本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

イベントを識別およびグループ化するためのタグの適用

Deep Securityでは、イベントの識別およびソートに使用できるタグを作成できます。たとえば、タグを使用して、安全なイベントと調査の必要があるイベントを区別できます。また、ダッシュボードのカスタマイズやレポートの作成にも使用できます。

イベントのタグ付けはさまざまな目的に使用できますが、本来の目的はイベント管理の負担を軽減することです。あるイベントを分析して安全であると判断した場合は、コンピュータ (および構成やタスクが類似しているその他のコンピュータ) のイベントログを調べて、類似イベントを検索し、同じラベルを適用できます。こうすると、各イベントを個別に分析する必要がなくなります。

現在使用中のタグを表示するには、[ポリシー]→[共通オブジェクト]→[その他]→[タグ] の順に選択します。

タグによってイベント自体のデータが変更されることや、ユーザにイベントの削除が許可されることはありません。タグはManagerによって指定される追加属性です。

タグ付けを行うには次の方法があります。

  • 手動によるタグ付け: 必要に応じて特定のイベントをタグ付けできます。
  • 自動タグ付けを使用すると、既存のイベントをモデルとして使用して、同じコンピュータまたは他のコンピュータ上の類似イベントに自動タグ付けを行うことができます。タグを適用するために、どのイベント属性がモデルイベント属性と一致する必要があるかを選択して、類似性のパラメータを定義します。
  • 信頼済みのソースを使用したタグ付け: 信頼済みのソースの既知のイベントとの類似性に基づいて、変更監視イベントに自動でタグ付けします。

標準のタグ付けと信頼済みのソースを使用したタグ付けには重要な違いがあります。[今すぐ既存のイベントに実行] を実行できるのは、標準のタグ付けのみです。

手動によるタグ付け

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。イベントを右クリック (または複数のイベントを選択して右クリック) し、[タグを追加] をクリックします。
  2. タグの名前を入力します。Deep Security Managerでは、入力時に既存のタグに一致する名前が表示されます。
  3. [選択された [イベントの種類] イベント] を選択します。[次へ] をクリックします。
  4. 必要に応じてコメントを記入し、[完了] をクリックします。

イベントリストの [タグ] 列にタグが表示されます。

自動タグ付け

Deep Security Managerを使用すると、同じタグを同じようなイベントに自動的に適用するルールを定義できます。保存済みの既存の自動タグ付けルールを表示するには、任意の [イベント] 画面で、メニューバーの [自動タグ付け] を選択します。この画面から、保存済みのルールを手動で実行できます。

  1. [イベント]→[レポート]→[イベント] の順に選択し、イベントリストを選択します。ベースにするイベントを右クリックし、[タグの追加] を選択します。
  2. タグの名前を入力します。Deep Security Managerでは、入力時に既存のタグに一致する名前が表示されます。
  3. [選択されたものと類似の [イベントの種類] イベントに適用] を選択し、[次へ] をクリックします。
  4. イベントの自動タグ付けを行うコンピュータを選択し、[次へ] をクリックします。システムイベントへのタグの適用時には、このページはスキップされます。
  5. イベントの類似性を判定する基準となる属性を選択します。属性オプションは [イベント] リスト画面の列に表示される情報とほとんど同じです。イベントの選択処理に含めるための属性を選択したら、[次へ] をクリックします。
  6. 次の画面で、イベントにタグを付けるタイミングを指定します。[既存の [イベントの種類] イベント] を選択した場合は、[今すぐ自動タグルールを適用する] を選択して自動タグ付けルールをすぐに適用するか、[バックグラウンドで自動タグルールを適用する] を選択し、優先度を下げてバックグラウンドで実行するかを選択できます。今後発生するイベントに自動タグ付けルールを適用するには、[今後の [イベントの種類] イベント] を選択します。また、[自動タグルールの保存] を選択して必要に応じて名前を入力することで、自動タグ付けルールを保存することもできます。[次へ] をクリックします。
  7. 自動タグ付けルールの概要を確認し、[完了] をクリックします。

イベントリストで、ベースにしたイベントおよび同様のすべてのイベントにタグが付けられていることを確認できます。

イベントのタグ付けは、エージェントまたはアプライアンスからイベントがDeep Security Managerデータベースに取得された後にのみ発生します。

自動タグ付けルールに優先度を設定する

一度自動タグ付けルールが作成されると、優先度の値を割り当てることができます。自動タグ付けルールが将来のイベントに対して実行されるように設定されている場合、そのルールの優先度は、すべての自動タグ付けルールが受信イベントに適用される順序を決定します。例えば、優先度値が1のルールで、すべてのユーザサインインイベントに「疑わしい」というタグを付け、優先度値が2のルールで、ターゲット (ユーザ) があなたであるすべてのユーザサインインイベントから「疑わしい」タグを削除することができます。これにより、ユーザがあなたでないすべての将来のユーザサインインイベントに「疑わしい」タグが適用されます。

  1. イベントリストで、[自動タグ付け] をクリックして、保存済みの自動タグ付けルールのリストを表示します。
  2. 自動タグ付けルールを右クリックし、[詳細] をクリックします。
  3. [一般] タブで、ルールの [優先度] を選択します。

セキュリティログ監視イベントを自動でタグ付けする

セキュリティログ監視イベントは、ログファイル構造内でのグループに基づいて自動でタグ付けされます。これにより、 Deep Security Manager内のログ検査イベントの処理が簡単になり、自動化されます。セキュリティログ監視グループのタグを自動的に付加するには、自動タグ付けを使用します。セキュリティログ監視ルールのグループは、ルールに関連付けられています。次に例を示します。

<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>

<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>

各グループ名には、それに関連付けられたフレンドリーネーム文字列があります。前述の例では、authentication_successAuthentication Successaccount_changedAccount Changedとなります。これが有効になると、フレンドリーネームがそのイベントのタグとして自動的に追加されます。複数のルールがトリガーされると、複数のタグがイベントに付加されます。

信頼済みのソースを使用したタグ付け

信頼済みのソースを使用したイベントのタグ付けは、変更監視保護モジュールによって生成されたイベントにのみ使用できます。

変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連属性の変更 (作成や削除、編集を含む) をモニタできます。変更をモニタできるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされたソフトウェア、リッスンポート番号、プロセス、レジストリキーなどがあります。

分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。

変更監視モジュールでは、類似イベントの自動タグ付けだけでなく、[信頼済みのソース] で検出されたイベントやデータの類似性に基づいてイベントにタグ付けできます。信頼済みのソースには、次のいずれかが含まれます。

  • 信頼済みのローカルコンピュータ
  • トレンドマイクロの[ソフトウェア安全性評価サービス]
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。

信頼済みのローカルコンピュータ

信頼されたコンピュータとは、無害なイベントのみを生成することができるモデルコンピュータとして使用されるコンピュータです。ターゲットコンピュータとは、不正または予期しない変更を監視しているコンピュータです。自動タグ付けルールは、ターゲットコンピュータ上のイベントを調査し、それらを信頼されたコンピュータのイベントと比較します。もし一致するイベントがあれば、それらは自動タグ付けルールで定義されたタグでタグ付けされます。

保護されたコンピュータ上のイベントを信頼済みのコンピュータ上のイベントと比較する自動タグ付けルールを確立できます。たとえば、あるパッチの計画済みのロールアウトを信頼済みのコンピュータに適用できます。パッチの適用に関連付けられたイベントにPatch Xというタグを付けることができます。その他のシステムで発生する同様のイベントに自動的にタグを付けて許容可能な変更として識別し、フィルタリングすることで、評価が必要なイベントの数を減らせます。

イベントマッチングアルゴリズム

変更監視イベントには、状態の変化に関する情報が含まれています。つまり、イベントにはイベント前およびイベント後の情報が含まれています。イベントを比較すると、自動タグ付けエンジンによってイベント前後の状態が比較されます、2つのイベントでイベント前後の状態が同じ場合、これらのイベントは一致すると判定され、2番目のイベントにタグが適用されます。これは作成および削除イベントにも当てはまります。

信頼済みのソースを使用したイベントのタグ付けに、信頼済みのコンピュータを使用している場合は、変更監視ルールによって生成されたイベントにタグが付けられます。つまり、変更監視ルールを使用して対象コンピュータでイベントを生成している場合は、この変更監視ルールを信頼済みソースのコンピュータでも実行する必要があります。

信頼済みのソースを使用したイベントのタグ付けを適用する前に、信頼済みのソースのコンピュータで不正プログラムを検索する必要があります。

Linuxのprelinkingのような、システムのファイルの中身を定期的に変更するユーティリティは、信頼済みのソースを使用したイベントのタグ付けと干渉することがあります。

信頼済みのローカルコンピュータに基づいてイベントにタグを付ける

  1. 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. イベントを自動的にタグ付けするコンピュータで、信頼済みソースのコンピュータと同じ (または部分的に同じ) 変更監視ルールを実行していることを確認します。
  3. Deep Security Managerで、 [イベントとレポート]→[変更監視イベント]を選択し、ツールバーの[自動タグ設定]をクリックします。
  4. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  5. [信頼済みのローカルコンピュータ ] を選択して [次へ] をクリックします。
  6. リストから信頼済みのソースとして使用するコンピュータを選択し、[次へ] をクリックします。
  7. 信頼済みソースコンピュータのイベントに一致した対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
    新しいタグをテキストで入力するか、既存のタグのリストから選択します。
  8. 信頼済みソースとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  9. オプションで、ルールの名前を指定し、[完了] をクリックします。

トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付ける

Certified Safe Software Serviceは、トレンドマイクロが管理している既知の正常なファイルの署名の許可リストです。このタイプの信頼済みソースのタグ付けでは、対象コンピュータにファイル関連の変更監視イベントが発生していないかが監視されます。イベントが記録された場合は、変更後のファイルの署名が、信頼できる既知のトレンドマイクロのファイル署名リストと比較されます。一致が見つかると、イベントにタグが付けられます。

  1. Deep Security Managerで、 [イベントとレポート]→[変更監視イベント]を選択し、ツールバーの[自動タグ設定]をクリックします。
  2. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  3. ソフトウェア安全性評価サービスを選択して [次へ] をクリックします。
  4. ソフトウェア安全性評価サービスに一致した場合に対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
  5. ソフトウェア安全性評価サービスとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  6. オプションで、ルールの名前を指定し、[完了] をクリックします。

信頼済みの共通ベースラインに基づいてイベントにタグを付ける

信頼済みの共通ベースライン方式では、コンピュータグループ内でイベントを比較します。コンピュータグループが特定されると、グループ内のコンピュータで有効になっている変更監視ルールの監視対象のファイルおよびシステムのステータスに基づいて、共通ベースラインが生成されます。グループ内のあるコンピュータで変更監視イベントが発生した場合、変更後の署名が共通ベースラインと比較されます。ファイルの新しい署名と一致するものが共通ベースライン内にある場合、イベントにタグが付加されます。信頼済みのコンピュータ方式では変更監視イベントの前と後のステータスが比較されますが、信頼済みの共通ベースラインでは、イベント後のステータスだけが比較されます。

この方法では、共通グループ内のすべてのコンピュータが、保護されていて不正プログラムがないことを前提とします。共通ベースラインが生成される前に、グループ内のすべてのコンピュータで不正プログラム対策のフルスキャンを実行してください。

コンピュータの変更監視ベースラインが生成されると、Deep Securityは最初にそのコンピュータが信頼された共通ベースライングループの一部であるかどうかを確認します。もしそうであれば、そのコンピュータのベースラインデータはそのグループの信頼された共通ベースラインに含まれます。このため、信頼された共通ベースラインの自動タグ付けルールは、共通ベースライングループ内のコンピュータに変更監視ルールが適用される前に設定されている必要があります。

  1. 信頼済みの共通ベースラインを構成するコンピュータグループに追加するすべてのコンピュータで、不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. Deep Security Managerで、 [イベントとレポート]→[変更監視イベント]を選択し、ツールバーの[自動タグ設定]をクリックします。
  3. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  4. [信頼済みの共通ベースライン] を選択して [次へ] をクリックします。
  5. 信頼済みの共通ベースラインに一致した場合にイベントに割り当てるタグを1つ以上指定します。[次へ] をクリックします。
  6. 信頼済みの共通ベースラインの生成に使用するグループに含めるコンピュータを特定します。[次へ] をクリックします。
  7. オプションで、ルールの名前を指定し、[完了] をクリックします。

大量のベースラインデータに関連するパフォーマンスの問題により、最新バージョンのDeep Security Managerでは、ベースラインの表示がUIに表示されません。詳細については、大量の変更監視ベースラインデータによるデータベースのパフォーマンス問題をご覧ください。

タグを削除する

  1. イベントリストで、削除したいタグが付いたイベントを右クリックし、タグを削除を選択します。
  2. 選択した[イベントタイプ]イベントまたは選択した類似の[イベントタイプ]イベントに適用から削除したいタグを選択し、次へをクリックしてください。
  3. 必要に応じてコメントを追加し、完了 をクリックします。