
- 一般的なケースとして、同一ファイルにイベントが発生した場合、ログにはファイル名と集約されたイベントが表示されます。たとえば、ハートビートにTest_6_file.shファイルに発生した「承認されていないソフトウェアの実行を許可」イベントの3つのインスタンスが含まれ、このイベントの他のインスタンスが含まれていない場合、Deep SecurityではTest_6_file.shファイルに対するこれらの3つのイベントが集約されます。
- イベントが多くのファイルに対して発生した場合、ログではルールのリンク、パス、ファイル名、およびユーザ名が省略されます。たとえば、ハートビートに複数の異なるファイルに発生した「承認されていないソフトウェアの実行を許可」イベントの21個のインスタンスが含まれている場合、Deep Securityではこの21個のイベントが単一のイベントに集約されますが、ルールのリンク、パス、ファイル名、およびユーザ名は含まれません。
集約されたイベントが複数のファイルに当てはまる場合、これらのイベントの他の発生情報は他のハートビートで報告されている可能性があります。ファイル名がわかっている他のイベントに対処すると、集約されたイベントは発生しなくなる可能性があります。
ログでは、集約されたイベントには特別なアイコンが使用され、[繰り返しカウント] 列に集約されたイベント数が表示されます。
アプリケーションコントロールアラートを監視する
どのアプリケーションコントロールイベントまたは重要度でアラートを生成するかを設定するには、[アラート] タブに進み、[アラートの設定] ボタンをクリックし、次にイベントを選択して [プロパティ] をダブルクリックします。詳細については、アラートの設定を参照してください。
アプリケーションコントロールイベントに対してアラートが有効になっていると、アプリケーションコントロールエンジンによって検出されたソフトウェアの変更と実行がブロックされたソフトウェアがすべて [アラート] タブに表示されます。[アラートステータス] ウィジェットを有効にした場合には、ダッシュボードにもアプリケーションコントロールアラートが表示されます。
どのコンピュータでメンテナンスモードが有効になっているかを監視するには、[ウィジェットの追加/削除] をクリックし、[アプリケーションコントロールメンテナンスモード] ウィジェットを有効にします。このウィジェットには、コンピュータのリストと各コンピュータで予定されているメンテナンス期間が表示されます。