製品ガイド McAfee Change Control および McAfee Application Control 7.0.0 McAfee ePolicy Orchestrator 用 著作権 Copyright © 2016 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com 商標 Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標 です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文 書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規 定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額 全額をお返しいたします。 2 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 目次 9 まえがき このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 対応の McAfee ePO バージョン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 このガイドの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1 13 はじめに Application Control の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Application Control の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Application Control の利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Change Control の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Change Control の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Change Control の利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2 Change Control の準備 19 Change Control のモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ルール グループとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ルール グループの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ルール グループの所有権 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ルール設定の権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ルール グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 ルール グループの所有権を変更する . . . . . . . . . . . . . . . . . . . . . . . . 22 ルール グループ タブの権限を管理する . . . . . . . . . . . . . . . . . . . . . . . 22 ルール グループの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 ルール グループのインポートまたはエクスポート . . . . . . . . . . . . . . . . . . . . 24 ルール グループのインポート操作の確認 . . . . . . . . . . . . . . . . . . . . . . . 26 ルール グループの割り当て状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . 27 Change Control を有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 27 29 ファイル システムおよびレジストリの監視 モニタリング ルールの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 モニタリング ルールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 システム変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 パスに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 モニタリング ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 事前定義監視ルールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 監視ポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 内容変更の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 内容変更追跡の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 内容変更追跡を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 内容変更の追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 3 目次 ファイル バージョンの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 変更の詳細を受信する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4 45 ファイル システムおよびレジストリの保護 保護ルールの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 保護ルールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 システム変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 パスに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 保護ポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 読み取り保護の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5 53 監視とレポート イベントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 イベントの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 内容変更の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 イベントの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 55 ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 クエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 クエリーを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Application Control の準備 59 Application Control のモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 ファイルと証明書のレピュテーション . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 レピュテーション ソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 レピュテーション ベースのワークフロー . . . . . . . . . . . . . . . . . . . . . . . 64 ソースから受信するレピュテーション値 . . . . . . . . . . . . . . . . . . . . . . . 67 レピュテーションの計算方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 レピュテーション ソースを設定する . . . . . . . . . . . . . . . . . . . . . . . . 72 レピュテーション情報の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 メモリ保護技法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 ルール グループとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 ルール グループの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 ルール グループの所有権 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 証明書について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 更新プログラム プロセスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 インストーラーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 ルール設定の権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 ルール グループを設定して管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 ルール グループの所有権を変更する . . . . . . . . . . . . . . . . . . . . . . . . 82 ルール グループ タブの権限を管理する . . . . . . . . . . . . . . . . . . . . . . . 83 ルール グループの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 ルール グループのインポートまたはエクスポート . . . . . . . . . . . . . . . . . . . . 84 ルール グループのインポート操作の確認 . . . . . . . . . . . . . . . . . . . . . . . 86 ルール グループの割り当て状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . 87 証明書を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 McAfee ePO に証明書を追加する . . . . . . . . . . . . . . . . . . . . . . . . . 87 証明書を検索する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 証明書の割り当てを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 インストーラーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 McAfee ePO にインストーラーを追加する . . . . . . . . . . . . . . . . . . . . . . 90 インストーラーの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 インストーラの割り当て状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . 91 4 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 目次 パッケージ コントロールを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 91 93 信用モデルの設計 Application Control が実行を許可する方法 . . . . . . . . . . . . . . . . . . . . . . . . 93 信用モデルの設計方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Application Control がファイルに実行する検査 . . . . . . . . . . . . . . . . . . . . 94 デフォルト ポリシーの事前定義ルール . . . . . . . . . . . . . . . . . . . . . . . . 97 エンドポイントへの変更の許可 . . . . . . . . . . . . . . . . . . . . . . . . . . 8 監視モードでの Application Control の配備 98 107 監視について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 監視モードでの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 機能を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 エンドポイントを監視モードに切り替える . . . . . . . . . . . . . . . . . . . . . . . . . 109 ポリシー検出権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 グローバル管理者以外の管理者に企業全体の要求の管理を許可する . . . . . . . . . . . . . 111 要求を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 要求を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 要求を処理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 作成したルールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 監視とイベントにフィルターを指定する . . . . . . . . . . . . . . . . . . . . . . . . . . 122 監視をスロットルする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 しきい値を定義する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 フィルター ルールを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . 124 集約した要求を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 監視生成を再開する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 監視モードの終了 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 9 127 保護の監視 Application Control を有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 事前定義ルールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 イベントの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 イベントの詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 イベントの詳細を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 要求を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 ファイルの詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 ファイル レピュテーションを変更する . . . . . . . . . . . . . . . . . . . . . . . 132 ルールを定義する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 カスタム ルールを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 ポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 イベントの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 バイパス ルールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 ActiveX コントロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 139 141 インベントリの管理 インベントリの更新方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 インベントリの更新を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 インベントリ取得のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 インベントリ取得を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 インベントリの取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 隔離された McAfee GTI 環境での McAfee ePO 評価を取得する . . . . . . . . . . . . . . . . . 145 SHA-1 をエクスポートする . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 オフライン GTI ツールを実行する . . . . . . . . . . . . . . . . . . . . . . . . . 146 GTI 結果ファイルをインポートする . . . . . . . . . . . . . . . . . . . . . . . . McAfee Change Control および McAfee Application Control 7.0.0 147 製品ガイド 5 目次 インポートを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 ファイルと証明書に組織のレピュテーションを設定する . . . . . . . . . . . . . . . . . . . . 147 インベントリの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 インベントリ ビューを最適化する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 インベントリの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 インベントリ データにフィルターを指定する . . . . . . . . . . . . . . . . . . . . . . . . 155 ベース イメージの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 インベントリの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 11 インベントリ比較の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 比較結果の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 159 承認リクエストの管理 自己承認とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 エンドポイントで自己承認を有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . 160 機能を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 ポリシー検出権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 グローバル管理者以外の管理者に企業全体の要求の管理を許可する . . . . . . . . . . . . . 163 要求を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 要求を処理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 すべてのエンドポイントでのファイルの許可 . . . . . . . . . . . . . . . . . . . . . 165 すべてのエンドポイントで証明書に基づいて実行を許可する . . . . . . . . . . . . . . . 166 すべてのエンドポイントで SHA-1 に基づいて実行を禁止する . . . . . . . . . . . . . . 167 特定のエンドポイントにルールを定義する . . . . . . . . . . . . . . . . . . . . . . 168 特定のエンドポイントのホワイトリストに追加して許可する . . . . . . . . . . . . . . . 169 ファイル レピュテーションを変更する . . . . . . . . . . . . . . . . . . . . . . . 169 ファイルの詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 イベントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 要求を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 作成したルールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 170 171 173 ダッシュボードとクエリの使用 ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 クエリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 クエリーを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 13 177 システムのメンテナンス 企業の正常性をモニタリングする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 輻輳の状態と傾向を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 通知を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 緊急時の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 更新モードでのエンドポイントの配置 . . . . . . . . . . . . . . . . . . . . . . . 179 180 180 有効モードにおけるエンドポイントの配置 . . . . . . . . . . . . . . . . . . . . . . 181 企業のスロットルを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 機能をセットアップする . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 スロットル値を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 スロットルを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 CLI パスワードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 デバッグ情報の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 無効モードにおけるエンドポイントの配置 . . . . . . . . . . . . . . . . . . . . . . . . . 187 6 McAfee GTI フィードバックを送信する . . . . . . . . . . . . . . . . . . . . . . . . . 188 サーバー タスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 サーバー タスクを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 データの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 目次 14 191 設定の微調整 Syslog サーバの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Solidcore の権限セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 エンドユーザ通知のカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 A FAQ 197 B Change Control と Application Control のイベント 209 索引 217 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 7 目次 8 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド まえがき このガイドでは、McAfee 製品の操作に必要な情報を提供します。 目次 このガイドについて 製品マニュアルの検索 対応の McAfee ePO バージョン このガイドの内容 このガイドについて ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。 対象読者 McAfee では、対象読者を限定してマニュアルを作成しています。 このガイドの情報は、主に以下の読者を対象としています。 • 管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。 • ユーザー - このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機 能にアクセスできるユーザー。 表記法則 このガイドでは、以下の表記規則とアイコンを使用しています。 『マニュアルのタイト ル』、用語 または強調 太字 マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。 特に強調するテキスト ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。 メッセージ [インターフェースのテ キスト] オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの テキストを表します。 ハイパーテキスト (青 色) トピックまたは外部の Web サイトへのリンクを表します。 注: 追加情報 (オプションにアクセスする別の方法など) を表します。 ヒント: ヒントや推奨事項を表します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 9 まえがき 製品マニュアルの検索 重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ の保護に役立つ情報を表します。 警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項 を表します。 製品マニュアルの検索 [ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。 タスク 1 [ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。 2 [Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。 3 製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。 対応の McAfee ePO バージョン ® ® ® このリリースの McAfee Application Control と McAfee Change Control は、次のバージョンの McAfee ePolicy Orchestrator (McAfee ePO ) と互換性があります。 ® ™ • McAfee ePO 5.1.0 から 5.1.3 • McAfee ePO 5.3.0 から 5.3.1 他のバージョンの McAfee ePO で Application Control と Change Control を使用すると、機能しない場合があり ます。 このガイドの内容 このガイドは、分かりやすい構成になっています。必要な情報を簡単に探すことができます。 このドキュメントは、Change Control、Application Control、および McAfee ePO インターフェースを使用する 際に参照してください。このドキュメントには、Change Control および Application Control 製品の設定と使用に 関する情報が記載されています。 10 セクション 説明 はじめに Change Control と Application Control の概要を説 明します。 Change Control を使用 する前に モード、ルール グループなど、Change Control 関連 の概念について詳しく説明します。また、製品を有効に する方法についても説明します。 Change Control の該当項目 Application Control の該当 項目 NA ファイル システムとレジ ファイルとレジストリの変更をモニタリングするルー ルの概念と定義方法について説明します。 ストリのモニタリング NA ファイル システムとレジ ファイルとレジストリの読み取り保護または書き込み 保護を行うルールの概念と定義方法について説明しま ストリの保護 す。 NA McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド まえがき このガイドの内容 Change Control の該当項目 セクション 説明 モニタリングとレポート Change Control の使用時にイベント、ダッシュボー ド、クエリーを使用して組織の状態をモニタリングする 方法を説明します。 Application Control の 準備 Application Control 関連の概念について詳しく説明 します。 監視モードでの Application Control の 配備 Application Control を監視モードに切り替え、ドライ ランを実行する方法を詳しく説明します。 保護のモニタリング Application Control を有効にしてタスクを定期的に 実行する方法について説明します。 NA インベントリの管理 保護対象のエンドポイントのソフトウェア インベント リを取得、確認、管理する方法を説明します。 NA 承認要求の管理 組織内のエンドポイントから受信した承認要求を確認 し、管理する方法を説明します。 NA ダッシュボードとクエリ ーの使用 Application Control の使用時にダッシュボードやク エリーを使用して組織の状態をモニタリングする方法 を説明します。 NA システムのメンテナンス 保護対象のエンドポイントのメンテナンス方法を詳し く説明します。 √ 設定の調整 設定を調整する方法を説明します。 √ FAQ よくある質問に対する回答が記載されています。 √ Change Control と Application Control の イベント Change Control と Application Control のすべての イベントの詳細を表示します。 √ McAfee Change Control および McAfee Application Control 7.0.0 Application Control の該当 項目 NA NA NA 製品ガイド 11 まえがき このガイドの内容 12 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 1 はじめに McAfee Change Control と McAfee Application Control ソフトウェアの操作に慣れ、ソフトウェアによってご使 用の環境が保護される仕組みを習得してください。 Change Control または Application Control を設定して使用する前に、以下を実行する必要があります。 • 対応バージョンの McAfee ePO がインストールされ、実行されていることを確認します。 McAfee ePO の対応 バージョンについては、 『対応の McAfee ePO のバージョンについて』を参照してください。 McAfee ePO のイ ンストール方法については、ご使用のバージョンの『McAfee ePolicy Orchestrator インストール ガイド』を参 照してください。 • Change Control または Application Control がインストールされ、実行中であることを確認します。 インスト ールの詳細については、 『McAfee Change Control および McAfee Application Control インストール ガイド』 を参照してください。 • Change Control と Application Control の使用に必要なライセンスが追加されていることを確認します。 ラ イセンスの追加方法については、 『McAfee Change Control および Application Control インストール ガイド』 を参照してください。 目次 Application Control の概要 Change Control の概要 Application Control の概要 今日の IT 部門は、エンドポイントがセキュリティー ポリシー、運用手順、会社の IT 基準、法規制に準拠している ことを保証するため、多大な負担を強いられています。 店頭 (POS) 端末、カスタマー サービス端末、およびレガシ ー Windows NT プラットフォームなどの固定機能デバイスの寿命を延ばすことが重要になってきました。 Application Control は、動的なホワイトリスト作成機能により、信用できるアプリケーションのみにデバイス、サ ーバー、デスクトップでの実行を許可します。 これにより、IT 部門はクライアント全体を広く可視化して管理レベ ルを向上させ、ソフトウェア ライセンスのコンプライアンスを維持できます。 Application Control の機能 Application Control を使用すると、サーバー、会社のデスクトップ、専用デバイス上で未承認のアプリケーション とコードをブロックできます。 ホワイトリストを一元管理し、動的な信用モデルと革新的なセキュリティ機能によ り、高度な持続型脅威 (APT) を阻止します。シグネチャの更新や面倒なリスト管理は不要です。 動的なホワイトリスト この機能を使用すると、アプリケーション関連のファイルを手動で検索し、管理する必要がなくなります。 Application Control のホワイトリスト機能は、組織内に存在するすべてのバイナリ (EXE、DLL、ドライバー、スク リプト) をアプリケーションとベンダー別に分類し、分かりやすい階層的な形式で表示します。 アプリケーション は、「信用」、「不正」、「不明」のいずれかのカテゴリに分類されます。 また、今週追加されたアプリケーション、未 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 13 1 はじめに Application Control の概要 確認のバイナリ、レピュテーションが不明なファイル、古いバージョンの Adobe Reader を実行しているシステム などの情報を検索して、脆弱性をピンポイントで特定したり、ソフトウェアのライセンス違反を確認することができ ます。 完全な保護対策 Application Control は、実行ファイル、ライブラリ、ドライバー、Java アプリケーション、ActiveX コントロー ル、特殊コードなどに対応し、アプリケーション コンポーネントを柔軟に管理できます。 高度なメモリー対策 この機能は、Windows (32 ビット/64 ビット) でホワイトリストに登録されたアプリケーションをバッファー オー バーフロー攻撃から保護します。 適切な情報収集 Application Control を監視モードに切り替えることで、ホワイトリストをロックすることなく、動的なデスクトッ プ環境のポリシーを検出できます。 このモードでは、本稼動前の環境や本稼働環境の早期の段階で Application Control を段階的に配備できるので、アプリケーションを中断させることはありません。 また、[ポリシー検出] ペ ージでポリシーを定義できます。 ユーザー中心のソリューション Application Control では、新しいアプリケーションのインストールを許可する方法はいくつかあります。 • エンドユーザーへの通知 - ユーザーのエンドポイントに情報メッセージをポップアップ表示し、未承認のアプリ ケーションにアクセスできない理由を説明できます。 これらのメッセージにより、メールまたはヘルプデスクに 承認を依頼するように指示します。 • 自己承認 - ユーザーは、IT 管理者の承認を待たずに新しいソフトウェアをインストールできます。 IT 部門は自 己承認要求を検査し、企業内ですべてまたは特定のシステムのアプリケーションを禁止あるいは許可するポリシ ーを作成できます。 レピュテーション ベースの実行 Application Control は、レピュテーション ソースとの統合により、ファイルと証明書のレピュテーション情報を収 集します。 Application Control は、次のいずれかのソースから受信したレピュテーションに従って実行とインスト ールを許可または禁止します。 14 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 1 はじめに Application Control の概要 • McAfee Threat Intelligence Exchange (TIE) サーバー - TIE サーバーが提供する情報により、複数のセキ ュリティ製品が統合された脅威対策システムとして機能し、脅威をピンポイントで特定して感染を未然に防ぎ、 セキュリティを強化することができます。 これにより、環境内のエンドポイント、システム、デバイス間で迅速 な通信が可能になります。 この通信を実現しているのが、McAfee Data Exchange Layer (DXL) フレームワ ークという新しい技術です。 TIE サーバーは、セキュリティ脅威やマルウェアの迅速な検出と阻止に必要な情報 を提供します。 この製品は、複数のソースから受信したファイルとコンテンツを迅速に分析し、レピュテーショ ンと特定の条件に基づいて必要な対策を通知します。 ® ® ® ® ™ また、TIE は、McAfee Advanced Threat Defense や McAfee Global Threat Intelligence (McAfee GTI) とリアルタイムで連動し、マルウェアの詳細な評価と分類情報を提供します。 これにより、脅威に迅速に対応し、 環境内で情報を共有することができます。 • McAfee Global Threat Intelligence - McAfee GTI は、総合的な脅威情報をリアルタイムで提供するクラウド ベースの脅威情報サービスです。McAfee 製品は、この情報を使用して脅威から顧客を保護しています。 McAfee GTI は、オンプレミスまたは SaaS 型の McAfee 製品に最新のレピュテーション情報を提供し、脅威の発生時に これらの製品で適切なアクションが実行されるようにサポートします。 Application Control は、McAfee 独自の技術である McAfee GTI と統合され、世界各地に配備された数百万台 のセンサーからファイル、メッセージ、送信者に関するレピュテーション情報をリアルタイムで取得します。 こ のクラウド ベースで提供される情報を使用して、環境内のすべてのファイルのレピュテーションを評価し、「信 用」、 「不正」、 「不明」のカテゴリに分類します。 McAfee GTI レピュテーションの追跡機能は、隔離された安全 な環境だけでなく、接続されたインフラでも動作します。 McAfee GTI との統合により、マルウェアが誤ってホ ワイトリストに追加されても、すぐに気づき、訂正することができます。 集中管理 Application Control は McAfee ePO と統合されているので、組織全体のセキュリティ状態を簡単に把握することが できます。 McAfee ePO には、Application Control や McAfee Firewall、他の McAfee セキュリティ、McAfee Security Innovation Alliance パートナーが提供するリスク管理製品だけでなく、自社作成の管理アプリケーション も統合できます。 Microsoft System Center Configuration Manager により、Application Control を 1 回の手 順でインストールまたは更新できます。 また、追加のセキュリティ層として McAfee Network Security Platform または McAfee Host Intrusion Prevention がカーネルの脆弱性を悪用するエクスプロイトやサービス拒否 (DoS) 攻撃を阻止します。 ® ® Application Control の利点 Application Control を使用する利点は次のとおりです。 • デスクトップ、ノート PC、サーバー上でのアプリケーションの実行を事前に制御し、マルウェアによる攻撃を未 然に防ぎます。 • 接続または切断されているサーバー、仮想マシン (VM)、エンドポイント、専用デバイス (キオスク、PoS 端末な ど) を制御します。 • 承認プロセスで新しいソフトウェアの追加を承認します。 • ファイル システムのスキャンなど、システム パフォーマンスに影響を及ぼす可能性があるアクティビティを定期 的に行うことなく、脅威や未承認の変更からエンドポイントを保護します。 • 従来のセキュリティ ソリューションを拡張し、IT 部門が承認したシステムやアプリケーション ソフトウェアの みを実行できるようにします。 運用上のオーバーヘッドを強いることなく、エンドポイントを構成する未承認の アプリケーションと脆弱なアプリケーションをブロックします。 エンド ユーザーによって業務にリスクをもた らすソフトウェアが誤って導入されることがなくなります。 • 動的なホワイトリスト作成機能により、信用できるアプリケーションのみにデバイス、サーバー、デスクトップ での実行を許可します。 McAfee の動的ホワイトリスト信用モデルを使用すると、他社のホワイトリスト技術に 良く見られる作業負荷やコストを削減できるため、オーバーヘッドを低減し、持続性を高めることができます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 15 1 はじめに Change Control の概要 • IT 部門でエンドポイントを管理し、ソフトウェアのライセンス違反を防ぎます。 Application Control を使用す ると、エンドポイントにある未承認ソフトウェアを削除できます。従業員は、業務の遂行に必要なリソースを柔 軟に使用できます。 • IT 部門の管理者が承認済みのアプリケーションを手動で管理する必要はありません。 信用できるアプリケーシ ョンのリポジトリがエンドポイントで実行されるので、IT 部門は柔軟なアプローチを採用できます。 未承認のソ フトウェア スクリプトや DLL の実行を防ぎ、メモリー エクスプロイトを阻止することができます。 • McAfee ePO との統合時や、ネットワーク アクセスのないスタンドアロン モードで効率的に機能します。 この 製品は、様々なネットワーク構成とファイアウォール構成に対応しています。 • エンドポイントで透過的に実行されます。 セットアップも簡単です。初期費用や運用コストを抑え、CPU に対す る影響を最小限にすることができます。 • Microsoft Windows NT、2000、XP など、サポートが終了している古いシステムも保護できます。 ただし、古 いシステムの機能の一部は使用できません。 これらの機能については、必要に応じて説明します。 Change Control の概要 Change Control を使用すると、ファイル システム、レジストリ、ユーザー アカウントへの変更をモニタリングお よび禁止することができます。 変更者、変更されたファイルの種類、ファイルに加えられた変更の種類、変更日時お よび変更が加えられた方法に関する詳細を表示できます。 不正な変更による重要なファイルとレジストリ キーへの 書き込みを保護することができます。 機密ファイルの読み取りを保護できます。 メンテナンスを簡単に行うため、 信用できるプログラムまたはユーザーを定義して、保護対象ファイルとレジストリ キーに対する更新を許可できま す。 実際には、Change Control ポリシーに従って変更が適用される場合にのみ、変更が許可されます。 Change Control では、次のアクションを実行できます。 • リアルタイムで変更を検出、追跡、検証する。 • アドホックな変更に対する可視性を実現する。 • 保護ルールにより、アドホックな変更を防ぐ。 • 承認された変更のポリシーとコンプライアンスを施行する。 Change Control の機能 Change Control は、サーバー環境での変更操作をブロックし、セキュリティ侵害、データ漏えい、システムの停止 を防ぎます。 これにより、コンプライアンス要件を簡単に満たすことができます。 Change Control の主な機能は 次のとおりです。 リアルタイム モニタリング Change Control は、ファイル整合性モニタリング (FIM) により、Payment Card Industry (PCI) Data Security Standard (DSS) 要件 10 と 11.5 を遵守しています。 このソフトウェアでは、ファイルとレジストリの変更をリ アルタイムでモニタリングできます。 リアルタイム モニタリングによって、エンドポイントでのスキャン後にスキ ャンを実行する必要がなくなり、ファイルが変更され前の状態にリストアされるときなどに、一時的な変更違反が識 別されます。 変更を検出すると、次のような情報を収集します。 16 • 変更の発生時間 • 変更の実行者 • 変更に使用されたプログラム • 変更が手動で行われたのか、承認されたプログラムによって実行されたのか McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド はじめに Change Control の概要 1 全体的な最新データベースが McAfee ePO で保持され、ファイル、レジストリ キー、ローカル ユーザー アカウン トを変更する様々な要求がログで記録されます。 内容変更の追跡 Change Control を使用すると、ファイルの内容と属性の変更を追跡できます。 ファイルの変更内容を比較し、追 加、削除、変更された箇所をすぐに確認できます。 この情報は、設定の問題でシステムが停止した場合に役立ちま す。 このソフトウェアには特別なアラート機能が搭載されています。重大な変更が発生するとすぐに通知されるの で、設定に起因するシステムの停止を防ぐことができます。これは ITIL (Information Technology Infrastructure Library) のベストプラクティスとなります。 また、認定審査機関 (QSA) フォームを使用して、PCI の報告を簡単に 行うことができます。 カスタマイズ可能なフィルター フィルターを使用すると、関連する変更のみがデータベースに加えられることを保証できます。 ファイル名、ディレ クトリ名、レジストリ キー、プロセス名、ファイル拡張子、ユーザー名に一致するフィルターを定義できます。 条 件を使用すると、次の 2 種類のフィルターを定義できます。 • 対象フィルターは、指定したフィルター条件に一致するイベントに関する情報を受け取るようにフィルタリング します。 • 除外フィルターは、指定したフィルター件に一致するイベントに関する情報を無視するようにフィルタリングし ます。 イベントのフィルタリングは、変更イベントの量を管理するために必要です。 通常、一部の変更はプログラムによっ て生成され、システム管理者に報告する必要はありません。 プログラムや自動による変更アクティビティが多くなる と、膨大な変更イベントによってシステムが溢れかえってしまう可能性があります。 フィルターを使用すると、関連 がある変更イベントのみが記録されるようにできます。 ポリシーの効率的な施行 Change Control で変更ポリシーを施行すると、所定の期間内に信用されたソースにのみ変更を許可できます。 ま た、ネイティブ アプリケーションに自身の更新を許可し、他のアプリケーションまたはユーザーに特定のファイルの 変更または読み取りを禁止するように、Change Control を調整できます。 読み取り保護 読み取り保護ルールを使用すると、指定したファイル、ディレクトリ、ボリュームの読み取りを禁止することができ ます。 ディレクトリまたはボリュームに読み取り保護を設定すると、そのディレクトリまたはボリューム内のファイ ルもすべて読み取りが禁止されます。 定義した読み取り保護ルールは、サブディレクトリに継承されます。 レジス トリ キーには読み取り保護は設定できません。 デフォルトでは、読み取り保護は無効になっています。 書き込み保護 書き込み保護ルールを使用すると、ファイル (ディレクトリとレジストリ キーを含む) の作成を禁止できます。これ により、ユーザーは既存のファイル、ディレクトリ、レジストリ キーを変更できなくなります。 ファイルまたはレ ジストリ キーへの書き込みを保護すると、読み取り専用になって予期しない変更が防止されます。 書き込み保護が 設定されたファイルまたはレジストリ キーでは、以下のアクションが禁止されます。 • 削除 • 追加 • 名前の変更 • 切り捨て McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 17 1 はじめに Change Control の概要 • ハードリンクの作成 • 属性 (所有者、グループ、権限など) の変更 • コンテンツの変更 • 代替データ ストリームの作成 (Microsoft Windows のみ) Change Control の利点 Change Control を使用する利点は次のとおりです。 18 • 重要なシステム、設定、コンテンツ ファイルに対 する変更を常時監視し、リアルタイムで管理でき ます。 • QSA レポートで PCI の報告を簡単に行うことが できます。 • 重要なファイルとレジストリ キーに対する無許 可の変更を防ぎます。 • 関係のない情報をワンクリックで除外できます。 • FIM で PCI DSS を遵守できます。 • ポリシーを効率的に施行し、不要な変更を未然に 防ぎます。 • FIM ルールを導入後すぐに使用できます。 • McAfee ePO が統合され、IT を集中管理できま す。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 2 Change Control の準備 Change Control の使用を開始する前に、ソフトウェアの操作に慣れ、関連コンセプトを理解してください。 目次 Change Control のモード ルール グループとは ルール グループの管理 Change Control を有効にする Change Control のモード Change Control は次のいずれかのモードで動作します。 有 効 ソフトウェアが有効で、定義されたポリシーに従ってエンドポイント上で変更がモニタリングおよび制御され ることを示します。 有効モードでは、Change Control は、設定ポリシーの定義に従ってファイルとレジス トリ キーのモニタリングと保護を実行します。 有効モードは、推奨動作モードです。 有効モードからは、無効または監視モードに切り替えられます。 更 新 ソフトウェアが有効であることを示し、エンドポイントへのアドホック変更を許可して、エンドポイントに対 して加えた変更を追跡します。 更新モードを使用すると、ソフトウェアやパッチのインストールなどの定期的 な変更または緊急時の変更を実行できます。 有効モードでは、定義ポリシーに従って読み取り保護ファイルを読み取ったり、書き込み保護ファイルを変更 したりすることはできません。 更新モードでは、有効なすべての読み取り/書き込み保護が無効になります。 更新モードを使用すると、エンドポイントに対して変更を加え、その認証操作時に表示される変更ウィンドウ を定義できます。 更新モードの場合、有効モードまたは無効モードに切り替えることができます。 変更が完了したら有効モード に切り替えてください。 無 効 ソフトウェアが有効ではないことを示します。ソフトウェアがインストールされていても、関連付けられた機 能は有効になりません。エンドポイントを無効モードで配置すると、アプリケーションはエンドポイントを再 起動します。 無効モードの場合、有効モードまたは更新モードに切り替えることができます。 ルール グループとは ルール グループとはルールの集合です。 任意の McAfee ePO ベース ポリシーにルールを直接追加できますが、ポ リシー内で定義されたルールはそのポリシーに固有となります。 対照的に、ルール グループは類似または関連ルー ルのセットを照合する独立した単位です。 ルール グループを定義したら、ルール グループを様々なポリシーに関連付けることで、ルール グループ内のルール を再利用できます。 また、ルールを変更する必要がある場合、ルール グループのルールを更新すると、すべての関 連ポリシー全体に変更が自動的に転送されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 19 2 Change Control の準備 ルール グループとは よく使用するアプリケーションをスムーズに実行できるように、ルール グループが事前に定義されています。 事前 定義ルール グループを編集できますが、既存のルール グループを基にしてルール グループを作成できます。 必要に 応じて、ルール グループをインポートまたはエクスポートすることもできます。 ポリシー全体で類似ルールを定義する必要がある場合、ルール グループを使用すると、ルールの定義にかかる労力を 大幅に削減できます。 多数のエンドポイント全体にソフトウェアを配備する大規模な環境の場合、配備に関する時間 と労力を最小限にするため、ルール グループを使用してください。 ルール グループの例 以下では、ルール グループの使用例を説明します。 複数サーバー上で Oracle を実行する組織があるとします。 各サーバーは、人事部、技術部および経理部がそれぞれ 異なる目的で使用します。 冗長性を削減するため、Oracle 固有のルールを使用して次のルール グループを定義しま す。 • Oracle の設定に対する重要な変更の監査に役立てるため、設定ファイルとレジストリ キーをモニタリングおよび 追跡するルールを含む Integrity Monitor ルール グループ (名前は IM-Oracle) • 未承認の変更を防止するため、Oracle の重要なファイルを保護するルールを含む Change Control ルール グル ープ (名前は CC-Oracle) ルール グループの定義後、人事部、技術部、および経理部のポリシー全体で当該ルール グループを再利用できます。 つまり、人事部サーバーのポリシーを定義するとき、人事部サーバーにインストールされた他のアプリケーションの ルール グループと共に、IM-Oracle ルール グループをモニタリング (Integrity Monitor) ポリシーに追加し、 CC-Oracle ルール グループを保護 (Change Control) ポリシーに追加します。 同様に、IM-Oracle および CC-Oracle ルール グループを技術部サーバーと経理部サーバー用の関連ポリシーに追加します。 ポリシーの定義 後、重要なファイルのルールが作成されなかったことを確認したら、ルール グループを直接更新すると、すべてのポ リシーが自動的に更新されます。 ルール グループの所有権 ユーザーは、自身が所有するルール グループを編集または削除できます。 ルール グループを作成したユーザーが、ルール グループの所有者に自動的に設定されます。 ルール グループを編集 または削除できるのは、所有者と McAfee ePO 管理者だけです。 管理者は、他のユーザーに所有権を割り当てたり、 所有者の所有権を取り消すことができます。 この場合、所有権は McAfee ePO 管理者に自動的に付与されます。 バージョン 6.2.0 以降の拡張ファイルにアップグレードすると、McAfee ePO 管理者は企業内のすべてのルール グル ープの所有者になります。 すべての所有者のルール グループを編集できるのは、McAfee ePO 管理者だけです。 McAfee ePO 管理者は、必要に応じて他のユーザーにグループ所有権を割り当てる必要があります。 ルール グループを所有していないユーザーは、ルール グループとポリシー割り当てを表示して、ルール グループを 複製したり、ポリシーにルール グループを追加できます。 所有者または McAfee ePO 管理者がルール グループの ルールを更新した場合、この変更は関連するすべての McAfee ePO ポリシーに適用されます。 グループ管理者以外の管理者が McAfee ePO によって作成されたルール グループを使用するときに、ルール グルー プを維持しない場合には、このシナリオが適しています。 このシナリオが組織の要件を満たしていない場合には、所 有権のないルール グループを複製してポリシーを割り当ててください。 これにより、自身が複製後のポリシーの所 有者となります。 20 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Change Control の準備 ルール グループとは 2 ルール設定の権限 McAfee ePO 管理者は、必要に応じて Solidcore の設定権限を設定できます。 企業内で複数の管理者がいる場合に、 各管理者の権限を見直して管理します。 権限を割り当てるタイミング 通常、McAfee ePO 管理者はグローバル管理者で、企業全体を管理し、Solidcore のすべてのページにアクセスでき ます。 グローバル管理者以外の管理者はサイト管理者で、特定のサイトまたはホスト グループを管理します。 組織 内では、場所、セクター、機能グループでサイトを分類できます。 たとえば、異なる場所 (北、南、東、西) にサイトがある組織の場合、McAfee ePO 管理者が組織全体を管理し、サ イト管理者またはグローバル管理者以外の管理者が各サイトの管理を行います。 ルール グループ ページの権限 [ルール グループ] ページの権限を設定するには、[メニュー] 、 [設定] 、 [Solidcore ルール] の順に移動します。 この権限により、[ルール グループ] で実行可能なアクションが変わります。また、これらのページを他の Solidcore ページから表示できるかどうかも設定できます。 [ルール グループ] に次のいずれかの権限を割り当てることができます。 デフォルトでは、McAfee ePO 管理者はす べてのページの編集権限を所有しています。 権限 詳細 権限 なし このページはユーザーに表示されません。 表示 権限 編集 権限 たとえば、[ルール グループ] ページでユーザーに「権限なし」が付与されている場合、このタブは [Solidcore ルール] ページや [ポリシー カテゴリ] (ルール グループの割り当て) ページにも表示されませ ん。 [更新プログラム プロセス]、[ユーザー]、[フィルター] タブでは「権限なし」が継承されます。 このページはユーザーに表示されます。 ただし、ページで変更や削除などの操作は実行できません。 たとえば、[ルール グループ] ページでユーザーに「表示権限」が付与されている場合、このタブは [Solidcore ルール] ページや [ポリシー カテゴリ] (ルール グループの割り当て) ページに表示されます。 ユーザーは、ルール グループの情報を表示し、権限を確認できますが、ルール グループの編集、複製、追 加はできません。 ユーザーにタブが表示されます。また、ページで許可されているすべてのアクションを実行できます。 たとえば、[ルール グループ] ページでユーザーに「編集権限」が付与されている場合、このページは [Solidcore ルール] ページや [ポリシー カテゴリ] (ルール グループの割り当て) ページに表示され、すべ ての操作を実行します。 ルール グループ ページとポリシー ページに表示されるタブに対する権限 [ルール グループ] ページに対するユーザーの権限により、[更新プログラム プロセス]、[ユーザー]、[フィルター] タブに対する権限も決まります。 [ルール グループ] ページで使用可能な権限は、そのページに表示されるタブの権 限を表します。 必要であれば、McAfee ePO 管理者は個々のタブの権限を選択して変更できます。 [権限なし] または [表示権限] をユーザーに付与すると、特定のアクションが使用できなくなる場合があります。 ブロックされるアクション 影響を受けるページ [除外イベント] アクションがブロックされます。 [Solidcore イベント] ページ [フィルター] タブ タブ固有のルールがインポートされないため、[インポー [ルール グループ] ページ ト] アクションは失敗します。 McAfee Change Control および McAfee Application Control 7.0.0 必要な権限... [ルール グループ] ペー ジのタブ 製品ガイド 21 2 Change Control の準備 ルール グループの管理 ルール グループの管理 ルール グループを作成して類似または関連ルールを照合します。 ルール グループをインポートまたはエクスポー トして、ルール グループの設定を管理することもできます。 タスク • 22 ページの「ルール グループの所有権を変更する」 ルール グループの所有権を複数のユーザーに割り当てたり、ユーザーから所有権を削除できます。 • 22 ページの「ルール グループ タブの権限を管理する」 [ルール グループ] ページの権限を管理します。また、ルール グループとポリシー ページのタブの権限 も管理できます。 • 23 ページの「ルール グループの作成」 ルール グループを作成して、必要なルールを指定します。 • 24 ページの「ルール グループのインポートまたはエクスポート」 1 台の McAfee ePO サーバーから別のサーバーにルール グループ設定ツールを複製する必要がある場 合、ソースの McAfee ePO サーバーから XML ファイルにルール グループ設定をエクスポートし、XML ファイルからターゲットの McAfee ePO サーバーにインポートします。 • 26 ページの「ルール グループのインポート操作の確認」 ルール グループのインポート操作の状況を確認できます。 • 27 ページの「ルール グループの割り当て状況の表示」 すべての作成済みポリシー全体を移動する代わりに、ルール グループが使用されているすべてのポリシ ーを直接表示できます。 この機能を使用すると、各ルール グループが関連ポリシーに割り当てられてい るかどうかを簡単に検証できます。 ルール グループの所有権を変更する ルール グループの所有権を複数のユーザーに割り当てたり、ユーザーから所有権を削除できます。 開始する前に このタスクを実行するには、グローバル管理者権限が必要です。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブの [所有者] 列でルール グループの所有者をクリックして、[ルール グループの所有権] ページを開きます。 3 ページに表示されたユーザーを選択または選択解除して、デフォルトの所有権を変更します。 4 [保存] をクリックします。 所有者に対する変更が、選択したグループの [所有者] 列に反映されます。 ルール グループ タブの権限を管理する [ルール グループ] ページの権限を管理します。また、ルール グループとポリシー ページのタブの権限も管理できま す。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 22 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Change Control の準備 ルール グループの管理 2 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [ユーザー管理] 、 [権限セット] の順に選択します。 2 [新規] をクリックして、権限セットを作成します。 3 権限セットの名前を入力します。 4 権限セットを割り当てるユーザーを選択します。 権限セットで指定した権限レベルがユーザーに付与されます。 1 つのユーザー アカウントに複数の権限セット を適用すると、これらの権限セットは集約されます。 環境内のユーザーに権限を付与する際は、この点に注意し てください。 詳細については、『Solidcore 権限セット』を参照してください。 5 [Solidcore 全般] 権限カテゴリで [編集] をクリックします。 6 必要に応じて、[ルール グループ] に権限を付与します。 7 ルール グループとポリシー ページのタブ ([更新プログラム プロセス]、[ユーザー]、[フィルター]) を選択して 権限を付与することもできます。 これは、[ルール グループ] ページの権限に基づいて行われます。 詳細については、 『ルール設定の権限』を参照 してください。 8 [保存] をクリックします。 ルール グループの作成 ルール グループを作成して、必要なルールを指定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブから次の手順のいずれかを実行します。 • [Integrity Monitor] を選択し、重要なリソース上で実行された変更を監視するためのルール グループを表示 または定義します。 • [Change Control] を選択し、重要なリソース上で未承認の変更が実行されるのを防止するためのルール グ ループを表示または定義します。 既存ルール グループを開始点として定義したり、新規ルール グループをゼロから定義したりできます。既存ルー ル グループを変更および編集するには、手順 3、5、6、および 7 を完了します。新規ルール グループを定義す るには、手順 4、5、6、および 7 を完了します。 3 既存ルール グループに基づいてルール グループを作成します。 a 既存ルール グループの[複製] をクリックします。 [ルール グループの複製] ダイアログ ボックスが表示されます。 b ルール グループ名を指定して、[OK] をクリックします。 ルール グループが作成され、[ルール グループ] ページに表示されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 23 2 Change Control の準備 ルール グループの管理 4 新しいルール グループを定義します。 a [ルール グループの追加] をクリックし、[ルール グループの追加] ダイアログ ボックスを開きます。 b ルール グループ名を指定します。 c ルール グループの種類とプラットフォームを選択します。 d [OK] をクリックします。 ルール グループが作成され、[ルール グループ] ページにリスト表示されます。 5 ルール グループの [編集] をクリックします。 6 必要なルールを指定します。 ルールの定義方法については、『モニタリング ルールの定義』と『保護ルールの定義』を参照してください。 7 [ルール グループを保存] をクリックします。 ルール グループのインポートまたはエクスポート 1 台の McAfee ePO サーバーから別のサーバーにルール グループ設定ツールを複製する必要がある場合、ソースの McAfee ePO サーバーから XML ファイルにルール グループ設定をエクスポートし、XML ファイルからターゲット の McAfee ePO サーバーにインポートします。 ルール グループの所有者かグローバル管理者の場合、ルール グループの XML ファイルをターゲットの McAfee ePO サーバーにインポートできます。 ただし、グローバル管理者以外の管理者の場合、自身が権限を所有しているタブに のみルールをインポートできます。 他のルールはインポートされません。詳細が [サーバー タスク ログ] ページに表 示されます。 権限の詳細については、『ルール設定の権限』を参照してください。 ルール グループを McAfee ePO サーバーにインポートすると、McAfee ePO サーバーにログオンしているユーザー がこのルール グループの所有者になります。 ルール グループを McAfee ePO サーバーからエクスポートするとき に、所有者の情報はエクスポートされません。 信用できるグループを含むルール グループをインポートまたはエクスポートする場合、ソースとターゲットの McAfee ePO サーバーの Active Directory サーバーが、同じドメイン名、サーバー名または IP アドレスで設定され ていることを確認してください。 ルール グループをインポートまたはエクスポートするには、McAfee ePO コンソールまたは Web サービスの API を使用します。 タスク • 24 ページの「McAfee ePO コンソールを使用する」 環境によっては、McAfee ePO コンソールでルール グループのインポートまたはエクスポートを実行で きます。 • 25 ページの「Web サービス API を使用する」 セットアップによっては、Application Control と Change Control が提供する Web サービス API を 使用して、ルール グループのインポートまたはエクスポートを実行できます。 McAfee ePO コンソールを使用する 環境によっては、McAfee ePO コンソールでルール グループのインポートまたはエクスポートを実行できます。 また、ルール グループを XML ファイルにエクスポートし、XML ファイルを編集してルール グループに必要な変更 を加えてから、変更されたルール グループを使用する McAfee ePO サーバーにファイルをインポートすることもで きます。 24 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Change Control の準備 ルール グループの管理 2 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブで、次のいずれかの手順を完了します。 • ルール グループをインポートするには、[インポート] をクリックし、ルール グループ ファイルを参照およ び選択して、[OK] をクリックします。 インポート中には、ルール グループを上書きするかどうかを指定で きます (名前が同じルール グループを既存ルール グループとしてインポートする場合)。 • 選択したルールグループを XML ファイルにエクスポートするには、ルール グループを選択し、[エクスポー ト] をクリックしてファイルを保存します。 Web サービス API を使用する セットアップによっては、Application Control と Change Control が提供する Web サービス API を使用して、 ルール グループのインポートまたはエクスポートを実行できます。 タスク 1 コマンド プロンプトで次のディレクトリに移動します。 <ePO インストール ディレクトリ>\Remote‑Client\ 例: C:\Program Files\McAfee\ePolicy Orchestrator\Remote‑Client\ 2 次のコマンドを実行して、McAfee ePO シェル クライアントに接続します。 shell-client.bat <eposerverip:epoport> <epouserid> <epopassword> https post 例: shell-client.bat <xxx.xx.xx.xxx:xxxx> admin testP@ssword https post 3 必要であれば、次の Web サービス API を使用します。 Web サービス API 説明 scor.rulegroup.find (ruleGroupOS, ruleGroupType, ruleGroupName) すべての Solidcore ルールグループのリストから必要なルール グループを検 索します。 このサービスは、次のパラメーターを使用します。 scor.rulegroup.export (ruleGroupOS, ruleGroupType, ruleGroupName, exportFileName) ruleGroupOS (必須) ルール グループに関連するオペレーティング シス テム。 使用可能な値は WIN と UNIX です。 ruleGroupType (必須) ルール グループに関連する製品。 可能な値は、 APPLICATION_CONTROL、CHANGE_CONTROL、 INTEGRITY_MONITOR です。 ruleGroupName (任意) ルール グループの名前。 ソース McAfee ePO サーバーからルール グループの情報をエクスポートしま す。 ルール グループの情報を XML 形式で McAfee ePO サーバーにエクスポ ートすることもできます。 このサービスは、次のパラメーターを使用します。 ruleGroupOS (必須) ルール グループに関連するオペレーティング シス テム。 使用可能な値は WIN と UNIX です。 ruleGroupType (必須) ルール グループに関連する製品。 可能な値は、 APPLICATION_CONTROL、CHANGE_CONTROL、 INTEGRITY_MONITOR です。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 25 2 Change Control の準備 ルール グループの管理 Web サービス API 説明 ruleGroupName (任意) ルール グループの名前。 ルール グループ名を指定しないと、指定したオペレー ティング システムとルール グループ タイプで編集可 能なすべてのルールがエクスポートされます。 exportFileName (任意) エクスポートしたルール グループ情報を保存する XML ファイルの名前 (c:\foo.xml、c:\foo\foo.xml など)。 XML ファイルの場所は、McAfee ePO サーバー上 にする必要があります。 値には相対パスではなく、絶対パ スを使用してください。 scor.rulegroup.import (file, override) XML ファイルのルール グループ情報をターゲット McAfee ePO サーバーに インポートします。 このサービスは、次のパラメーターを使用します。 file (必須) XML ファイルのパス。 XML ファイルの場所に応 じて、次の点に注意してください。 • XML ファイルが McAfee ePO サーバー上にある場合に は、このパラメーターに完全修飾名を指定してください。 たとえば、scor.rulegroup.import c:\abc.xml と します。 • XML ファイルがローカル システムにある場合、このパ ラメーターの値は、file:/// の後にローカル システム 上の場所を続けてください。 たとえば、 scor.rulegroup.import file=file:///c:/ abc.xml とします。 override (任意) ターゲット McAfee ePO サーバー上に同じルール グループがある場合に上書きします。 デフォルトでは、こ のパラメーターの値は false に設定されているので、ター ゲット McAfee ePO サーバー上に同じルール グループが 存在しても上書きされません。 ルール グループのインポート操作の確認 ルール グループのインポート操作の状況を確認できます。 ルール グループのインポート操作の状況を表示すると、操作の成否を確認できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [サーバー タスク ログ]の順に選択します。 2 [クイック検索] テキストボックスに Solidcore ルール グループのインポート というタスク名を指定して [適 用] をクリックします。 3 このサーバー タスクのステータスが [完了] になっているかどうか確認します。 タスクのステータスが [失敗] になっている場合、インポート操作は成功していません。 4 サーバー タスクをクリックして、[サーバー タスク ログの詳細] ページを開きます。 [ログ メッセージ] タブでルールの詳細を確認します。 26 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Change Control の準備 Change Control を有効にする 2 ルール グループの割り当て状況の表示 すべての作成済みポリシー全体を移動する代わりに、ルール グループが使用されているすべてのポリシーを直接表示 できます。 この機能を使用すると、各ルール グループが関連ポリシーに割り当てられているかどうかを簡単に検証 できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブで [割り当て] をクリックして、選択したルール グループが割り当てられているポリシー を表示します。 Change Control を有効にする Change Control を有効にして、定義済みのポリシーに従ってエンドポイントでの変更をモニタリングし、制御しま す。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブに切り 替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 [Solidcore 7.0.0] 、 [SC: 有効] の順に選択し、[タスクの新規作成] をクリックして、[クライアント タスク カ タログ] ページを開きます。 5 タスク名を指定し、任意の詳細情報を追加します。 6 次のフィールドを選択します。 7 a プラットフォームを選択します。 b サブプラットフォームを選択します。 c バージョンを選択します ([NT/2000 サブプラットフォームを除くすべて]の場合のみ)。 d [Change Control] オプションが選択されていることを確認します。 以下の手順を完了して、Change Control を有効にします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 27 2 Change Control の準備 Change Control を有効にする Solidcore クライアントのバージ ョン 手順 Solidcore クライアントのバージョ [エンドポイントを再起動] を選択し、エンドポイントを再起動します。 ン: ソフトウェアを有効にするには、エンドポイントの再起動が必要になりま す。 • 5.1.5 以前(Windows) • 6.0.1 以前(UNIX) Windows プラットフォームでは、エンドポイントを再起動する 5 分前 に、ポップアップ メッセージがエンドポイントで表示されます。これによ って、ユーザはエンドポイント上で作業およびデータを保存できます。 UNIX プラットフォームの場合、タスクが適用されるとエンドポイントが 再起動します。 Solidcore クライアント バージョ ン 6.0.0 以降(Windows)の場合 設定は不要です。 Solidcore クライアント バージョ ン 6.1.0 以降 (UNIX) の場合 [エンドポイントを再起動] の選択を解除します。 Solidcore クライアント バージョン 6.1.0 以降を使用する場合は、ソフ トウェアを有効にするためにシステムの再起動は必要ありません。 8 [保存] をクリックします。 9 [次へ] をクリックし、[スケジュール] ページを開きます。 10 スケジュールの詳細を指定し、[次へ] をクリックします。 11 タスクの詳細を確認して、[保存] をクリックします。 12 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 28 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 3 ファイル システムおよびレジストリの監視 Change Control を使用すると、ファイルとレジストリのエントリを指定して変更をモニタリングできます。 また、属性や内容の変更を追跡してファイルをモニタリングすることもできます。 モニタリングするファイルとレジ ストリ キーを指定するルールを定義する必要があります。また、特に、関連するエンドポイントに対するユーザー アクティビティを追跡するため、ユーザー アカウント追跡機能 (デフォルトでは無効に設定されています) を有効に するルールを定義する必要があります。 目次 モニタリング ルールの動作 モニタリング ルールの定義 事前定義監視ルールの確認 監視ポリシーの作成 内容変更の管理 モニタリング ルールの動作 ルールを使用して、ファイル、ディレクトリ、レジストリ キー、ファイルの種類(ファイル拡張子に基づく)、プロ グラム、およびユーザを監視できます。 モニタリングの対象 以下の操作は、モニタリング対象のファイル、レジストリ キー、ユーザー アカウントの追跡対象となります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 29 3 ファイル システムおよびレジストリの監視 モニタリング ルールの動作 要素 追跡対象操作 ファイル • ファイルの作成 • 代替データ ストリームの作成 • ファイルの変更 (ファイルの内容や 属性。権限、所有者、グループなど) • 代替データ ストリームの変更(アク セス許可や所有者などのファイル内 容と属性) • ファイルの削除 • 代替データ ストリームの削除 • ファイル名の変更 • 代替データ ストリーム名の変更 代替データ ストリーム関連の操作は Windows にのみ該当します。 レジストリ キー (Windows のみ) • レジストリ キーの作成 • レジストリ キーの変更 • レジストリ キーの削除 ユーザー アカウント (ロ • ユーザ アカウントの作成 ーカルとドメインのアカ ウント。Windows のみ) • ユーザ アカウントの変更 • ユーザー ログオン (成功と失敗) • ユーザ ログオフ • ユーザ アカウントの削除 デフォルトでは、ユーザー アカウントの追跡は無効になっています。 ユーザー アカウ ントに対する操作を追跡するには、この機能を有効にする必要があります。 この機能を 無効にするには、エンドポイントで [SC: コマンドの実行] クライアント タスクを実行 して、sadmin features enable mon‑uat コマンドを実行します。 モニタリングの対象となるファイル属性 オペレーティング モニタリング対象の属性 システム Windows • 非表示 • 読み取り専用 • インデックスのないコンテンツ • システム • オフライン UNIX • 所有権 • モード ビット (読み取り権限、書き込み権限、実行権限など) • 以下のファイル システム属性: 30 • a: 追加のみ • t: 末尾統合なし • c: 圧縮 • u: 削除不能 • d: ダンプなし • A: 同時更新なし • e: 拡張形式 • C: 書き込み時のコピーなし • i: 不変 • D: 同期ディレクトリの更新 • j: データ ジャーナリング • S: 同期更新 • s: 安全な削除 • T: ディレクトリ階層の最上位 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ファイル システムおよびレジストリの監視 モニタリング ルールの動作 3 事前定義ルールの可用性 Change Control には事前定義のモニタリング ルールが含まれます。 詳細については、『事前定義のモニタリング ルールを確認する』を参照してください。 モニタリング ルールの優先順位の順序 次の表を参照して、監視ルールを処理するときの適用される優先順位の順序(最低から最高まで)を理解します。 表 3-1 監視ルールの優先順位の順序 順序 ルールの種類 説明 1. 詳細除外フィルター (AEF) ルー ルは優先順位が最も高くなりま す。 AEF ルールの詳細については、 『詳細除外フィルターまたはルール (AEF) とは』を参照してください。 2. 除外ルールには、対象ルールを上 回る優先順位が与えられます。 たとえば、同一のファイルに誤って対象ルールと除外ルールを両方定義し た場合、除外ルールが適用されます。 3. ユーザ名に基づくルールには、 ルールで指定されたユーザ名は、イベントで参照されるユーザ名と比較さ AEF ルールを除く他のすべての種 れます。 類のルールを上回る優先順位が与 えられます。 4. プログラム名に基づくルールに ルールで指定されたプログラム名は、イベントで参照されるプログラム名 は、ファイル拡張子、ファイル名、 と比較されます。 またはレジストリ キーに基づくル ールを上回る優先順位が与えられ ます。 5. ファイル拡張子に基づくルールに は、ファイル名またはディレクト リ名 (またはパス) に基づくルー ルを上回る優先順位が与えられま す。 6. ファイル名またはパスに基づくル ールには、ディレクトリ名に基づ くルールを上回る優先順位が与え られます。実際に、パス名が長い と名前ベースのルールでは優先さ れます。 ルールで指定されたファイル拡張子は、イベントで参照されるファイル拡 張子と比較されます。 たとえば、C:\Program Files\Oracle がファイル ベースのルールで モニタリング対象外になり、.ora 拡張子がモニタリング対象になってい る場合、listener.ora や tnsnames.ora など、拡張子が .ora のフ ァイルに生成されます。 指定パスはイベントで参照されるパスと比較されます。(ファイルまたは ディレクトリの)パスは、最初から比較されます。次の例を検討します。 Windows プラットフォーム C:\temp ディレクトリが除外され、 C: \temp\foo.cfg ファイルが含まれてい る場合、 foo.cfg ファイルへの変更が追 跡されます。同様に、 HKEY_LOCAL _MACHINE キーを除外し、 HKEY_LOCAL _MACHINE\System キーを含めると、 HKEY_LOCAL_MACHINE\System キーへ の変更が追跡されます。 UNIX プラットフォーム /usr/dir1/dir2 ディレクトリを含める 一方で /usr/dir1 ディレクトリは除外す る場合、/usr/dir1/dir2 パスの方が長 いため優先されるので、/usr/dir1/dir2 ディレクトリ内のファイルに対するすべて の操作は監視されます。 前述の優先順位の順序では、すべてのルール (#5 は除く) がレジストリ キーのルールにも適用されます。 詳細除外フィルターまたはルール (AEF) とは 詳細除外フィルターを定義して、条件を組み合わせることで変更を除外することができます。 たとえば、tomcat .exe プログラムを除くすべてのプログラムによって tomcat.log ファイルに加えられた変更をモニタリングする とします。 これを実現するには、詳細フィルターを定義して、所有者のプログラムがログ ファイルに行った変更を McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 31 3 ファイル システムおよびレジストリの監視 モニタリング ルールの定義 すべて除外します。 これにより、ログ ファイルが他の (所有者以外の) プログラムで変更されるとき、イベントのみ を受信することができるようになります。 この場合、ここで定義したフィルターは、 『ファイル名が <log-file> で、 プログラム名が <owner-program> のイベントをすべて除外する』場合と類似しています。 AEF を使用すると、定期的にシステムが生成する変更イベントの中で、モニタリングや監査の必要がないイベントを 整理することができます。 特に Web ブラウザーなどのアプリケーションの中には、レジストリ キーにアプリケー ションの状態を保存し、いくつかのレジストリ キーを定期的に更新するものがあります。 たとえば、ESENT 設定は Windows エクスプローラー アプリケーションによって定期的に変更され、レジストリ キー変更イベントを生成し ます。 このような状態の変更は定期的に行われ、モニタリングや報告の対象にする必要はありません。 AEF を定義 すると、コンプライアンス要件を満たすのに必要なイベントを削除することが可能になり、イベント リストには重要 な通知のみが表示されることが保証されます。 モニタリング ルールの定義 新規監視ルールを作成するか、または監視ルール グループを定義するかに関係なく、監視ルールの定義に利用できる フレームワークは同一になります。 システム変数 モニタリング ルールで指定されたパスには、システム環境変数を入れることができます (Windows プラットフォー ムの場合のみ)。 以下の表に、サポートされるシステム変数を示します。 変数 サンプル値 (大半の Windows プラットフォーム) %ALLUSERSPROFILE% C:\ProgramData C:\Documents and Settings\All Users (以前のバージョンの Windows) %APPDATA% C:\Users\(ユーザー名)\AppData\Roaming C:\Documents and Settings\{ユーザー名}\Application (以前の バージョンの Windows) %COMMONPROGRAMFILES% C:\Program Files\Common Files %COMMONPROGRAMFILES (x86)% C:\Program Files (x86)\Common Files %HOMEDRIVE% C: %HOMEPATH% C:\Users\(ユーザー名) C:\Documents and Settings\{ユーザー名} または \ (以前のバージ ョンの Windows) %PROGRAMFILES% C:\Program Files %PROGRAMFILES (x86)% C:\Program Files (x86) (64 ビット版のみ) %SYSTEMDRIVE% C: %SYSTEMROOT% C:\Windows (以前のバージョンの Windows の場合には C:\WINNT) %TEMP% (システム) %tmp% (ユーザ ー) C:\Users\(ユーザー名)\AppData\Local\Temp C:\Documents and Settings\{ユーザー名}\local Settings \Temp (以前のバージョンの Windows) C:\Temp (以前のバージョンの Windows) 32 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 3 ファイル システムおよびレジストリの監視 モニタリング ルールの定義 変数 サンプル値 (大半の Windows プラットフォーム) %USERPROFILE% C:\Users\(ユーザー名) C:\Documents and Settings\{ユーザー名} (以前のバージョンの Windows) C:WINNT\profiles\{ユーザー名}(以前のバージョンの Windows) %WINDIR% C:\Windows パスに関する考慮事項 次の検討事項がパス ベースのルールに適用されます。 • ファイルとディレクトリのモニタリングに指定するルールは、絶対パスにしてください。 • プログラム アクティビティのモニタリングにルールを指定するときは、絶対パスにする必要はありません。 たと えば、AcroRd32.exe や Reader\AcroRd32.exe などの部分パス、または C:\Program Files\Adobe \Reader 9.0\Reader\AcroRd32.exe のような完全修飾パスを指定できます。 部分パスを指定する場合、指 定文字列に一致する名前を含むすべてのプログラムがモニタリングされます。 完全修飾パスを指定する場合、指 定プログラムのアクティビティのみモニタリングされます。 • パスにはホワイト スペースを含めることができます。 • パスにはワイルドカード文字 (*) を使用できます。 ただし、1 つの完全パス コンポーネントのみを表わします。 以下にいくつかのサンプルを示します。 Windows プラットフォー ム \abc\*.doc、\abc\*.* または \abc\doc.* がサポートされていない場合に は、\abc\*\def を使用できます。 UNIX プラットフォーム /abc/*.sh、/abc/*.*、/abc/doc.* がサポートされていない場合には、/abc /*/def を使用できます。 ファイルの内容と属性の変更を追跡するルールを定義する場合には、ワイルドカード文字を使用できません。 • レジストリ キー ベースのルールで使用するパスには、ワイルドカード文字 (*) を使用できます。 ただし、ワイ ルドカード文字はレジストリ パス内の 1 つのパス コンポーネントのみを表わします。 完全レジストリ パスの 末尾にはコンポーネントの文字を使用しないでください (末尾に使用されると、ルールは有効になりません)。 また、Windows レジストリの CurrentControlSet は、常に関連する HKEY_LOCAL_MACHINE\SYSTEM \ControlSetXXX キーにリンクされます。 たとえば、HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet は HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 キーにリンクされます。 いず れかのリンクに変更を加えると、両方のリンクが自動更新されます。 モニタリング対象キーの場合、 ControlSetXXX ではなく CurrentControlSet のパスを使用して常にレポートされます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 33 3 ファイル システムおよびレジストリの監視 モニタリング ルールの定義 モニタリング ルール 次のタスクを実行して、モニタリング ルールを定義します。 モニタリング (Integrity Monitor) ポリシーまたはル ール グループを作成または監視するときには、次のアクションを実行できます。 アクション 手順 ファイルとディレクトリの モニタリング 1 [ファイル] タブで [追加] をクリックします。 [ファイルを追加] ダイアログ ボッ クスが表示されます。 2 ファイル名またはディレクトリ名を指定します。 3 モニタリング対象を含めるか、あるいは除外するかどうかを指定します。 4 (任意) ファイルの内容と属性の変更を追跡するには、[内容変更追跡を有効にする] を選択して他のオプションを指定します。 詳細については、 『内容変更を追跡する』 を参照してください。 5 [OK] をクリックします。 レジストリ キーのモニタリ 1 [レジストリ] タブで [追加] をクリックします。 [レジストリを追加] ダイアログ ング (Windows プラット ボックスが表示されます。 フォームのみ) 2 レジストリ キーを指定します。 3 モニタリング対象を含めるか、あるいは除外するかどうかを指定し、[OK] をクリ ックします。 特定のファイルの種類のモ ニタリング 1 [拡張子] タブで [追加] をクリックします。 [拡張子を追加] ダイアログ ボックス が表示されます。 2 ファイルの拡張子を入力します。 拡張子にはピリオド (ドット) を含めないでくだ さい。 たとえば、log のようにします。 3 モニタリング対象を含めるか、あるいは除外するかどうかを指定し、[OK] をクリ ックします。 プログラム アクティビティ 1 [プログラム] タブで [追加] をクリックします。 [プログラムの追加] ダイアログ のモニタリング (プログラ ボックスが表示されます。 ムによって加えられたすべ てのファイルまたはレジス 2 プログラムの名前またはフル パスを入力します。 トリの変更を追跡するかど 3 モニタリング対象を含めるか、あるいは除外するかどうかを指定し、[OK] をクリ うかを実際に選択) ックします。 lsass.exe プロセスなどのバックグラウンド処理は除外すること をお勧めします。 34 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 3 ファイル システムおよびレジストリの監視 事前定義監視ルールの確認 アクション 手順 モニタリングから除外する ユーザーの指定 (指定ユー ザーによって加えられた変 更はすべて実際に追跡され ない) 1 [ユーザー] タブで [追加] をクリックします。 [ユーザーを追加] ダイアログ ボッ クスが表示されます。 2 以下の点に注意して、ユーザー名を指定します。 • ユーザー名内のスペースは、引用符の内側で指定してください。 • Wondows プラットフォームでは、ドメイン名はユーザー名の一部になります。 ドメイン名を指定しない場合、ユーザー名はすべてのドメインに対するモニタリ ングから除外されます。 • MY-DOMAIN\* または *@MY-DOMAIN を使用して、特定ドメインのすべての ユーザーを除外します (Windows プラットフォーム上)。 3 [OK] をクリックします。 イベントに対して詳細除外 フィルターを指定します。 1 [フィルター] タブで [ルールの追加] をクリックします。 新規フィルター行が表 示されます。 ファイル、イベント、プログラム、レジストリ キーおよびユーザー に基づいてフィルターを作成できます。 2 設定を編集して、フィルターを指定します。 3 [+] または [ルールの追加] をクリックして、それぞれに追加の AND または OR 条件を指定します。 [Solidcore イベント] ページから AEF を指定することもできます。 詳細について は、『イベントを除外する』を参照してください。 事前定義監視ルールの確認 Change Control では、複数の事前定義フィルター機能を提供しています。こうした機能は、様々なオペレーティン グ システム上の関連ファイルをモニタリングする場合に最適です。 デフォルトでは、このようなフィルターはシステム ツリー内のグローバル ルートに適用されているので、Change Control がインストールされているすべての McAfee ePO 管理対象エンドポイントがルールを継承します。 エンド ポイントが McAfee ePO サーバーに接続するとすぐに、エンドポイントのオペレーティング システムに適用できる 最小限のシステム モニタリング ポリシーが実行されます。 オペレーティング システムに適用可能な最小限のシステム モニタリング ポリシーに含まれる事前定義フィルター を確認できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Integrity Monitor] を選択します。 すべてのカテゴリのすべてのポリシーが表示されます。 [最小限のシステム モニタリング] ポリシーは、サポー ト対象オペレーティング システムごとに存在します。 3 関連する [最小限のシステム監視] ポリシーを開きます。 デフォルトでは、[My Rules] ルール グループが開きます(空白です)。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 35 3 ファイル システムおよびレジストリの監視 監視ポリシーの作成 4 [ルール グループ] ペインでルール グループを選択し、ルール グループに含まれるフィルターを確認します。 [最小限のシステム モニタリング] ポリシーに含まれるルールを上書きするには、必要なルールが存在する関連ル ール グループを複製し、ルール グループを編集して新規ルールを追加し、ルール グループをポリシーに追加しま す。 それ以外の大きな目的として、[最小限のシステム モニタリング] ポリシーがエンドポイント上で適用され、 個別のポリシーを使用して追加ルールが適用されることを確認します。 5 [キャンセル] をクリックします。 監視ポリシーの作成 モニタリング ポリシーを使用して、変更をモニタリングするか、あるいはファイル システムとレジストリの各種単 位をモニタリングから除外するかを選択できます。 ファイル、ディレクトリ、レジストリ キー、ファイルの種類 (フ ァイル拡張子に基づく)、プログラム、ユーザーのモニタリングを制御できます。 これらはマルチスロット ポリシー であるため、[システム ツリー] 内の単一ノードに複数のポリシーを割り当てることができます。 モニタリング ポリシーを作成するには、(ルールの再利用を許可するために) ルール グループ内でルールを定義して ルール グループにポリシーを追加するか、あるいはルールを直接ポリシー内で定義します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Integrity Monitor] を選択します。 3 [新しいポリシー] をクリックして、[新しいポリシーの作成] ダイアログ ボックスを表示します。 4 カテゴリを選択します。 5 [既存のポリシーからポリシーを作成] リストから [空のテンプレート] を選択し、ポリシーを最初から定義しま す。 6 ポリシー名を指定して、[OK] をクリックします。 7 ポリシー名をクリックして、[ポリシー設定] ページを開きます。 これで、ポリシーに含めるルールを定義できるようになりました。 既存ルール グループをポリシーに追加する か、または新規ルールをポリシーに直接追加することができます。 8 • ルール グループを使用するには、手順 8 と手順 10 を完了します。 詳細については、 『ルール グループを作 成する』を参照してください。 • ルールをポリシーに直接追加するには、手順 9 と手順 10 を完了します。 ルール グループをポリシーに追加します。 a [ルール グループ] ペインで [追加] を選択し、[ルール グループの選択] ダイアログ ボックスを開きます。 b 追加するルール グループを選択します。 c [OK] をクリックします。 d [ルール グループ] ペインでルール グループを選択します。 ルール グループに含まれるルールが各種タブに表示されます。 e 36 ルールを確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ファイル システムおよびレジストリの監視 内容変更の管理 9 3 モニタリング ルールをポリシーに追加します。 ルールの定義方法については、『モニタリング ルールの定義』を参照してください。 10 ポリシーを保存します。 内容変更の管理 Change Control を使用すると、モニタリング対象の 1 つのファイルまたはディレクトリとサブディレクトリ内のす べてのファイルに対して内容と属性の変更を追跡できます。 特定のファイルの内容変更を ファイルに対する属性または内容の変更が新しいファイル バージョンとして 追跡する場合 McAfee ePO サーバーに作成されます。 ディレクトリの内容変更を追 ディレクトリ内のファイルに対する属性または内容の変更が各ファイルの新しいバ 跡する場合 ージョンとして McAfee ePO サーバーに作成されます。 ファイルに対して作成される様々なバージョンを表示したり比較したりすることができます。 同一または異なるエ ンドポイント上にある任意の 2 つのファイルまたはファイル バージョンを比較することもできます。 重要なファ イルの変更時に電子メールを送信し、ファイルに対する正確な変更箇所を通知するには、自動応答を設定します。 あ るいは、環境内の追跡対象のファイルに対する変更の概要を確認できるように、レポートの作成スケジュールを設定 します。 タスク • 38 ページの「内容変更追跡の設定」 内容変更の追跡で次の項目を設定できます。 • 38 ページの「内容変更追跡を設定する」 内容変更を追跡するファイルの最大サイズ、属性のみを追跡するファイルの拡張子、1 つのルールで取 得可能な最大ファイル数を指定します。 • 39 ページの「内容変更の追跡」 モニタリング (Integrity Monitor) ポリシーまたはルール グループの作成あるいは変更を行うときに、 内容変更を追跡するファイルを指定できます。 • 40 ページの「ファイル バージョンの管理」 ファイルに使用可能なバージョンを確認したり、ファイルのバージョンを比較します。また、ベース バ ージョンをリセットしたり、バージョンを削除します。 • 41 ページの「ファイルの比較」 2 つのファイルまたは同じファイルの 2 つのバージョンを比較します。 同じエンドポイントまたは異 なるエンドポイントのファイルまたはバージョンを比較できます。 • 42 ページの「変更の詳細を受信する」 環境内のファイルが変更されたときに、通知とレポートを受信できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 37 3 ファイル システムおよびレジストリの監視 内容変更の管理 内容変更追跡の設定 内容変更の追跡で次の項目を設定できます。 設定 説明 最大ファイ ル サイズ デフォルトでは、1000 KB 以下のサイズのファイルに対する変更を追跡します。 必要に応じて、内 容変更の追跡対象にする最大ファイル サイズを設定できます。 最大ファイル サイズを変更すると、McAfee ePO データベースのサイズ要件に影響を及ぼし、パフォ ーマンスが低下する可能性があります。 属性の変更 だけを追跡 するファイ ルの拡張子 バイナリ ファイルの場合、内容変更追跡機能は属性だけを追跡します。内容の変更は追跡されませ ん。 表示不能なコンテンツとファイルの相違を保存するため、データベースと McAfee ePO リソー スが過剰に消費される場合があります。 次の拡張子の場合、デフォルトでは属性の変更のみを追跡し ます。 • zip • tar • bz2 • tiff • bmp • gz • jpg • sys • 7z • bz • exe • png • pdf • tgz • gif • jar • rar • dll 環境固有のファイル拡張子の属性の変更を追跡するには、リストを編集して拡張子を指定できます。 ルールあた りのファイ ルまたは取 得の最大数 ディレクトリに内容変更追跡ルールを適用すると、ディレクトリ内のすべてのファイルのベース バー ジョンが特定の追加/除外パターンと一致している場合に、情報が収集され、McAfee ePO サーバーに 送信されます。 これらのベース バージョンが内容変更の追跡に使用され、今後のファイル バージョ ンとの比較にも利用されます。 1 つのルールの対象となるファイル数が多い場合、エンドポイントの処理速度が低下し、McAfee ePO サーバーのパフォーマンスが低下する可能性があります。 このような状況を回避するため、1 つのル ールで取得する最大ファイル数を制御する値を指定できます。 この制限は、ディレクトリ (追加/除外 パターン、再帰/非再帰オプションに一致するディレクトリ) 内の該当ファイルの数に適用されます。 ディレクトリ内のファイルの合計数には適用されません。 指定したルールの該当ファイル数がしき い値を超えた場合、ファイルのベース バージョンは McAfee ePO サーバーに送信されません。 ただ し、ファイルに対する以降の変更は報告され、新しいファイルのベース バージョンが McAfee ePO サーバーに送信されます。 デフォルトでは、1 つのルールのファイル数は 100 に制限されています。 この設定は、環境に合わ せて変更できます。 内容変更追跡を設定する 内容変更を追跡するファイルの最大サイズ、属性のみを追跡するファイルの拡張子、1 つのルールで取得可能な最大 ファイル数を指定します。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 タスク 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: 全般] を選択します。 [McAfee Default] ポリシーには、カスタマイズ可能な構成設定が含まれます。 3 [設定 (クライアント)] カテゴリで、[McAfee Default] ポリシーの [複製] をクリックします。 4 ポリシー名を指定して、[OK] をクリックします。 ポリシーが作成され、[ポリシー カタログ] ページに表示されます。 38 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ファイル システムおよびレジストリの監視 内容変更の管理 5 新しいポリシーをクリックして開きます。 6 [その他] タブに切り替えます。 7 設定の値を指定します。 8 ポリシーを保存し、関連するエンドポイントに適用します。 3 内容変更の追跡 モニタリング (Integrity Monitor) ポリシーまたはルール グループの作成あるいは変更を行うときに、内容変更を追 跡するファイルを指定できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 [ファイル] タブに移動します。 2 次のいずれかの手順を実行します。 3 • [追加] をクリックし、新規ファイルの変更を監査および追跡します。 • 既存ルールを選択し、[編集] をクリックします。 ファイル情報を確認または追加します。 ネットワーク ファイル (ネットワーク パス上のファイル) の変更は追跡できません。 4 [内容変更の追跡を有効にする] を選択します。 5 ファイル エンコードを選択します。 [自動検出]、[ASCII]、[UTF-8] または [UTF-16] を選択できます。 大半のファイルで [自動検出] が正常に機 能します。 ファイル エンコードが判明している場合、[ASCII]、[UTF-8] または [UTF-16] を選択します (該当 するものがある場合)。 必要に応じて、新しいファイル エンコード値を追加できます。 ファイル エンコード値の 追加に関しては、McAfee サポートまでお問い合わせください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 39 3 ファイル システムおよびレジストリの監視 内容変更の管理 6 ディレクトリ内のファイルに対する内容変更を追跡します。 a [ディレクトリ] を選択します。 b 指定したディレクトリのすべてのサブフォルダーのファイルも追跡するには、[再帰ディレクトリ] を選択しま す。 c (任意) [対象パターン] または [除外パターン] にファイル名に一致するパターンを指定します。 複数のパタ ーンを指定する場合には、各パターンを別々の行に記述してください。 パターンを指定しないと、すべてのファイルが変更追跡の対象になります。 パターンの先頭または最後にア スタリスク (*) を使用できます。 対象パターンに *.txt を指定すると、ディレクトリ内の txt ファイルだ けがモニタリングされます。 除外パターンに *.ini を指定すると、ディレクトリ内のすべての ini ファイ ルがモニタリングの対象外になります。 複数のパターンを指定する場合には、各パターンを別々の行に記述 してください。 例: *.log Test.txt Test* 誤って *.log と Test.txt を同じ行に記述すると、これらは 1 つのパターンとして認識され、比較が実行 されます。 除外パターンは、優先パターンよりも優先します。 たとえば、同一のファイルに誤って対象パターンと除外パ ターンを定義すると、除外パターンが適用されます。 7 [OK] をクリックします。 ファイル バージョンの管理 ファイルに使用可能なバージョンを確認したり、ファイルのバージョンを比較します。また、ベース バージョンをリ セットしたり、バージョンを削除します。 ベース バージョンは、比較または制御に使用する開始点や初期ドキュメントを識別します。 通常、ファイルの最も 古いバージョンがベース バージョンに設定されます。 実際には、ファイルの変更を追跡するとき、初期ファイル内 容および属性が McAfee ePO データベース上に保存され、ベース バージョンとして設定されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [内容変更の追跡]の順に選択します。 内容変更追跡が有効なファイルがすべて表示されます。 2 3 40 バージョンを確認するファイルを識別します。 • [クイック検索] テキスト ボックスでエンドポイントまたはファイルの名前を指定し、[適用] をクリックしま す。 リストは、指定した検索文字列に基づいて更新されます。 • システム名、ファイル パス、または状態に基づいてリストをソートします。 ファイル操作を実行します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ファイル システムおよびレジストリの監視 内容変更の管理 3 操作... 手順... ファイル ステ ータスの確認 [ファイル ステータス] 列は、内容変更追跡の現在の状態を示します。 バージョンを 確認します。 [バージョンを表示] をクリックします。 [ファイルのバージョン] ページに、ファイルのすべ てのバージョンが表示されます。 このページで、ファイル バージョンの比較、ベース バージ ョンの指定、McAfee ePO データベースからのファイル バージョンの削除を実行できます。 ファイル バー ジョンを比較 します。 1 比較対象を指定します。 • バージョンの [旧バージョンと比較] をクリックし、そのバージョンと McAfee ePO コン ソールで使用可能なファイルの旧バージョンを比較します。 • バージョンの [ベース バージョンと比較] をクリックし、当該バージョンとベース バージ ョンとを比較します。 • 任意の 2 つのバージョンを選択 (該当するチェック ボックスをクリック) して、[アクシ ョン]、[ファイルの比較] の順に選択し、バージョンを比較します。 バージョンが比較され、ファイル内容とファイル属性との間の差異が表示されます。 2 [閉じる] をクリックします。 ベース バージ ョンをリセッ トします。 1 ファイル バージョンを選択 (該当するチェック ボックスをクリック) して、ベース バージ ョンとして設定します。 2 [アクション] 、 [ベース バージョンとして設定する] の順に選択し、[ベース バージョンと して設定] ダイアログ ボックスを開きます。 3 [OK] をクリックします。 これによって、ベース バージョンがリセットされ、ファイルのす べての旧バージョン (新規ベース バージョンより古いバージョン) が削除されます。 最高で 200 個までのファイル バージョンを追跡できます。 バージョン数が 200 を超えると、 バージョン数が 200 になるように、最も古いバージョンが削除されます。 さらに、最も古いバ ージョンがベース バージョンとして自動的に設定されます。 必要に応じて、ファイルに保持す るバージョン数を設定できます。 ファイルに保持するバージョン数の設定に関しては、McAfee サポートまでお問い合わせください。 ファイル バー ジョンの削除 ファイル バージョンを削除すると、選択したファイル バージョンが McAfee ePO データベー スから削除されます。 これにより、エンドポイント上に存在するファイルが変更されたり、削 除されたりすることはありません。 1 該当するチェック ボックスをクリックして、1 つ以上のファイル バージョンを選択します。 2 [アクション] 、 [削除]の順にクリックし、[OK] をクリックします。 4 [閉じる] をクリックします。 ファイルの比較 2 つのファイルまたは同じファイルの 2 つのバージョンを比較します。 同じエンドポイントまたは異なるエンドポ イントのファイルまたはバージョンを比較できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [内容変更の追跡]の順に選択します。 2 [ファイルの詳細な比較] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 41 3 ファイル システムおよびレジストリの監視 内容変更の管理 3 最初のファイルの情報を指定します。 a リストからグループを選択します。 b ホスト名を入力します。 c ファイルの名前およびパスを入力します。 d 比較するバージョンを選択します。 4 2 番目のファイルの情報を指定します。 5 [比較を表示] をクリックします。 ファイルの属性とコンテンツが比較され、差異が表示されます。 6 結果を確認します。 7 [閉じる] をクリックします。 変更の詳細を受信する 環境内のファイルが変更されたときに、通知とレポートを受信できます。 タスク • 42 ページの「ファイルに対する変更をモニタリングする」 重要なファイルに対する変更を監視するため、ファイルの変更時に詳細を電子メールで通知するように 設定できます。 • 43 ページの「統合レポートを生成する」 環境内の追跡対象ファイルで発生した変更の概要を取得するには、必要な条件に基づいて統合レポート の生成スケジュールを設定します。 ファイルに対する変更をモニタリングする 重要なファイルに対する変更を監視するため、ファイルの変更時に詳細を電子メールで通知するように設定できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [自動応答]の順に選択します。 2 [アクション] 、 [新しい応答] の順にクリックし、[応答ビルダー] ページを開きます。 3 42 a 応答名を入力します。 b [ Solidcore イベント ]グループおよび[ ファイル内容変更イベント] を選択します。 c [有効] を選択します。 d [次へ] をクリックして、[フィルター] ページを開きます。 ファイル名、システム名、またはその両方を指定します。 • 特定の追跡対象ファイルが(すべての管理対象エンドポイント全体で)変更される度に電子メールを受信する ためには、ファイル名のみを指定します。 • 任意の追跡対象ファイルが 1 つのエンドポイント上で変更される度に電子メールを受信するためには、シス テム名のみを指定します。 • 特定のファイルが 1 つのエンドポイント上で変更される度に電子メールを受信するためには、ファイル名と システム名の両方を指定します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ファイル システムおよびレジストリの監視 内容変更の管理 3 4 [次へ] をクリックして、[集計] ページを開きます。 5 集計の詳細を指定して [次へ] をクリックし、[アクション] ページを表示します。 6 [ファイル内容変更メールを送信] を選択して詳細を指定し、[次へ] をクリックして [サマリー] ページを開きま す。 7 詳細を確認し、[保存] をクリックします。 統合レポートを生成する 環境内の追跡対象ファイルで発生した変更の概要を取得するには、必要な条件に基づいて統合レポートの生成スケジ ュールを設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [レポート] 、 [クエリーとレポート] の順にクリックします。 2 McAfee ePO コンソールで、[McAfee グループ] の下にある Change Control グループを選択します。 3 次のいずれかの手順を実行します。 環境内で追跡対象 のすべてのファイ ルを報告するレポ ートを生成する [内容変更追跡レポート (ユーザーの組織別)] クエリーを使用します。 指定した条件に基 づいてレポートを 生成する 1 [内容変更追跡レポートの生成 - ユーザーの組織グループ] クエリーの [複製] をクリッ クして、[複製] ダイアログ ボックスを開きます。 このクエリーでは環境内の追跡対象のすべてのファイルに関する情報がプルされるので、 パフォーマンスが低下する可能性があります。 このクエリーを複製して新しいクエリーを 作成し、環境に必要な条件を指定することをお勧めします。 2 クエリー名とグループを指定して、[OK] をクリックします。 3 作成したクエリーに移動して [編集] をクリックし、[クエリー ビルダー] ウィザードを 開きます。 4 [フィルター] タブに切り替えます。 5 必要なフィルターを追加します。 • [生成時間] プロパティを使用して、特定の間隔で実行された内容変更の情報を取得し ます。 • [ファイル パス] プロパティを使用して、1 つ以上のファイルの情報を取得します。 • [システム名]、[グループ]、[タグ] プロパティを使用して、情報を取得するエンドポ イントを指定します。 6 [保存] をクリックして、[クエリー] ページを開きます。 7 [保存] をクリックします。 4 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [サーバー タスク]の順に選択します。 5 [アクション] 、 [新規タスク] の順にクリックし、[サーバー タスク ビルダー] ウィザードを開きます。 6 タスク名を入力して [次へ] をクリックし、[アクション] ページを表示します。 7 [アクション] リストで [Solidcore: 内容変更追跡レポートの生成] を選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 43 3 ファイル システムおよびレジストリの監視 内容変更の管理 8 タスクを設定します。 a ルール グループ (Integrity Monitor) を指定します。 b クエリー (手順 2 のクエリー) を指定します。 c 各ファイルで取得するリビジョン数を指定します。 たとえば、クエリーで指定された間隔に従って 7 日間にファイルが 50 回変更されたとします。 ファイルの 最後の 15 バージョンの情報を取得するには、[最近の N 個のリビジョンを取得] の値を 15 に設定します。 デフォルトのリビジョン数は 10 で、最大値は 100、最小値は 1 です。 d 生成されたレポートを送信するメール アドレスを指定します。複数のメール アドレスを指定する場合には、 カンマで区切ります。 メール アドレスが McAfee ePO サーバーで設定されていることを確認します。 e 電子メールの件名を指定します。 f レポート名を指定します。 デフォルトでは、レポート名にレポートの作成日時が追加されます。 デフォルトでは、サーバー タスクで生成されたレポート (PDF ファイル) が電子メールに添付され、すべての受 信者に送信されます。 20 MB までのファイルが電子メールで送信されます。 ファイル サイズが 20 MB を超 えると、エラーを通知する電子メールが受信者に送信されます。 生成されたレポートのサイズが大きくなる場合 があるため、レポートをリモートの場所に保存し、保存場所のリンクをすべての受信者に電子メールで送信する こともできます。 9 (任意) 生成されポートを共有フォルダーに保存し、すべての受信者にレポートのリンクを電子メールで送信しま す。 a [このオプションを使用してネットワーク共有にレポートをコピーし、ネットワーク共有の情報を電子メール で送信する] を選択します。 b 生成されたレポートを保存するパスを指定します。 c 指定したネットワークの場所にアクセスするためのネットワーク認証情報を指定します。 d [テスト接続] をクリックして、指定した認証情報が機能しているかどうかを確認します。 10 [次へ] をクリックします。 11 タスクのスケジュールを指定して [次へ] をクリックし、[サマリー] ページを開きます。 12 タスクのサマリーを確認し、[保存] をクリックします。 13 [サーバー タスク] ページで、このサーバー タスクの [実行] を選択します。 44 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 4 ファイル システムおよびレジストリの保護 Change Control を使用すると、ファイル システムとレジストリに対する変更を防止できます。 目次 保護ルールの動作 保護ルールの定義 保護ポリシーの作成 読み取り保護の有効化 保護ルールの動作 未承認のアクセスや変更を予防するには、読み取り保護および書き込み保護ルールを定義します。 読み取 り保護 ルール ユーザが指定ファイル、ディレクトリ、およびボリュームの内容を読み取ることをできなくします。 ディレクトリが読み取り禁止のとき、ディレクトリ内のすべてのファイルが読み取り禁止になります。保 護対象ファイルからデータを承認なく読み取ろうとすると、その読み取りは阻止されイベントが生成され ます。読み取り保護ファイルへの書き込みは許可されます。 レジストリ キーには読み取り保護ルールを定義できません。 書き込 み保護 ルール ユーザーが新規ファイル (ディレクトリとレジストリ キーを含む) の作成と、既存ファイル、ディレクト リ、およびレジストリ キーの変更をできなくします。 • ファイルとディレクトリの書き込み保護ルールを定義し、未承認の変更を予防します。 重要なファイル のみを保護します。 ディレクトリが書き込み保護の対象の場合、ディレクトリとそのサブディレクトリ 内のすべてのファイルが書き込み保護になります。 • 重要なレジストリ キーの書き込み保護ルールを定義し、変更を予防します。 定義済みルールの上書きとは 保護するためのルールを定義できる一方で、追加ルールを定義して有効な読み取り保護または書き込み保護を選択的 に上書きすることもできます。 • 読み取り保護または書き込み保護を選択的に上書きする許可が与えられるプログラムを指定します。 • 読み取り保護または書き込み保護を選択的に上書きする許可が与えられるユーザ(Windows プラットフォーム上 のみ)を指定します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 45 4 ファイル システムおよびレジストリの保護 保護ルールの定義 保護ルールの優先順位の順序 エンドポイントに保護ルールを適用する場合には、次の点に注意してください。 • 除外ルールには、対象ルールを上回る優先順位が与えられます。 たとえば、同一のファイルに誤って対象ルールと除外ルールを両方定義した場合、除外ルールが適用されます。 • パスが長いと優先順位が高くなります。 たとえば、 書き込み保護に対し、C:\temp が含まれ、 C:\temp\foo.cfg が除外されている場合、 foo.cfg ファイルへの変更が許可されます。同様に、 書き込み保護に対し、HKEY_LOCAL_MACHINE キーを除外し、 HKEY _LOCAL_MACHINE\System キーを含めると HKEY_LOCAL_MACHINE\System キーへの変更が阻止されます。 保護ルールの定義 ルール グループまたはポリシーを使用するかどうかに関係なく、保護ルールの定義に使用できるフレームワークは同 一です。 システム変数 保護ルールで指定されたパスには、システム環境変数を追加できます (Windows プラットフォームの場合のみ)。 以 下の表に、サポートされるシステム変数を示します。 変数 サンプル値 (大半の Windows プラットフォーム) %ALLUSERSPROFILE% C:\Documents and Settings\All Users %APPDATA% C:\Documents and Settings\{ユーザー名}\Application %COMMONPROGRAMFILES% C:\Program Files\Common Files %COMMONPROGRAMFILES (x86)% C:\Program Files (x86)\Common Files %HOMEDRIVE% C: %HOMEPATH% C:\Documents and Settings\{ユーザー名} (以前のバージョンの Windows では \) %PROGRAMFILES% C:\Program Files %PROGRAMFILES (x86)% C:\Program Files (x86) (64 ビット版のみ) %SYSTEMDRIVE% C: %SYSTEMROOT% C:\windows (以前のバージョンの Windows では C:\WINNT) %TEMP% (システム) %tmp% (ユーザー) C:\Documents and Settings\{ユーザー名}\local Settings \Temp C:\Temp 46 %USERPROFILE% C:\Documents and Settings\{ユーザー名} (以前のバージョンでは C:WINNT\profiles\{ユーザー名}) %WINDIR% C:\Windows McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 4 ファイル システムおよびレジストリの保護 保護ルールの定義 パスに関する考慮事項 次の検討事項がパス ベースのルールに適用されます。 • ファイルとディレクトリに対する読み取り保護ルールまたは書き込み保護ルールを指定する場合には、絶対パス を使用する必要があります。 • 信頼できるプログラムまたは更新プログラムを追加するためにルールを指定するときは、絶対パスにする必要は ありません。 たとえば、AcroRd32.exe や Reader\AcroRd32.exe などの部分パス、または C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe のような完全修飾パスを指定できます。 部分パスを指 定する場合、指定文字列に一致する名前を含むすべてのプログラムが信用できるプログラムとして追加されます。 完全修飾パスを指定する場合、指定したプログラムのみが信用できるプログラムとして追加されます。 • パスにはホワイト スペースを含めることができます。 • パスにはワイルドカード文字 (*) を使用できます。 ただし、1 つの完全パス コンポーネントのみを表わします。 以下にいくつかのサンプルを示します。 • Windows プラットフォー ム \abc\*.doc、\abc\*.* または \abc\doc.* がサポートされていない場合に は、\abc\*\def を使用できます。 UNIX プラットフォーム /abc/*.sh、/abc/*.*、/abc/doc.* がサポートされていない場合には、/abc /*/def を使用できます。 レジストリ キー ベースのルールで使用するパスには、ワイルドカード文字 (*) を使用できます。 ただし、ワイ ルドカード文字はレジストリ パス内の 1 つのパス コンポーネントのみを表わします。 完全レジストリ パスの 末尾にはコンポーネントの文字を使用しないでください (末尾に使用されると、ルールは有効になりません)。 保護ルール 保護 (Change Control) ポリシーまたはルール グループを変更あるいは作成するときに、保護ルールを定義できま す。 アクション 手順 読み取り保護ファ イルとディレクト リ 1 [読み取り禁止] タブで [追加] をクリックします。 [ファイルを追加] ダイアログ ボック スが表示されます。 2 ファイル名またはディレクトリ名を指定します。 3 読み取り禁止を含めるか、あるいは除外するかどうかを指定します。 4 [OK] をクリックします。 デフォルトでは、エンドポイントで読み取り禁止機能は無効になっています。 書き込み保護ファ イルとディレクト リ 1 [書き込み保護ファイル] タブで [追加] をクリックします。 [ファイルを追加] ダイアログ ボックスが表示されます。 2 ファイル名またはディレクトリ名を指定します。 3 書き込み保護を含めるか、あるいは除外するかどうかを指定します。 4 [OK] をクリックします。 書き込み保護レジ ストリ キー 1 [書き込み保護レジストリ] タブで [追加] をクリックします。 [レジストリを追加] ダイア ログ ボックスが表示されます。 2 レジストリ キーを指定します。 3 書き込み保護を含めるか、あるいは除外するかどうかを指定します。 4 [OK] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 47 4 ファイル システムおよびレジストリの保護 保護ルールの定義 アクション 手順 読み取り保護ルー ルと書き込み保護 ルールの上書きが 許可されている信 用ファイルを指定 します。 1 [更新プログラム プロセス] タブで [追加] をクリックします。 [更新プログラムの追加] ダイアログ ボックスが表示されます。 2 ファイル名または SHA-1 に基づいて更新プログラムを追加するかどうかを指定します。 名前を指定して更新プログラムを追加する場合、更新プログラムは自動的に認証されませ ん。 SHA-1 で更新プログラムを追加すると、更新プログラムが自動的に認証されます。 3 ファイルの場所 (名前順に追加する場合) または実行可能ファイルまたはバイナリ ファイ ルの SHA-1 値を入力します。 4 実行可能ファイルの固有の ID ラベルを入力します。 たとえば、[Adobe_Updater.exe] フ ァイルの ID ラベルとして Adobe Updater の変更 を指定する場合、Adobe_Updater .exe ファイルによって実行されたすべての変更イベントにはこのラベルがタグ付けされま す。 5 名前別に更新プログラムを追加する場合、バイナリ ファイルが必ず更新プログラムとして 実行する条件を指定します。 • [なし] を選択すると、バイナリ ファイルが更新プログラムとして無条件で実行されるこ とを許可します。 • [ライブラリ] を選択すると、バイナリ ファイルが指定されたライブラリをロードした場 合にのみ更新プログラムとして実行されることを許可します。 たとえば、iexplore .exe を更新プログラムとして設定し、Windows 更新で Internet Explorer の使用が許 可されている場合には、wuweb.dll をライブラリとして指定します。 これによって、 iexplore.exe プログラムは、Web コントロール ライブラリ (wuweb.dll) が読み込 まれるまで更新プログラム権限を持ちます。 • [親] を選択すると、指定した親によって起動された場合にのみ、バイナリ ファイルが更 新プログラムとして実行されることを許可します。 たとえば、updater.exe を更新プロ グラムとして設定して Mozilla Firefox への変更を許可するとき、親として firefox .exe を指定します。 updater.exe は任意のインストール済みアプリケーションの一 部となる一般名称ですが、親を使用すると正しいプログラムのみを更新プログラムとして 実行できることが保証されます。 6 名前別に更新プログラムを追加する場合、更新プログラムの継承を無効にするかどうかを指 定します。 たとえば、プロセス A (更新プログラムとして設定) がプロセス B を起動する 場合、プロセス A の継承を無効にするとプロセス B が更新プログラムにならないことが保 証されます。 7 名前別に更新プログラムを追加する場合、更新プログラムによって実行されるアクション用 に生成されるイベントを抑制するかどうかを指定します。 通常、更新プログラムが保護対 象ファイルを変更するとき、[ファイルが変更されました] イベントが当該ファイル用に生成 されます。 このオプションを選択する場合、更新プログラムによって加えられた変更用に イベントは生成されません。 8 [OK] をクリックします。 48 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 4 ファイル システムおよびレジストリの保護 保護ルールの定義 アクション 手順 読み取り保護ルー ルと書き込み保護 ルールの上書きを 許可するユーザー を指定します。 ユーザーの詳細を入力するか、あるいは Active Directory からユーザーまたはグループの詳 細をインポートできます。 Active Directory が登録済みのサーバーとして設定されているこ とを確認します。 ユーザーが読み取り保護および書き込み保護ルールを上書きするよう許可するための詳細情 報を指定します。 (Windows のみ) 1 [ユーザー] タブで [追加] をクリックします。 [ユーザーを追加] ダイアログ ボックスが 表示されます。 2 各ユーザーに 2 つのルールを作成します。 • UPN/SAM とドメイン アカウント名 (ドメイン名\ユーザーの形式) • ドメインの NETBIOS 名 (NETBIOS\ユーザー名の形式) 3 ユーザーに固有の ID ラベルを指定します。 たとえば、匿名ユーザーの ID ラベルとして [匿名ユーザーの変更] を指定する場合、ユーザーによって加えられたすべての変更にはこの ラベルがタグ付けされます。 4 ユーザー名を入力します。 5 [OK] をクリックします。 Active Directory からユーザーの詳細をインポートします。 1 [るユーザー] タブで [AD インポート] をクリックします。 [Active Directory からイン ポート] ダイアログ ボックスが表示されます。 2 サーバーを選択します。 3 [グローバル カタログ検索] を選択し、カタログ内でユーザーを検索します (選択した Active Directory がグローバル カタログ サーバーの場合のみ)。 4 UPN (ユーザー プリンシパル名) または SAM アカウント名に基づいてユーザーを検索す るかどうかを指定します。 検条条件に従って承認ユーザーが決定されます。 信用できるア カウントを使用してエンドポイントにログオンすることを確認します。 ユーザーの追加時 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 49 4 ファイル システムおよびレジストリの保護 保護ポリシーの作成 アクション 手順 に UPN 名を使用する場合、信用できるユーザー権限を利用するためにエンドポイントでユ ーザーが UPN 名を使用してログオンすることを確認します。 5 ユーザー名を入力します。 [含む] 検索条件が指定ユーザー名に適用されます。 6 グループ名を指定してグループ内でユーザーを検索します。 Active Directory 内に存在す るグループはポリシーに直接追加できません。 グループ内のすべてのユーザーを承認する には、ユーザー グループをルール グループに追加し、ルール グループをポリシーに追加し ます。 ルール グループにユーザー グループが含まれている場合、次の処理が実行されま す。 a Application Control がバックグラウンドでクエリーを実行し、設定済みの Active Directory サーバーからユーザーの詳細情報を取得します。 b Active Directory サーバーが、指定されたユーザー グループのユーザーに関するユーザ ーと関連属性 (netbiosName、ユーザー名など) のリストを送信します。 これらの詳細 がルール グループに保存されます。 c Application Control が、信用できるユーザーとしてユーザーをグループに追加します。 これらのユーザーはユーザー インターフェースに表示されませんが、ルール グループの 除法を XML ファイルにエクスポートすると、ユーザーのリストが使用できます。 ユーザー グループを追加すると、ユーザー グループに対するすべての変更がすべてのルー ル グループおよび関連ポリシー全体に自動的に転送されます。 7 [検索] をクリックします。 検索結果が表示されます。 8 検索結果に追加するユーザーを選択し、[OK] をクリックします。 保護ポリシーの作成 ポリシーはマルチスロット ポリシーであるため、システム ツリー内の単一ノードに複数のポリシーを割り当てるこ とができます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 50 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Change Control] を選択します。 3 [新しいポリシー] をクリックして、[新しいポリシーの作成] ダイアログ ボックスを表示します。 4 カテゴリを選択します。 5 [既存のポリシーからポリシーを作成] リストから [空のテンプレート] を選択し、ポリシーを最初から定義しま す。 6 ポリシー名を指定して [OK] をクリックし、[ポリシー設定] ページを開きます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ファイル システムおよびレジストリの保護 読み取り保護の有効化 7 4 保護ルールを指定します。 デフォルトでは、読み取り保護機能は無効になっています。読み取り保護ルールを使用するには、エンドポイント の読み取り保護機能を有効にします。 8 ポリシーを保存します。 読み取り保護の有効化 デフォルトでは、システムのパフォーマンスを最適化するために読み取り保護機能は無効になっています。 エンドポ イント上でコマンドを実行し、読み取り禁止を有効にします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブに切り 替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 a [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックします。 [クライアント タスク割当ビルダ] ページが表示されます。 b 製品に [Solidcore 7.0.0] を選択してタスクの種類で [SC: コマンドの実行] を選択し、[タスクの新規作成] をクリックします。 [クライアント タスク カタログ] ページが表示されます。 c 3 タスク名を指定し、任意の詳細情報を追加します。 次のコマンドを入力します。 features enable deny-read 4 コマンドのステータスを表示する場合、[応答が必要] を選択します。この設定を行うには、 [メニュー] 、 [自動 処理] 、 [Solidcore クライアント タスク ログ] の順に移動します。 5 [保存] をクリックします。 6 [次へ] をクリックし、[スケジュール] ページを開きます。 7 スケジュールの詳細を指定し、[次へ] をクリックします。 8 タスクの詳細を確認して、[保存] をクリックします。 9 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 51 4 ファイル システムおよびレジストリの保護 読み取り保護の有効化 52 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 5 監視とレポート モニタリング対象ファイルまたはレジストリ キーが変更されるか、あるいは保護対象リソースにアクセスまたは変更 が試行されると、エンドポイントでイベントが生成され、McAfee ePO サーバーに送信されます。 ネットワークの 状態をモニタリングするため、生成されたイベントの確認および管理を行います。 カスタマイズ可能なダッシュボードを使用すると、重要なセキュリティの状況を瞬時に把握し、事前設定のクエリー を使用して関係者と意思決定者に状況を報告できます。 目次 イベントの管理 ダッシュボード クエリ クエリーを表示する イベントの管理 McAfee ePO コンソールでイベントを確認して、管理します。 タスク • 53 ページの「イベントの確認」 期間とエンドポイントの詳細を指定して、イベントを確認します。 • 54 ページの「内容変更の表示」 ファイルの属性または内容が変更される度にイベントが生成され、ファイルの変更内容が追跡されます。 • 55 ページの「イベントの除外」 ルールを定義して、定期的にシステムによって自動で生成される、監視または監査に関連しない変更イ ベントを整理できます。 イベントの確認 期間とエンドポイントの詳細を指定して、イベントを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 [時間フィルタ] リストからオプションを選択して、イベントを表示する対象の期間を指定します。 3 イベントを表示する対象のエンドポイントを指定します。 a [システム ツリー] で必要なグループを選択します。 b [システム ツリー フィルタ] リストからオプションを選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 53 5 監視とレポート イベントの管理 4 (任意) 1 つ以上のフィルターを適用して、特定のイベントのみを表示します。 a [詳細フィルター] をクリックして、[フィルター条件の編集] ページを開きます。 b 利用できるプロパティを選択します。 c プロパティの比較と値を指定します。 たとえば、[ファイルが変更されました] イベントのみを表示するには、[イベント表示名] プロパティを選択 し、比較を [等しい] に設定して [ファイルが変更されました] 値を選択します。 d [フィルタの更新] をクリックします。 指定した条件に一致するイベントが表示されます。 5 (任意) 『レピュテーション ベースの実行とは?』 をクリックして、ファイルの実行を許可または禁止するため に Application Control が順番に実行する検査を確認します。 6 イベントの詳細を表示します。 7 a イベントの行をクリックします。 b イベントの詳細を確認します。 c [戻る] をクリックします。 1 つ以上のイベントでエンドポイントの詳細を確認します。 a 1 つ以上のイベントを選択します。 b [アクション] 、 [関連システムの表示] の順にクリックします。 [関連システム] ページには、選択したイベントに対応するエンドポイントが表示されます。 c 行をクリックし、エンドポイントの詳細情報を確認します。 d (任意) エンドポイントでアクションを実行します。 内容変更の表示 ファイルの属性または内容が変更される度にイベントが生成され、ファイルの変更内容が追跡されます。 ファイルに加えられた変更に基づいて、次のイベントのいずれかが生成されます。 • FILE_CREATED • FILE_ATTR_SET • FILE_DELETED • FILE_ATTR_CLEAR • FILE_MODIFIED • ACL_MODIFIED • FILE_RENAMED • OWNER_MODIFIED • FILE_ATTR_MODIFIED 内容の変更を追跡する対象のファイルに関して前述のイベントのいずれかが生成される場合、ファイルに加えられた 変更の詳細を追跡できます。 内容変更の追跡対象となるファイルに加えられた変更の詳細を表示できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 イベントの [内容変更の表示] をクリックします。 ページでは、2 つのファイル バージョンが比較されます。 54 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視とレポート ダッシュボード 3 5 ホスト、ファイル属性、およびファイル内容の情報を確認します。 ファイルに加えられた変更は強調表示されます。 4 [閉じる] をクリックします。 イベントの除外 ルールを定義して、定期的にシステムによって自動で生成される、監視または監査に関連しない変更イベントを整理 できます。 コンプライアンス要件を満たす上で不要なイベントを除外または無視できます。 このタスクを実行するには、適切な 権限が必要です。 必要な権限がない場合には、McAfee ePO 管理者に連絡してください。 権限の詳細については、 『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 除外するイベントを選択します。 3 [アクション] 、 [除外イベント] の順にクリックして、[イベント除外ウィザード] を開きます。 4 ルールの対象プラットフォームを選択します。 5 ルール グループの種類を選択して [次へ] をクリックして、[ルールの定義] ページを開きます。 6 ルールは、選択したイベントに基づいて自動的に設定されます。 7 必要に応じて、既存ルールの確認や絞り込みを行ったり、新規ルールを追加したりします。 8 [次へ] をクリックして、[ルール グループの選択] ページを開きます。 9 既存または新規ルール グループにルールを追加し、[保存] をクリックします。 10 ルール グループが関連ポリシーに追加され、ポリシーがエンドポイントに割り当てられていることを確認します。 一度除外すると、類似した新規イベントは今後 McAfee ePO コンソールに表示されなくなります。 イベントを 除外しても、[イベント] ページ上の既存または類似イベントは削除されません。 ダッシュボード ダッシュボードとはモニタの集合です。これを使用すると、ユーザが環境に注目する際に役立ちます。 Change Control には、次のデフォルト ダッシュボードがあります。 • [Solidcore: Integrity Monitor]ダッシュボードを使用すると、監視対象エンドポイントを監視できます。 • [Solidcore: Change Control] ダッシュボードを使用すると、保護対象エンドポイントに関するチェックを継続 する際に役立ちます。 • [Solidcore: 正常性モニタリング] ダッシュボードでは、企業内の保護対象エンドポイントの正常性をモニタリン グできます。 ダッシュボードは、作成、複製、エクスポートできます。 ダッシュボードの操作方法については、 『McAfee ePolicy Orchestrator 製品ガイド』を参照してください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 55 5 監視とレポート クエリ クエリ 使用可能なクエリーを使用して、McAfee ePO データベースに保存されたデータに基づき、エンドポイントの情報を 確認します。 これらの Change Control と正常性モニタリングのクエリーは、McAfee ePO コンソールから使用できます。 表 5-1 Change Control クエリー クエリ 説明 [アラート] 過去 3 か月間に発生したアクティブ アラートが重大度別に表示されます。 [過去 24 時間の違反] 過去 24 時間に検出された違反要求イベントを表示します。 折れ線グラフには、1 時間 ごとのデータが表示されます。 グラフ上の値をクリックし、イベントの詳細を確認しま す。 [過去 7 日間の違反] 過去 7 日間に検出された違反要求イベントを表示します。 折れ線グラフには、1 日ご とのデータが表示されます。 グラフ上の値をクリックし、イベントの詳細を確認しま す。 [コンテンツ変更追跡レポ 環境内で内容変更を追跡するファイルの情報を McAfee ePO データベースから取得し ートの生成 - ユーザーの ます。 取得した情報は、[内容変更追跡レポート] サーバー タスクで使用され、内容変 組織別] 更を追跡するファイルに実行された変更内容 (コンテンツと属性) を含むレポートが生 成されます。 [Integrity Monitor エー ジェントのステータス] McAfee ePO サーバーで管理される Change Control ライセンスを持つすべてのエン ドポイントのステータスを表示します。 円グラフにはクライアント ステータスに基づ いた情報が分類されます。 セグメントをクリックしてエンドポイント情報を確認しま す。 [過去 24 時間の Integrity Monitor イベ ント] 過去 24 時間に検出されたモニタリング関連イベントを表示します。 折れ線グラフに は、1 時間ごとのデータが表示されます。 グラフ上の値をクリックし、イベントの詳細 を確認します。 [過去 7 日間の Integrity 過去 7 日間に検出されたモニタリング関連イベントを表示します。 折れ線グラフに Monitor イベント] は、1 日ごとのデータが表示されます。 グラフ上の値をクリックし、イベントの詳細を 確認します。 [非対応の Solidcore エ ージェント] 現在対応していないエンドポイントを表示します。 リストは、非対応の理由に基づいて ソートされます。 無効モードまたは更新モードの場合、あるいはローカルのコマンドラ イン インターフェース (CLI) アクセスが復旧されている場合、エンドポイントが非対 応になる可能性があります。 [過去 24 時間の帯域外変 過去 24 時間に生成された更新ポリシーに非対応の変更イベントを表示します。 折れ 更イベント] 線グラフには、1 時間ごとのデータが表示されます。 グラフ上の値をクリックし、イベ ントの詳細を確認します。 [過去 7 日間の帯域外変 更イベント] 過去 7 日間に生成された更新ポリシーに非対応の変更イベントを表示します。 折れ線 グラフには、1 日ごとのデータが表示されます。 グラフ上の値をクリックし、イベント の詳細を確認します。 [PCI DSS 要件 10.3.1: ユーザー レポートの詳 細 - 90 日間] ユーザー名でグループ化される変更の詳細説明リストを表示します。 このレポートを 使用すると、PCI DSS 要件 10.3.1 に準拠できます。 [PCI DSS 要件 10.3.1: ユーザー名と日付に基づいてソートされる変更リスト サマリーを表示します。 このレ ユーザー レポートのサマ ポートを使用すると、PCI DSS 要件 10.3.1 に準拠できます。 リー - 90 日間] [PCI DSS 要件 11.5: PCI ファイル整合性モニ タリングの詳細 - 90 日 間] 重要なシステム、重要なアプリケーション、設定ファイルの詳細な監査ログを表示しま す。 このレポートを使用すると、PCI データ セキュリティ規格 (DSS) 要件 11.5 に準 拠できます。 [PCI DSS 要件 11.5: 重要なシステム、重要なアプリケーション、設定ファイルの監査ログ サマリーを表示し PCI ファイル整合性モニ ます。 このレポートを使用すると、PCI データ セキュリティ規格 (DSS) 要件 11.5 に タリングのサマリー - 90 準拠できます。 日間] 56 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視とレポート クエリ 5 表 5-1 Change Control クエリー (続き) クエリ 説明 [PCI 要件 10.3: ファイ ル整合性モニタリング 90 日間] プログラム名でグループ化される変更サマリーを表示します。 このレポートを使用す ると、Payment Card Industry (PCI) 要件 10.3 に準拠できます。 [ポリシー割り当て (シス テム別)] 管理対象エンドポイント上で適用されるポリシーの数を表示します。 システムをクリ ックし、適用されるポリシーに関する情報を確認します。 [ポリシーの詳細] 選択したモニタリング ポリシーまたは保護ポリシーで定義されるルールを分類して表 示します。 レポートを表示するには、クエリーの [編集] をクリックし、[フィルター] ページに移動してポリシー名を選択してから、[実行] をクリックします。 カテゴリを クリックし、カテゴリ内のすべてのルールを確認します。 [Solidcore Agent ライ センス レポート] McAfee ePO サーバーで管理される Solidcore Agent の数を示します。 この情報は ライセンス情報 (Application Control と Change Control) に基づいて分類されま す。さらに、エンドポイント上のオペレーティング システムごとに分類されます。 [Solidcore Agent ステ ータス レポート] McAfee ePO サーバーで管理されるすべてのエンドポイントのステータスを表示しま す。 このレポートでは、Application Control と Change Control のライセンス情報 が表示されます。 円グラフにはクライアント ステータスに基づいた情報が分類されま す。 セグメントをクリックして詳細情報を確認します。 [過去 7 日間に発生した 上位 10 個の変更イベン ト] 過去 7 日間に生成された上位 10 個の変更イベントを表示します。グラフは各イベン ト タイプのバーを記載し、各イベント タイプに関して生成されたイベント数を示しま す。棒グラフではデータが降順にソートされます。グラフ上のバーをクリックし、詳細 情報を確認します。 [過去 7 日間で変更イベ ントが多い上位 10 個の プログラム] 過去 7 日間に最も変更が多かった上位 10 個のプログラムを表示します。 グラフは各 プログラムのバーを記載し、各プログラムによって生成されたイベント数を示します。 棒グラフではデータが降順にソートされます。 グラフ上のバーをクリックし、詳細情報 を確認します。 [過去 7 日間で変更イベ ントが多い上位 10 個の システム] 過去 7 日間に最も変更が多かった上位 10 個のシステムを表示します。 グラフは各シ ステムのバーを記載し、各システムによって生成されたイベント数を示します。 棒グラ フではデータが降順にソートされます。 グラフ上のバーをクリックし、詳細情報を確認 します。 [過去 24 時間で違反が多 過去 24 時間に違反が最も多く検出された上位 10 個のシステムを表示します。 グラ い上位 10 個のシステム] フは各システムのバーを記載し、各システムの違反数を示します。 グラフ上のバーをク リックし、詳細情報を確認します。 [過去 7 日間で違反が多 過去 7 日間に違反が最も多く検出された上位 10 個のシステムを表示します。 グラフ い上位 10 個のシステム] は各システムのバーを記載し、各システムの違反数を示します。 グラフ上のバーをクリ ックし、詳細情報を確認します。 [過去 7 日間で変更イベ ントが多い上位 10 人の ユーザー] 過去 7 日間に最も変更が多かった上位 10 名のユーザーを表示します。 グラフは各ユ ーザーのバーを記載し、各ユーザーによって生成されたイベント数を示します。 棒グラ フではデータが降順にソートされます。 グラフ上のバーをクリックし、詳細情報を確認 します。 [過去 7 日間で違反が多 過去 7 日間に、ポリシー違反の要求が最も多く検出された上位 10 名のユーザーを表示 い上位 10 人のユーザー] します。 グラフは各ユーザーのバーを記載し、各ユーザーのポリシー違反の要求数を示 します。 棒グラフではデータが降順にソートされます。 グラフ上のバーをクリック し、詳細情報を確認します。 [過去 24 時間で違反が多 過去 24 時間に、ポリシー違反の要求が最も多く検出された上位 10 名のユーザーを表 い上位 10 人のユーザー] 示します。 グラフは各ユーザーのバーを記載し、各ユーザーのポリシー違反の要求数を 示します。 棒グラフではデータが降順にソートされます。 グラフ上のバーをクリック し、詳細情報を確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 57 5 監視とレポート クエリーを表示する 表 5-2 正常性モニタリング クエリー クエリ 説明 [過去 7 日間にクライアント タスク 過去 7 日間にクライアント タスク ログで発生したデータ輻輳の傾向が表 ログで発生したデータ輻輳の傾向][] 示されます。 折れ線グラフには、1 日ごとのデータが表示されます。 グラ フ上の値をクリックし、詳細を確認します。 [過去 7 日間でスロットルが開始し たシステム数] 過去 7 日間でイベントのスロットルが開始したシステムの数が表示さます。 サマリー テーブルではデータが降順にソートされます。 [過去 7 日間でイベント数の最も多 い上位 10 件のシステムで発生数の 多いイベントの上位 10 件] 過去 7 日間でイベント数の最も多いシステムで発生数の多い上位 10 件の イベントが表示されます。 棒グラフではデータが降順にソートされます。 グラフ上のバーをクリックし、詳細情報を確認します。 クエリーを表示する Change Control または [Solidcore 正常性モニタリング] クエリーを表示する タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [クエリーとレポート]の順に選択します。 2 McAfee ePO コンソールの [McAfee グループ] で、[Change Control] または [Solidcore 正常性モニタリン グ] グループを選択します。 3 リストのクエリーを確認します。 4 必要なクエリーに移動して、[実行] をクリックします。 選択したクエリーの結果が表示されます。 5 58 [閉じる] をクリックして、前のページに戻ります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 6 Application Control の準備 Application Control の使用を開始する前に、この章を参照してソフトウェアの操作に慣れ、関連コンセプトを理解 してください。 目次 Application Control のモード ファイルと証明書のレピュテーション メモリ保護技法 ルール グループとは 証明書について 更新プログラム プロセスについて インストーラーについて ルール設定の権限 ルール グループを設定して管理する 証明書を管理する インストーラーの管理 パッケージ コントロールを設定する McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 59 6 Application Control の準備 Application Control のモード Application Control のモード Application Control は、次のいずれかのモードで動作します。 監 視 アプリケーションは有効ですが、エンドポイント上で実行または変更を行うことはできません。 監視モード は、Application Control の試運転のようなもので、情報は収集しますが、アクションは実行しません。 監視 モードは Windows プラットフォーム上でのみ使用できます。 監視モードではメモリー保護機能を使用できません。 監視モードを使用すると、組織で関連ポリシーを検出できます。 すべての実行をモニタリングし、ローカル のインベントリや事前定義のルールと比較することで、ポリシーの候補を識別します。 監視モードで実行す ると、Application Control は有効モードをエミュレートしますが、監視結果をログに記録する以外の処理は 行いません。 監視モードでは、レピュテーション ベースの実行もサポートされます。 エンドポイントでファイルを実行す ると、ファイルに関連するすべての証明書のレピュテーションが取得され、ファイルの実行を許可するかどう か判断されます。 • 信用されたファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「信用」の場合、事 前定義の禁止ルールでブロックされない限り、ファイルの実行が許可されます。 対応する監視結果または イベントは生成されません。 • 不正なファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「不正」の場合、バイナ リの実行は許可されません。対応する監視結果も生成されません。 対応するイベントが生成され、 [Solidcore イベント] ページに表示されます。 組織で定義した設定によって、実行が禁止されるレピュテ ーション値が決まります。 レピュテーションが「不正なことが確認されている」、「不正な可能性が非常に 高い」または「不正な可能性がある」のファイルを禁止することも、これらのすべてのファイルを禁止する こともできます。 • 不明 - バイナリ ファイルまたは関連する証明書のレピュテーションが「不明」の場合、実行の判断にレピ ュテーションは使用されません。 Application Control は、別の複数の検査を実行し、ファイルをブロック するかどうか判断します。 詳細については、『Application Control がファイルに実行する検査』を参照し てください。 ファイルのレピュテーションに関係なく、バイナリ ファイルに名前または SHA-1 による禁止ルールが存在する 場合、実行は禁止されます。 対応する監視結果は生成されません。 対応するイベントが生成され、[Solidcore イベント] ページに表示されます。 監視モードで実行が許可されたファイルがホワイトリストに登録されていない場合、これらのファイルはホワ イトリストに自動的に追加されます。 有効モードで Application Control が実行するアクションに対応する 監視結果がログに記録されます。 たとえば、有効モードで未承認の場合、Adobe Reader の実行は阻止され ます。 監視モードの場合、特定のルールで禁止されているか、レピュテーションが不正でない限り、ファイ ルの実行が許可されます。 次の方法で Application Control を監視モードに切り替えます。 • 初期配備時に、既存ソフトウェアと Application Control との互換性を確認します。 • Application Control をすでに実行しているエンドポイント上に配備する前にアプリケーションをテスト します。 • 企業内のアプリケーションに、信用された更新プログラムのポリシーを作成します。 監視モードの詳細については、『監視モードでの Application Control の配備』を参照してください。 有 効 60 保護が有効であることを示します。 有効モードは、推奨動作モードです。 有効モードは、レピュテーション ベースの実行に対応しています。エンドポイントでファイルを実行すると、 ファイルに関連するすべての証明書のレピュテーションが取得され、ファイルの実行を許可するかどうか判断 されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 Application Control のモード 6 • 信用されたファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「信用」の場合、事 前定義の禁止ルールでブロックされない限り、ファイルの実行が許可されます。 対応するイベントまたは 監視結果は生成されません。 • 不正なファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「不正」の場合、バイナ リの実行は許可されません。対応する監視結果も生成されません。 対応するイベントが生成され、 [Solidcore イベント] ページに表示されます。 組織で定義した設定によって、実行が禁止されるレピュテ ーション値が決まります。 レピュテーションが「不正なことが確認されている」、「不正な可能性が非常に 高い」または「不正な可能性がある」のファイルを禁止することも、これらのすべてのファイルを禁止する こともできます。 • 不明 - バイナリ ファイルまたは関連する証明書のレピュテーションが「不明」の場合、実行の判断にレピ ュテーションは使用されません。 Application Control は、別の複数の検査を実行し、ファイルをブロック するかどうか判断します。 詳細については、『Application Control がファイルに実行する検査』を参照し てください。 ファイルのレピュテーションに関係なく、バイナリ ファイルに名前または SHA-1 による禁止ルールが存在する 場合、実行は禁止されます。 対応する監視結果は生成されません。 対応するイベントが生成され、[Solidcore イベント] ページに表示されます。 有効モードの場合、Application Control は次の操作を行います。 • レピュテーションに従って信用され、ルールによって承認されたアプリケーションと更新プログラムにの み、サーバーまたはエンドポイント上での実行を許可します。 • バイナリ、スクリプト、不正なファイルを含むすべての未承認コードの実行をブロックします。 • メモリ ベースの攻撃およびアプリケーションの改ざんに対する保護 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 61 6 Application Control の準備 Application Control のモード 更 新 アプリケーションが有効であることを示します。システムへのアドホック変更を許可して、エンドポイントに 対して加えた変更を追跡します。 更新モードは、保護対象の環境すべてに変更が許可されることを意味しま す。 バイナリ ファイルに名前または SHA-1 による禁止ルールが存在する場合、実行は許可されません。 更新モードは、レピュテーション ベースの実行に対応しています。 エンドポイントでファイルを実行すると、 ファイルに関連するすべての証明書のレピュテーションが取得され、ファイルの実行を許可するかどうか判断 されます。 • 信用されたファイルと不明なファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが 「信用」または「不明」の場合、事前定義の禁止ルールでブロックされない限り、ファイルの実行が許可さ れます。 対応するイベントまたは監視結果は生成されません。 • 不正なファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「不正」の場合、バイナ リの実行は許可されません。対応する監視結果も生成されません。 対応するイベントが生成され、 [Solidcore イベント] ページに表示されます。 ファイルのレピュテーションに関係なく、バイナリ ファイルに名前または SHA-1 による禁止ルールが存在する 場合、実行は禁止されます。 対応する監視結果は生成されません。 対応するイベントが生成され、[Solidcore イベント] ページに表示されます。 推奨 - マイナー ソフトウェアの更新をインストールする場合にのみ更新モードを使用します。 たとえば、 IT チームがインストール パッチやアップグレード ソフトウェアなどの保守タスクを完了できるように期間 を定義します。 更新モードのみを使用し、Application Control が有効モードで実行中のときには加えること ができない定期的な変更または緊急時の変更を実行します。 変更を許可する場合には、ユーザー、ディレク トリ、証明書、更新プログラム プロセスまたはインストーラーなど、可能であれば、他の優先方法を使用し てください。 有効モードでは、新しいソフトウェアをインストールしたり新しいバイナリ ファイルを追加したりする場合、 信用できる変更方法で実行されない限り、ファイルはホワイトリストに追加されたり、実行を許可されたりす ることはありません。 ただし、更新モードでソフトウェアをインストールまたは削除したり、新しいバイナ リ ファイルを追加すると、すべての変更が追跡され、ホワイトリストに追加されます。 エンドポイントへの変更を認証または承認するため、ユーザーとプログラムがエンドポイントに変更を加える 際に変更ウィンドウが定義されます。 実際、更新モードを使用すると、ソフトウェアやパッチのインストー ルのスケジューリング、ソフトウェアの削除または変更、ローカル ホワイトリストの動的更新などを実行で きます。 アプリケーションは、更新モード中にファイルが追加されると FILE_SOLIDIFIED イベントを生成 し、更新モード中にファイルが削除されると、FILE_UNSOLIDIFIED イベントを生成します。 また、エンド ポイントが更新モードの場合、インベントリ内の既存ファイルにどのような変更を行っても、 FILE_MODIFIED_UPDATE や FILE_RENAMED_UPDATE など、対応する更新モード イベントが生成され ます。 メモリー保護機能は更新モードで有効になります。 この機能によって、実行中のプログラムが攻撃されないこと が保証されます。 無 効 アプリケーションが有効でないことを表します。 アプリケーションがインストールされていても、関連する 機能が有効になっていません。 モードの切り替え 62 • 監視モードの場合、有効モードまたは無効モードに切り替えることができます。 • 有効モードからは、無効、更新または監視モードに切り替えることができます。 • 更新モードの場合、有効モードまたは無効モードに切り替えることができます。 • 無効モードからは、有効、更新または監視モードに切り替えることができます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 ファイルと証明書のレピュテーション 6 ファイルと証明書のレピュテーション Application Control は、複数のソースからファイルと証明書のレピュテーション情報を取得できます。 McAfee ePO コンソールにレピュテーション情報を表示すると、組織内のバイナリ ファイルと証明書の状況を確認 し、処理を判断することができます。 レピュテーション情報を使用すると、McAfee ePO サーバーで組織のポリシ ーをすぐに定義できるので、管理者の負担が軽減されます。 この統合により、エンドポイントでレピュテーション ベースの実行が可能になります。 エンドポイントでファイル を実行すると、ファイルに関連するすべての証明書のレピュテーションが取得され、ファイルの実行を許可するかど うか判断されます。 組織で定義した設定によって、実行が許可または禁止されるレピュテーション値が決まります。 • 信用されたファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「信用」の場合、事前定 義の禁止ルールでブロックされない限り、ファイルの実行が許可されます。 • 不正なファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「不正」の場合、バイナリの 実行は許可されません。 • 不明 - バイナリ ファイルまたは関連する証明書のレピュテーションが「不明」の場合、実行の判断にレピュテ ーションは使用されません。 Application Control は、別の複数の検査を実行し、ファイルをブロックするかど うか判断します。 詳細については、『Application Control がファイルに実行する検査』を参照してください。 レピュテーションに関係なく、ルールに基づいてブロックされたり、承認されない場合、ファイルの実行はブロック されます。 レピュテーション ベースの実行は、Windows NT と Windows 2008 を除き、サポート対象の Windows プラットフ ォームで使用できます。 UNIX プラットフォームではレピュテーション ベースの実行を使用できません。 レピュテーション ソース Application Control は、複数のソースからレピュテーション情報を取得できます。 設定に従って、次のソースと定期的に同期します。 TIE サーバ ー モジュー ル TIE サーバーは、ローカルのレピュテーション サーバーで、複数のレピュテーション ソースと通信 を行います。 グローバル ソースから取得した情報とローカルの脅威情報を効率良く関連付け、集計 したレピュテーション値を提供します。 TIE サーバーは、McAfee GTI、McAfee Advanced Threat Defense またはサードパーティのフィ ードに接続し、ローカルの脅威情報だけでなく、エンドポイント、ゲートウェイ、他のセキュリティ コンポーネントから提供されるイベント データをリアルタイムで収集します。 ® TIE を使用すると、ソースから取得した情報の関連付け、上書き、拡張、調整を行い、環境と組織に 合わせてデータをカスタマイズできます。 詳細については、ご使用のバージョンの『McAfee Threat Intelligence Exchange 製品ガイド』を参照してください。 McAfee GTI McAfee GTI ファイル レピュテーション サービスは、レピュテーション ソースとして機能するクラ サーバー ウド ベースのサービスです。 Application Control は、McAfee GTI サーバーと定期的に同期し、 バイナリ ファイルと証明書の評価を取得します。 [McAfee GTI からバイナリの詳細を取得する] と [McAfee GTI サーバーから証明書のレピュテーションを取得する] サーバー タスクは、1 日に数 回自動的に実行される内部タスクで、バイナリ ファイルと証明書に対する McAfee GTI の評価を取 得します。 Application Control が TIE サーバーや McAfee GTI サーバーと通信を行う方法は次のとおりです。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 63 6 Application Control の準備 ファイルと証明書のレピュテーション • TIE サーバー - Application Control は、環境内で設定されている TIE サーバーに直接接続します。 • McAfee GTI サーバー - Application Control は McAfee GTI サーバーに直接接続します。 ただし、環境内で プロキシ サーバーが設定されている場合には、Application Control はプロキシ サーバー経由で McAfee GTI サーバーに接続します。 プロキシ サーバーを設定するには、[メニュー] 、 [設定] 、 [サーバー設定] 、 [プロ キシ設定] の順に選択します。 Solidcore ePO 拡張ファイルとエンドポイントは、McAfee GTI サーバーに接続してレピュテーションを検索しま す。 ファイアウォールまたはプロキシを適切に設定して、McAfee ePO サーバーがポート 443 で cwl.gti.mcafee.com に接続できるようにしてください。 また、McAfee GTI サーバーと通信できるように、エ ンドポイントとの時間を正確に設定してください。 レピュテーション ベースのワークフロー Application Control は、バイナリ ファイルと証明書のレピュテーションを関連ソース (McAfee GTI、TIE サーバ ー) から取得します。 McAfee ePO のワークフロー 以下では、McAfee ePO コンソールから使用可能な Application Control のレピュテーション ベース ワークフロー について説明します。 Application Control は、一定の間隔で McAfee GTI サーバーに接続し、組織内にあるバイナリ ファイルと証明書 のレピュテーション情報を取得します。 環境内で TIE サーバーが設定されている場合、Application Control は TIE サーバーからレピュテーションの変更通知を受信します。 ファイルに対する組織のレピュテーションが変更されると、[レピュテーションの変更通知] が [サーバー タスク ロ グ] ページに表示されます。 ファイルに対する組織のレピュテーションに行われた最後の変更に従ってページの値 が更新され、[レピュテーション変更] が [サーバー タスク ログの詳細] ページの [レピュテーションの変更通知] に 追加されます。 [レピュテーション変更] 項目で、インベントリ項目のレピュテーションに対する変更を確認します。 各項目には、影響を受ける 1 つ以上のバイナリ ファイルの情報が含まれます。 影響を受ける項目ごとに、前のレピ ュテーションと更新後のレピュテーション、ファイルの SHA-1 を確認できます。 何らかの理由で TIE サーバーと の接続が一時的に切断されると、通信の再開後に未送信の通知が同期されます。 64 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 ファイルと証明書のレピュテーション 6 エンドポイントのワークフロー 以下では、エンドポイントの Application Control で使用可能なレピュテーション ベースのワークフローを説明し ます。 Solidcore クライアントは、エンドポイントでレピュテーション ベースの実行をサポートしています。 ユーザーが バイナリ ファイルを実行すると、Application Control は次のようにレピュテーション ソースからレピュテーショ ン情報を取得します。 • TIE サーバーが設定されている場合、エンドポイントはサーバーに接続し、バイナリ ファイルまたはファイルに 関連するすべての証明書のレピュテーションを取得します。 • TIE サーバーがインストールされていないか、使用不能な場合、エンドポイントは McAfee GTI サーバーに接続 し、バイナリ ファイルまたはファイルに関連するすべての証明書のレピュテーションを取得します。 レピュテーションの取得元が TIE サーバーかどうか、あるいはエンドポイントで McAfee GTI サーバーが有効どうか 確認するには、エンドポイントでそれぞれ [レピュテーション (TIE)] または [レピュテーション (GTI)] プロパティの 値を確認します。 プロパティに移動するには、[システム] ページでエンドポイントの行をクリックし、[製品] タブの [Solidcore] 行をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 65 6 Application Control の準備 ファイルと証明書のレピュテーション 以下では、エンドポイントがバイナリ ファイルを実行するかどうか決める方法を簡単に説明します。 1 2 ファイルに明示的な禁止ルールが存在するかどうか確認します。 • 存在する場合、ファイルの実行を阻止します。 • 存在しない場合、ファイルと証明書のレピュテーションを確認します。 定義されたレピュテーションの設定に従い、レピュテーションに応じてファイルの実行を許可またはブロックし ます。 レピュテーション以外に、Application Control はルールとポリシーを使用してファイルの実行状況を判断します。 詳細については、『Application Control がファイルに実行する検査』を参照してください。 66 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 6 Application Control の準備 ファイルと証明書のレピュテーション ソースから受信するレピュテーション値 以下では、TIE サーバーと McAfee GTI サーバーから提供されるレピュテーション値について説明します。 TIE サーバーから TIE サーバーは、バイナリ ファイルまたは証明書について様々なプロバイダー (ATD、McAfee GTI、ETL など) か ら取得したスコアを提供します。これらのスコアは、Application Control は、これらのスコアを使用してレピュテ ーションを計算します。 提供される値は次のとおりです。 • 信頼できることが確認されている • 不正な可能性がある • 信頼できる可能性が非常に高い • 不正な可能性が非常に高い • 信頼できる可能性がある • 不正なことが確認されている • 不明 • 未設定 McAfee GTI から McAfee GTI は、バイナリ ファイルについてレピュテーション値と分類値を提供します。 • ファイル ハッシュのレピュテーション - 信頼できるファイルか、不正なファイルかを表します。 McAfee GTI のページでは、Application Control から取得した情報に従ってアプリケーションとファイルがカテゴリに分類さ れます。 • ファイル ハッシュの分類 - ファイルの信頼性または信用性を表します。 割り当てられた値によってファイル の状態 (信用、不明または不正) が分かります。 McAfee GTI は、証明書についてレピュテーションを表すスコアを提供します。 McAfee GTI のファイル分類 McAfee GTI の証明書スコア 説明 known_clean 99 信頼できることが確認されている analysed_clean、assumed_clean 85 信頼できる可能性が非常に高い raiden_analyzed_clean、noise_clean 70 信頼できる可能性がある unknown 50 不明 assumed_dirty、assumed_dirty2 30 不正な可能性がある assumed_dirty3、assumed_dirty4 15 不正な可能性が非常に高い pup、trojan、virus、app 1 不正なことが確認されている なし 0 未設定 レピュテーションの計算方法 McAfee ePO コンソールで、様々なソースからファイルのレピュテーション情報を取得し、レピュテーションを計算 できます。 環境内にあるバイナリ ファイルの最終レピュテーションを判断するときに、Application Control は設定済みのソー スから提供される値とパラメーターを使用します。 以下では、レピュテーションの計算で使用されるパラメーターと その値について説明します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 67 6 Application Control の準備 ファイルと証明書のレピュテーション パラメーター TIE サーバー 説明 『レピュテーション ソース』を参照。 可能な値 対象 • 信頼できることが確認 されている • バイ ナリ ファ イル • 信頼できる可能性が非 常に高い • 信頼できる可能性があ る • 証明 書 • 不明 • 不正な可能性がある • 不正な可能性が非常に 高い • 不正なことが確認され ている Application Control によ るレピュテーション Application Control によるレピ ュテーションは、以 前の [エンタープラ イズ信用レベル] で あり、基本的に古い バージョンから 7.0 リリースに移行する 場合の基本的な選択 肢となります。 こ れにより、既存顧客 との接続性が維持さ れ、7.0 リリースに 移行する前に、 Application Control の信用レベ ルがすべて評価され ます。 設定すると、 エンドポイントでフ ァイルの実行を判断 するときに、この値 は使用されません。 McAfee ePO コン ソールに表示される 最終ファイル レピ ュテーションの計算 にのみ使用されま す。 68 Application Control は、バイナリ ファイルに • 不正なことが確認され 対して Application Control の値を使用し、エ ている ンタープライズ信用レベルまたはレピュテーシ ョンを追跡できます。 編集すると、ファイルの • 不明 この値によってファイルの既存のレピュテーシ • 信頼できることが確認 ョンが上書きされます。 されている たとえば、組織で社内アプリケーションを実行 している場合には、そのアプリケーションは自 社専用なので、不明なアプリケーションと見な されます。 アプリケーションを信用しているた め、レピュテーションを編集すると、信用され たファイルとして分類できます。 レピュテーシ ョンを編集するには、[アプリケーション別] ペ ージの [バイナリ] ペインでファイルを選択し て [アクション]、[Application Control でレピ ュテーションを設定する] の順に選択します。 McAfee Change Control および McAfee Application Control 7.0.0 バイナ リ ファ イル 製品ガイド 6 Application Control の準備 ファイルと証明書のレピュテーション パラメーター 説明 可能な値 対象 Advanced Threat Defense 信用レベル 環境で ATD が設定されている場合、TIE サーバ ーが ATD とリアルタイムで連動し、マルウェア の詳細な評価と分類データを提供します。 ウイ ルス対策のシグネチャ、レピュテーション、リ アルタイムのエミュレーションだけでなく、詳 細な静的コード分析と動的分析 (サンドボック ス) で実際の動作を分析します。 • 不明 バイナ リ ファ イル エンドポイントで ATD への送信が有効か どうか確認するには、エンドポイントの [ATD 送信] プロパティの値を確認します。 プロパティに移動するには、[システム] ペ ージでエンドポイントの行をクリックし、 [製品] タブの [Solidcore] 行をクリック します。 McAfee GTI 信用分類 『レピュテーション ソース』を参照。 • 不正な可能性がある • 不正な可能性が非常に 高い • 不正なことが確認され ている • 信頼できることが確認 されている • 信頼できる可能性が非 常に高い • 信頼できる可能性があ る • バイ ナリ ファ イル • 証明 書 • 不明 • 不正な可能性がある • 不正な可能性が非常に 高い • 不正なことが確認され ている McAfee ePO コンソールで最終レピュテーションを計算するときに、Application Control は、バイナリ ファイルと ファイルに関連する証明書の値を使用します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 69 6 Application Control の準備 ファイルと証明書のレピュテーション 以下では、未署名ファイルの最終レピュテーションの計算方法を説明します。 70 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 ファイルと証明書のレピュテーション 6 以下では、署名付きファイルの最終レピュテーションの計算方法を説明します。 TIE サーバーでファイルまたは関連する証明書のレピュテーションが「不明」に設定されている場合、ファイルまた は証明書に対する McAfee GTI の評価は考慮されません。 また、最終レピュテーションの特定に使用されるロジッ クに従って、ファイルのレピュテーション ソースが判断されます。 詳細については、 McAfee サポート に連絡して ください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 71 6 Application Control の準備 ファイルと証明書のレピュテーション レピュテーション ソースを設定する 以下では、Application Control が TIE サーバーまたは McAfee GTI サーバーに接続できるように設定する方法を 説明します。 Solidcore 拡張ファイルと Solidcore クライアントは TIE サーバーに接続します。 環境で TIE サーバーが使用で きない場合、Application Control エンドポイントは McAfee GTI サーバーからファイルと証明書のレピュテーショ ンを取得します。 Solidcore 拡張ファイルは、TIE サーバーからの変更通知を受信し、McAfee GTI サーバーからフ ァイルと証明書のレピュテーションを取得します。 72 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 ファイルと証明書のレピュテーション コンポーネン TIE サーバー ト 6 McAfee GTI サーバー Solidcore 拡 環境内で TIE サーバーがインストールされ、 張ファイル McAfee Agent 5.0 と McAfee Data Exchange Layer (DXL) が設定されている場 合、Application Control は TIE サーバーに自 動的に接続します。 TIE サーバーのインスト ールと設定方法については、『McAfee Threat Intelligence Exchange インストール ガイ ド』を参照してください。 ® Solidcore 拡張ファイルをインストールすると、 McAfee GTI サーバーの設定が登録済みのサーバ ーとして McAfee ePO コンソールに追加されま す。 このサーバーがバイナリと証明書のレピュテ ーション情報を取得します。 McAfee GTI サーバーの設定を編集するには、次の 手順を実行します。 1 [メニュー] 、 [設定] 、 [登録済みのサーバー] の順に選択します。 2 [McAfee GTI サーバー] を選択して、[アクショ ン] 、 [編集] の順にクリックします。 [登録済みのサーバー ビルダー] ページが表示さ れます。 3 [次へ] をクリックします。 4 McAfee GTI サーバーの設定 (アドレス、証明 書、ホスト名、ホスト名、ユーザーの認証情報な ど) を編集します。 5 [テスト接続] をクリックして、接続を確認しま す。 6 [保存] をクリックします。 指定した設定は、Solidcore 拡張ファイルと Solidcore エンドポイントが McAfee GTI サーバ ーと接続する場合に使用されます。 Solidcore エ デフォルトでは、Solidcore クライアントを実行しているすべてのエンドポイントにポリシーが適用 ンドポイント され、レピュテーション ベースの実行が有効になります。 エンドポイントが設定済みのレピュテー ション ソースに接続する方法はポリシーで設定します。 エンドポイントの設定を編集するには、次 の手順に従います。 1 McAfee ePO コンソールで、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択しま す。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [Application Control オプション (Windows)] カテゴリを選択します。 4 [My Default] ポリシーをクリックして、ポリシーの編集を開始します。 5 [レピュテーション] タブで [レピュテーション ベースの実行とは] をクリックして、レピュテー ションによってファイルの実行方法が変わる方法を確認します。 6 レピュテーション ソースを指定します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 73 6 Application Control の準備 メモリ保護技法 コンポーネン TIE サーバー ト McAfee GTI サーバー TIE サーバー、McAfee GTI サーバーまたは両方のサーバーを使用できます。 両方のサーバーを 使用する場合、TIE サーバーがプライマリ レピュテーション ソースになります。 McAfee GTI サーバーは代替ソースとして機能し、TIE サーバーに接続不能な場合にのみ使用されます。 7 エンドポイントでの実行を自動的に許可またはブロックするレピュテーション レベルを指定しま す。 8 環境で ATD が設定されている場合には、ATD の設定を指定します。 • 分析用のファイルを ATD に自動的に送信するレピュテーション レベルを指定します。 • ATD に送信するファイルの最大サイズを指定します。 9 ポリシーを保存し、関連するエンドポイントに適用します。 レピュテーション情報の使用 レピュテーション情報を使用すると、環境内 d 検出された不正なファイルに対して的確な判断を行うことができま す。 レピュテーション情報は、[ポリシー検出]、[アプリケーション別] など、Application Control の様々なページで使 用できます。 要求を処理するときや、ルールやポリシーを定義するときに、レピュテーション情報を判断材料にする ことができます。 環境内で不正なファイルまたは証明書が検出されると、[不正なファイルの検出] イベントが生成されます。 また、 バイナリ ファイルのレピュテーションが「不正」から「信用」に変わると、[不正なファイルが信頼されました] イ ベントが生成されます。 これらのイベントを表示するには、[メニュー] 、 [レポート] 、 [Solidcore イベント] の 順に移動して、[メニュー] 、 [レポート] 、 [脅威イベント ログ] の順に選択します。 イベントの詳細を表示する と、脅威の種類を識別し、情報の取得元 (TIE サーバーまたは McAfee GTI サーバー) を確認できます。 必要であれ ば、自動応答で [組織で不正なファイルが検出された場合] を有効にして、これらのイベント通知を送信するメール アドレスを指定できます。 自動応答の作成方法については、 『McAfee ePolicy Orchestrator 製品ガイド』を参照し てください。 メモリ保護技法 Application Control では、ゼロデイ アタックを防ぐため、複数のメモリー保護技術が提供されています。 メモリー保護技術は、Windows のネイティブ機能または署名ベースのバッファー オーバーフロー対策製品にさらな る保護機能を提供します。 これらのメモリー保護技術は、64 ビット プラットフォームを含むすべての Windows オ ペレーティング システムで使用できます。 これらは、UNIX プラットフォームで使用できません。 使用可能な技術は、次の 2 種類のエクスプロイトを阻止します。 • 直接コードを実行することによるバッファ オーバーフロー • ROP(Return-Oriented Programming)を使用した間接的なコード実行によるバッファ オーバーフロー メモリー保護技術によって阻止されたエクスプロイトの詳細と最新のリストを確認するには、McAfee Threat Intelligence Services (MTIS) セキュリティ アドバイザリに登録してください。 74 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 メモリ保護技法 6 技法 説明 CASP - 重要なアドレス空間保護 (mp-casp) CASP は、非コード領域からコードから実行されるコードを無効にするメモリ ー保護技術です。 通常、非コード領域からコードは実行されません。バッフ ァー オーバーフローが悪用されている可能性があります。 CASP は、64 ビット Windows プラットフォームで使用できる DEP (データ 実行防止) 機能とは異なります。 DEP 機能は、非コード領域でのコードの実 行をすべて防ぎます (通常ハードウェアのサポートを使用する) が、一方、 CASP は、そのようなコードの実行を許可しますが、そのようなコードが CreateProcess()、DeleteFile() など意味のある API 呼び出しを行うことを 禁止します。 意味のある脆弱性実証コードが、これら API のうち少なくとも 1 つを実行するとしても、CASP が阻止するため、被害を与える悪用はできま せん。 CASP を使用すると、一部のプロセスを除き、Windows システムで実行され るすべてのプロセスが保護されます。 たとえば、Windows の整合性保護機 能ですでに保護されているプロセスは保護されません。 対応オペレーティン 32 ビット - Windows Server 2008、Windows グ システム Vista、Windows 7、Windows Embedded 7、 Windows 8、Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows 10、 Windows 10 IoT Enterprise デフォルトの状態 有効 生成されるイベント PROCESS_HIJACK_ATTEMPTED NX - No eXecute (mp-nx) NX 機能は、Windows のデータ実行防止 (DEP) 機能を活用し、書き込み可能 なメモリー領域 (スタック/ヒープ) でコードを実行しようとするエクスプロ イトに対するプロセスを保護します。 ネイティブ DEP の最上層で、MP-NX は、粒度の細かいバイパス機能を提供し、McAfee ePO コンソールに表示でき る違反イベントを報告します。 Windows DEP は、非実行可能なメモリー領域からのコードの実行を防止しま す。 通常、非実行可能領域からのコードの実行は異常なイベントになります。 この場合、バッファー オーバーフローが発生している可能性があります。 不 正なエクスプロイトは、このような非実行可能領域からコードを実行しようと します。 対応オペレーティン 64 ビット -Windows Server 2008、Windows グ システム Server 2008 R2、Windows Vista、Windows 7、 Windows Embedded 7、Windows 8、Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows 10、Windows 10 IoT Enterprise、 Windows Server 2012、Windows Server 2012 R2 この機能は、IA64 アーキテクチャでは使用できません。 デフォルトの状態 有効 生成されるイベント NX_VIOLATION_DETECTED 強制 DLL 再配置 (mp-vasr-forced-relocation) この機能は、Windows のネイティブ ASLR 機能から解除されたダイナミック リンク ライブラリ (DLL) を強制的に再配置します。 これらの DLL に依存す る一部のマルウェアは、常に同様かつ既知のアドレスにロードされます。 こ のような DLL を再配置することにより、攻撃を防ぐことができます。 対応オペレーティン 32 ビットと 64 ビット -Windows Server 2008、 グ システム Windows Server 2008 R2、Windows Vista、 Windows 7、Windows Embedded 7、Windows 8、 Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows 10、Windows 10 IoT Enterprise、Windows Server 2012、Windows Server 2012 R2 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 75 6 Application Control の準備 ルール グループとは 技法 説明 デフォルトの状態 有効 生成されるイベント VASR_VIOLATION_DETECTED 一部のアプリケーションは、毎日の処理の一部として特殊な方法でコードを実行する場合があるため、メモリー保護 機能により実行が阻止されることがあります。 こうしたアプリケーションの実行を許可するために、メモリー保護技 術を無視する特定のルールを定義できます。 『バイパス ルールを定義する』を参照してください。 ルール グループとは ルール グループとはルールの集合です。 任意の McAfee ePO ベース ポリシーにルールを直接追加できますが、ポ リシー内で定義されたルールはそのポリシーに固有となります。 対照的に、ルール グループは類似または関連ルー ルのセットを照合する独立した単位です。 ルール グループを定義したら、ルール グループを様々なポリシーに関連付けることで、ルール グループ内のルール を再利用できます。 また、ルールを変更する必要がある場合、ルール グループのルールを更新すると、すべての関 連ポリシー全体に変更が自動的に転送されます。 よく使用するアプリケーションをスムーズに実行できるように、ルール グループが事前に定義されています。 事前 定義ルール グループを編集できますが、既存のルール グループを基にしてルール グループを作成できます。 必要に 応じて、ルール グループをインポートまたはエクスポートすることもできます。 ポリシー全体で類似ルールを定義する必要がある場合、ルール グループを使用すると、ルールの定義にかかる労力を 大幅に削減できます。 多数のエンドポイント全体にソフトウェアを配備する大規模な環境の場合、配備に関する時間 と労力を最小限にするため、ルール グループを使用してください。 ルール グループの例 以下では、ルール グループの使用例を説明します。 複数サーバー上で Oracle を実行する組織があるとします。 各サーバーは、人事部、技術部および経理部がそれぞれ 異なる目的で使用します。 ルールの冗長性を削減するには、ルールを含む Application Control ルール グループ (名前は AC-Oracle) を定義し、Oracle 用の関連更新プログラムが機能するように定義します。 ルール グループを定義すると、これらのルール グループを異なる部門で再利用できます。 つまり、人事部のサーバ ー ポリシーを定義するとき、人事部サーバー上にインストールされたその他のアプリケーション用のルール グルー プと共に AC-Oracle ルール グループをポリシーに追加します。 同様に、AC-Oracle ルール グループを技術部サー バーと経理部サーバー用の関連ポリシーに追加します。 ポリシーの定義後に重要なファイルのルールが作成されて いない場合には、すべてのポリシーが自動的に更新されるように、ルール グループを直接更新してください。 ルール グループの所有権 ユーザーは、自身が所有するルール グループを編集または削除できます。 ルール グループを作成したユーザーが、ルール グループの所有者に自動的に設定されます。 ルール グループを編集 または削除できるのは、所有者と McAfee ePO 管理者だけです。 管理者は、他のユーザーに所有権を割り当てたり、 所有者の所有権を取り消すことができます。 この場合、所有権は McAfee ePO 管理者に自動的に付与されます。 バージョン 6.2.0 以降の拡張ファイルにアップグレードすると、McAfee ePO 管理者は企業内のすべてのルール グル ープの所有者になります。 すべての所有者のルール グループを編集できるのは、McAfee ePO 管理者だけです。 McAfee ePO 管理者は、必要に応じて他のユーザーにグループ所有権を割り当てる必要があります。 ルール グループを所有していないユーザーは、ルール グループとポリシー割り当てを表示して、ルール グループを 複製したり、ポリシーにルール グループを追加できます。 所有者または McAfee ePO 管理者がルール グループの ルールを更新した場合、この変更は関連するすべての McAfee ePO ポリシーに適用されます。 76 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 証明書について 6 グループ管理者以外の管理者が McAfee ePO によって作成されたルール グループを使用するときに、ルール グルー プを維持しない場合には、このシナリオが適しています。 このシナリオが組織の要件を満たしていない場合には、所 有権のないルール グループを複製してポリシーを割り当ててください。 これにより、自身が複製後のポリシーの所 有者となります。 証明書について 証明書とは、保護対象のエンドポイント上で実行を許可する信用証明書で、ソフトウェア パッケージに関連付けられ ています。 信用できる証明書として証明書を追加すると、証明書によって署名されたすべてのアプリケーションは許 可されます。 Application Control は、X.509 証明書のみサポートしています。 エンドポイントで、信用できる証明書によって署名されたファイルが追加または変更したバイナリとスクリプト ファ イルは、ホワイトリストに自動的に追加されます。 Windows プラットフォームの場合のみ、信用できる証明書を設 定できます。 たとえば、信用できる証明書として Adobe のコード署名証明書を追加すると、Adobe が発行して Adobe の証明書で署名されるすべてのソフトウェアは実行を許可されます。 任意の組織内アプリケーションに保護対象のエンドポイント上での実行を許可するには、内部の証明書を使用してア プリケーションに署名できます。 これを実行すると、証明書によって署名されたすべてのアプリケーションが許可さ れます。 エンドポイントで、証明書によって署名されたファイルが追加または変更したバイナリとスクリプト ファ イルは、ホワイトリストに自動的に追加されます。 更新プログラム プロセスについて 更新プログラム プロセスは、エンドポイントの更新が許可されたアプリケーションです。 プログラムが更新プログラムとして設定されている場合、新しいソフトウェアをインストールしたり、既存のソフト ウェアを更新したりすることができます。 たとえば、Adobe 8.0 更新プログラムを更新プログラムとして設定する 場合、必要なファイルすべてに定期的にパッチを適用できます。 更新プログラムは、グローバルに適用されます。アプリケーションまたはライセンス特有のものではありません。 プ ログラムが更新プログラムとして定義されると、保護されたファイルを変更できます。 Application Control と Change Control の両方を使用している場合、Application Control ポリシーで定義された更新プログラムは、 Change Control ポリシーで定義されたルールで保護されるファイルも変更できます。 更新プログラムは自動的に承認されません。 承認するには、更新プログラムがホワイトリストに存在するか、明示的 な承認を受けている必要があります (許可されたバイナリとしてポリシーで定義されているか、SHA-1 に基づいて更 新プログラムとして追加されている場合)。 更新プログラム権限をバイナリ ファイルに割り当てる場合には慎重に 行ってください。 たとえば、cmd.exe を更新プログラムとして設定し、この更新プログラムから実行可能ファイル を起動する場合、実行可能ファイルは保護対象エンドポイントで任意の変更を加えることができます。 セキュリティー ギャップを避けるため、1 つのファイルを許可されたバイナリと更新プログラムの両方に設定しない でください。 更新プログラムとして設定する候補としては、Tivoli、Opsware、Microsoft Systems Management Server (SMS)、Bladelogic などのソフトウェア配布アプリケーションや、プログラム自体を頻繁に更新する必要があるプ ログラムなどがあります。 Application Control には、一般的なアプリケーションの事前定義ルールが含まれます。 このルールは、場合によって、エンドポイントを頻繁に更新する必要があります。 たとえば、ルール グループは Altiris、SCCM、McAfee 製品に対して定義されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 77 6 Application Control の準備 インストーラーについて スクリプトを更新プログラムとして追加することもできます。 ただし、Windows 8、Windows Embedded 8、 Windows 8.1、Windows Embedded 8.1、Windows 10、Windows Embedded 10、Windows Server 2012、 Windows Server 2012 R2 では使用できません。 インストーラーについて プログラム (またはインストーラー) が認証済みインストーラーとして設定されるとき、認証済みのバイナリ属性と 更新プログラム属性の両方を取得します。 インストーラーがエンドポイント上に元々存在していたかどうかに関係 なく、そのエンドポイント上のソフトウェアの実行または更新が許可されます。 Windows プラットフォームの場合 のみインストーラーを設定できます。 認証済みインストーラーは、ポリシーを設定する際に指定されたインストーラーの SHA-1 値に基づいて許可されま す。 インストーラーのソース (あるいは、このインストーラーをエンドポイントに保存した方法) に関係なく、 SHA-1 値が一致すればインストーラーは実行できるようになります。 ただし、インストーラーのレピュテーション が「不正」の場合、実行は許可されません。 たとえば、インストーラーとして Microsoft Office 2010 スイートの インストーラーを追加する場合、SHA-1 が一致すると、インストーラーは保護対象エンドポイント上で Microsoft Office スイートをインストールできるようになります。 インストールとアンインストールの制御 パッケージ コントロール機能を使用して、ソフトウェア パッケージのインストールとアンインストールを管理しま す。 この機能を使用すると、ソフトウェア パッケージのインストール、アンインストール、アップグレード、修復を許可 または拒否できます。 未承認のインストールとアンインストールは、この機能によってブロックされます。 パッケージ コントロールは、機能リストで pkg-ctrl と表示されます。この機能は、Windows プラットフォームの すべての種類のインストーラーに対応しています。 デフォルトでは、この機能は有効になっています。 この機能を 使用すると、レピュテーション情報と定義済みルールに従ってインストールを許可またはブロックできます。 • 78 レピュテーション情報が使用可能な場合、この機能を使用すると、これらの条件に応じてソフトウェア パッケー ジのインストールを許可またはブロックできます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 インストーラーについて 6 インストーラーの 種類 説明 条件 Microsoft インス トーラー (MSI) .msp、.mst、.msm 証明書 (インストーラー ファイルの署名に使用されている証明書) の など、複数のバー レピュテーションが「信用」の場合、ソフトウェア パッケージのイン ジョンに対応して ストールが許可されます。 います。 EXE ベースのイン インストーラーに インストーラー ファイルが更新プログラムとして設定されている場 組み込まれた ストーラー 合、インストーラー ファイルのレピュテーションが「信用」の場合、 MSI ファイル。 あるいは関連する証明書 (インストーラーに含まれる MSI ファイルの 署名に使用されている証明書) が信用されている場合、ソフトウェア パ ッケージのインストールが許可されます。 MSI ベース以外の MSI ファイルを パッケージ コントロールは、次の条件を評価してインストールを許可 インストーラー 含まないインスト またはブロックします。 ーラー。 • インストーラー ファイルまたは証明書 (インストーラー ファイルの 署名に使用された証明書) のレピュテーション。 レピュテーション が「信用」の場合に許可します。 • ヒューリスティック分析によるインストーラー ファイルの識別 • インストーラー ファイルが汎用ランチャー プロセス (explorer .exe、svchost.exe など) のリストに含まれているかどうかの確 認。 たとえば、インストーラー ファイルのレピュテーションまたはインス トーラー ファイルの署名に使用された証明書のレピュテーションが 「信用」で、パッケージ コントロールがヒューリスティック分析でイン ストーラー ファイルであることを認識し、インストーラー ファイルが 汎用ランチャー プロセスのリストから除外されている場合にのみ、ソ フトウェアのインストールが許可されます。 これらのすべての条件を 満たしていないと、インストールが許可されません。 • レピュテーション情報が使用できない場合には、更新プログラム (名前またはパス別)、ユーザー、ディレクトリ、 更新プログラムの証明書、更新プログラムの SHA-1 などの定義済みルールに従ってインストールが許可またはブ ロックされます。 これらのルールの詳細については、『エンドポイントに対する変更の許可』を参照してくださ い。 この機能を無効にすると、ソフトウェアのインストールとアンインストールはすべてブロックされます。 この機能は、リリース 6.1.1 と 6.1.2 で再設計されました。 詳細については、『McAfee Application Control 6.1.1 製品ガイド』 と 『McAfee Application Control 6.1.2 製品ガイド』 (スタンドアロン構 成の場合) を参照してください。 パッケージ コントロールには次のサブ機能があります。 サブ機能 説明 アンインス トールの許 可 ソフトウェア パッケージのアンインストールを制御します。 この機能を有効にすると、ソフトウェ アのアンインストール、アップグレード、修復がすべて許可されます。 デフォルトでは、この機能は 有効になっています。機能リストでは pkg-ctrl-allow-uninstall と表示されます。 パッケージ コントロー ルのバイパ ス パッケージ コントロール機能のバイパスを制御します。 この機能を有効にすると、パッケージ コン トロール機能がバイパスされ、ソフトウェアのインストールとアンインストールがすべて許可されま す。 デフォルトでは、この機能は無効になっています。機能リストでは pkg-ctrl-bypass と表示 されます。 デフォルトでは、パッケージ コントロールとアンインストール許可が有効になっています。 システムから任意のソ フトウェアをアンインストールできます。 ただし、アンインストール バイナリのレピュテーションが不正 (「不正 なことが確認されている」、 「不正な可能性が非常に高い」、 「不正な可能性がある」) な場合、パッケージ コントロー McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 79 6 Application Control の準備 ルール設定の権限 ルの設定に関係なく、ソフトウェアのアンインストールは許可されません。 インストーラー ファイルまたは MSI フ ァイルのレピュテーションが「不正」の場合、パッケージ コントロールの設定に関係なく、ソフトウェアのインスト ールは許可されません。 デスクトップと System Center Configuration Manager (SCCM) で管理された環境の 場合には、このデフォルトの設定を使用してください。 この設定ではソフトウェアの変更、修復、削除またはアップ グレード操作が許可されるので、次の場合に便利です。 • 明示的なソフトウェア アップグレード。 • Windows 更新によるソフトウェア アップグレード。 • チェーン インストールで、新しいソフトウェア パッケージのインストール中に既存のソフトウェアのアップグレ ードを行う場合。 • 電源障害またはインストール中にシステムを再起動したときのロールバック。 これは、中断したインストールと いいます。 インストーラーは実行中のインストール操作を追跡します。 再開すると、中断したインストールをロ ールバックするか、中断地点からインストールを再開します。 必要であれば、デフォルトの設定を変更できます。 • アンインストール許可機能を無効にする - システムからのソフトウェアのアンインストールを防止します。 こ の設定は、固定機能デバイスまたはサーバー環境の場合、アップグレードを除くすべてのアクションに使用しま す。 この設定ではソフトウェアの変更、修復、削除またはアップグレードがブロックされるので、サーバー環境 でソフトウェアをアップグレードする場合には、デフォルトの設定を切り替える必要があります。 • パッケージ コントロール機能のバイパスを有効にする - バイナリ ファイルのレピュテーションが「不正」な場 合を除き、システムですべてのソフトウェアのインストールとアンインストールを許可します。 • パッケージ コントロール機能を無効にする - システムですべてのソフトウェアのインストールとアンインスト ールを防止します。 • システムを更新モードに切り替える - バイナリ ファイルのレピュテーションが「不正」な場合を除き、システ ムですべてのソフトウェアのインストールとアンインストールを許可します。 パッケージ コントロールの設定方法については、『パッケージ コントロールを設定する』を参照してください。 ルール設定の権限 McAfee ePO 管理者は、必要に応じて Solidcore の設定権限を設定できます。 企業内で複数の管理者がいる場合に、各管理者の権限を見直して管理します。 権限を割り当てるタイミング 通常、McAfee ePO 管理者はグローバル管理者で、企業全体を管理し、Solidcore のすべてのページにアクセスでき ます。 グローバル管理者以外の管理者はサイト管理者で、特定のサイトまたはホスト グループを管理します。 組織 内では、場所、セクター、機能グループでサイトを分類できます。 たとえば、異なる場所 (北、南、東、西) にサイトがある組織の場合、McAfee ePO 管理者が組織全体を管理し、サ イト管理者またはグローバル管理者以外の管理者が各サイトの管理を行います。 [ルール グループ]、[証明書]、[インストーラー] ページに対する権限 [メニュー] 、 [設定] 、 [Solidcore ルール] の順に移動すると、[ルール グループ]、[証明書]、[インストーラー] ページに対する権限を設定できます。 この権限により、これらのページで実行可能なアクションが変わります。ま た、これらのページを他の Solidcore ページから表示できるかどうかも設定できます。 [ルール グループ]、[証明書]、[インストーラー] ページに次のいずれかの権限を割り当てることができます。 デフ ォルトでは、McAfee ePO 管理者はすべてのページの編集権限を所有しています。 80 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 6 Application Control の準備 ルール設定の権限 権限 詳細 権限 なし このページはユーザーに表示されません。 表示 権限 編集 権限 たとえば、[ルール グループ] ページでユーザーに「権限なし」が付与されている場合、このタブは [Solidcore ルール] ページや [ポリシー カテゴリ] (ルール グループの割り当て) ページにも表示されませ ん。 また、ユーザーは [更新プログラム プロセス]、[証明書]、[インストーラー]、[ディレクトリ]、[ユー ザー]、[バイナリ]、[除外]、[フィルター] タブで「権限なし」を継承します。 このページはユーザーに表示されます。 ただし、ページで変更や削除などの操作は実行できません。 たとえば、[ルール グループ] ページでユーザーに「表示権限」が付与されている場合、このタブは [Solidcore ルール] ページや [ポリシー カテゴリ] (ルール グループの割り当て) ページに表示されます。 ユーザーは、ルール グループの情報を表示し、権限を確認できますが、ルール グループの編集、複製、追 加はできません。 ユーザーにタブが表示されます。また、ページで許可されているすべてのアクションを実行できます。 たとえば、[ルール グループ] ページでユーザーに「編集権限」が付与されている場合、このページは [Solidcore ルール] ページや [ポリシー カテゴリ] (ルール グループの割り当て) ページに表示され、すべ ての操作を実行します。 ルール グループ ページとポリシー ページに表示されるタブに対する権限 [ルール グループ] ページに対するユーザーの権限により、[更新プログラム プロセス]、[証明書]、[インストーラ ー]、[ディレクトリ]、[ユーザー]、[バイナリ]、[除外]、[フィルター] タブに対する権限も決まります。 [ルール グ ループ] ページで使用可能な権限は、そのページに表示されるタブの権限を表します。 必要であれば、McAfee ePO 管理者は個々のタブの権限を選択して変更できます。 [権限なし] または [表示権限] をユーザーに付与すると、一部のアクションが使用できなくなる場合があります。 ブロックされるアクション 影響を受けるページ 必要な権限... [ルール グループへの追加] アクションはブロックされま す。 [証明書] ページと [インストーラー] ページ 次のページの編集権限または変更 権限: • [Solidcore 7.0.0: Application Control] (ポリシー権限) • [ルール グループ] ページ • [インストーラー ルール] (タブ の権限) • [証明書ルール] (タブの権限) [除外イベント] アクションが [Solidcore イベント] ページ ブロックされます。 [フィルター] タブ [証明書によって許可する] が [ポリシー検出: カスタム ルール] ページでの [証明書] タブ 無効になります。 ActiveX のインストール アクティビティと証 明書に関するすべての要求 [メモリー保護をバイパスす る] アクションが無効になり ます。 [ポリシー検出: カスタム ルール] ページでの [除外] タブ メモリー保護違反アクティビティ [信用できるパスを許可] アク [ポリシー検出: カスタム ルール] ページでの [ディレクトリ] タブ ションが無効になります。 ネットワーク パスからの実行アクティビティ [要求の承認] アクションが無 [ポリシー検出: カスタム ルール] ページでの [更新プログラム プロセス]、[バイ 効になります。 バイナリ追加、バイナリ変更、アプリケーショ ナリ] または [インストーラー] タ ン実行またはソフトウェア インストールのア ブ [要求の禁止] アクションが無 クティビティ 効になります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 81 6 Application Control の準備 ルール グループを設定して管理する ブロックされるアクション 影響を受けるページ 必要な権限... [バイナリを許可] と [バイナ リを禁止] アクションが無効 になります。 [アプリケーション別] と [バイナリの詳細] ページのバイナリ [バイナリ] タブ タブ固有のルールがインポー [ルール グループ] ページ トされないため、[インポート] アクションは失敗します。 [ルール グループ] ページのタブ [助言の表示] アクションが無 [監視結果 (廃止)] ページ 効になります。 [ルール グループ] ページのタブ ルール グループを設定して管理する ルール グループ権限を設定してルール グループを作成し、関連するルールを照合します。 ルール グループをインポートまたはエクスポートして、ルール グループの設定を管理することもできます。 タスク • 22 ページの「ルール グループの所有権を変更する」 ルール グループの所有権を複数のユーザーに割り当てたり、ユーザーから所有権を削除できます。 • 83 ページの「ルール グループ タブの権限を管理する」 [ルール グループ]、[証明書]、[インストーラー] ページの権限を指定します。また、ルール グループと ポリシー ページのタブの権限も指定できます。 • 83 ページの「ルール グループの作成」 ルール グループを作成して、必要なルールを指定します。 • 24 ページの「ルール グループのインポートまたはエクスポート」 1 台の McAfee ePO サーバーから別のサーバーにルール グループ設定ツールを複製する必要がある場 合、ソースの McAfee ePO サーバーから XML ファイルにルール グループ設定をエクスポートし、XML ファイルからターゲットの McAfee ePO サーバーにインポートします。 • 26 ページの「ルール グループのインポート操作の確認」 ルール グループのインポート操作の状況を確認できます。 • 87 ページの「ルール グループの割り当て状況の表示」 すべての作成済みポリシー全体を移動する代わりに、ルール グループが使用されているすべてのポリシ ーを直接表示できます。 この機能を使用すると、各ルール グループが関連ポリシーに割り当てられてい るかどうかを簡単に検証できます。 ルール グループの所有権を変更する ルール グループの所有権を複数のユーザーに割り当てたり、ユーザーから所有権を削除できます。 開始する前に このタスクを実行するには、グローバル管理者権限が必要です。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 82 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブの [所有者] 列でルール グループの所有者をクリックして、[ルール グループの所有権] ページを開きます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 ルール グループを設定して管理する 3 ページに表示されたユーザーを選択または選択解除して、デフォルトの所有権を変更します。 4 [保存] をクリックします。 6 所有者に対する変更が、選択したグループの [所有者] 列に反映されます。 ルール グループ タブの権限を管理する [ルール グループ]、[証明書]、[インストーラー] ページの権限を指定します。また、ルール グループとポリシー ペ ージのタブの権限も指定できます。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [ユーザー管理] 、 [権限セット] の順に選択します。 2 [新規] をクリックして、権限セットを作成します。 3 権限セットの名前を入力します。 4 権限セットを割り当てるユーザーを選択します。 選択したレベルの権限がユーザーに付与されます。 1 つのユーザー アカウントに複数の権限セットを適用すると、これらの権限セットは集約されます。 環境内のユ ーザーに権限を付与する際は、この点に注意してください。 『Solidcore の権限セット』を参照してください。 5 [Solidcore 全般] 権限カテゴリで [編集] をクリックします。 6 必要に応じて、[証明書]、[インストーラー]、[ルール グループ] に権限を付与します。 7 必要に応じて、ルール グループとポリシー ページのタブ ([更新プログラム プロセス]、[証明書]、[インストー ラー]、[ディレクトリ]、[ユーザー]、[バイナリ]、[除外]、[フィルター]) を選択して権限を付与することもでき ます。 これは、[ルール グループ] ページの権限に基づいて行われます。 詳細については、 『ルール設定の権限』を参照 してください。 8 [保存] をクリックします。 ルール グループの作成 ルール グループを作成して、必要なルールを指定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブから [Application Control] を選択します。 既存ルール グループを開始点として定義したり、新規ルール グループを定義できます。 既存ルール グループを 変更するには、手順 3、5、6、 7 を完了します。 新規ルール グループを定義するには、手順 4、5、6、7 を完 了します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 83 6 Application Control の準備 ルール グループを設定して管理する 3 既存ルール グループに基づいてルール グループを作成します。 a 既存のルール グループの [複製] をクリックして、[ルール グループの複製] ダイアログ ボックスを開きま す。 b ルール グループ名を指定して、[OK] をクリックします。 ルール グループが作成され、[ルール グループ] ページに表示されます。 4 新しいルール グループを定義します。 a [ルール グループの追加] をクリックし、[ルール グループの追加] ダイアログ ボックスを開きます。 b ルール グループ名を指定します。 c ルール グループの種類とプラットフォームを選択します。 d [OK] をクリックします。 ルール グループが作成され、[ルール グループ] ページにリスト表示されます。 5 ルール グループの [編集] をクリックします。 6 必要なルールを指定します。 ルールの定義方法については、『エンドポイントに対する変更の許可』を参照してください。 7 [ルール グループを保存] をクリックします。 ルール グループのインポートまたはエクスポート 1 台の McAfee ePO サーバーから別のサーバーにルール グループ設定ツールを複製する必要がある場合、ソースの McAfee ePO サーバーから XML ファイルにルール グループ設定をエクスポートし、XML ファイルからターゲット の McAfee ePO サーバーにインポートします。 ルール グループの所有者かグローバル管理者の場合、ルール グループの XML ファイルをターゲットの McAfee ePO サーバーにインポートできます。 ただし、グローバル管理者以外の管理者の場合、自身が権限を所有しているタブに のみルールをインポートできます。 他のルールはインポートされません。詳細が [サーバー タスク ログ] ページに表 示されます。 権限の詳細については、『ルール設定の権限』を参照してください。 ルール グループを McAfee ePO サーバーにインポートすると、McAfee ePO サーバーにログオンしているユーザー がこのルール グループの所有者になります。 ルール グループを McAfee ePO サーバーからエクスポートするとき に、所有者の情報はエクスポートされません。 信用できるグループを含むルール グループをインポートまたはエクスポートする場合、ソースとターゲットの McAfee ePO サーバーの Active Directory サーバーが、同じドメイン名、サーバー名または IP アドレスで設定され ていることを確認してください。 ルール グループをインポートまたはエクスポートするには、McAfee ePO コンソールまたは Web サービスの API を使用します。 タスク 84 • 24 ページの「McAfee ePO コンソールを使用する」 環境によっては、McAfee ePO コンソールでルール グループのインポートまたはエクスポートを実行で きます。 • 25 ページの「Web サービス API を使用する」 セットアップによっては、Application Control と Change Control が提供する Web サービス API を 使用して、ルール グループのインポートまたはエクスポートを実行できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 ルール グループを設定して管理する 6 McAfee ePO コンソールを使用する 環境によっては、McAfee ePO コンソールでルール グループのインポートまたはエクスポートを実行できます。 また、ルール グループを XML ファイルにエクスポートし、XML ファイルを編集してルール グループに必要な変更 を加えてから、変更されたルール グループを使用する McAfee ePO サーバーにファイルをインポートすることもで きます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブで、次のいずれかの手順を完了します。 • ルール グループをインポートするには、[インポート] をクリックし、ルール グループ ファイルを参照およ び選択して、[OK] をクリックします。 インポート中には、ルール グループを上書きするかどうかを指定で きます (名前が同じルール グループを既存ルール グループとしてインポートする場合)。 • 選択したルールグループを XML ファイルにエクスポートするには、ルール グループを選択し、[エクスポー ト] をクリックしてファイルを保存します。 Web サービス API を使用する セットアップによっては、Application Control と Change Control が提供する Web サービス API を使用して、 ルール グループのインポートまたはエクスポートを実行できます。 タスク 1 コマンド プロンプトで次のディレクトリに移動します。 <ePO インストール ディレクトリ>\Remote‑Client\ 例: C:\Program Files\McAfee\ePolicy Orchestrator\Remote‑Client\ 2 次のコマンドを実行して、McAfee ePO シェル クライアントに接続します。 shell-client.bat <eposerverip:epoport> <epouserid> <epopassword> https post 例: shell-client.bat <xxx.xx.xx.xxx:xxxx> admin testP@ssword https post 3 必要であれば、次の Web サービス API を使用します。 Web サービス API 説明 scor.rulegroup.find (ruleGroupOS, ruleGroupType, ruleGroupName) すべての Solidcore ルールグループのリストから必要なルール グループを検 索します。 このサービスは、次のパラメーターを使用します。 scor.rulegroup.export (ruleGroupOS, ruleGroupType, ruleGroupName, exportFileName) ruleGroupOS (必須) ルール グループに関連するオペレーティング シス テム。 使用可能な値は WIN と UNIX です。 ruleGroupType (必須) ルール グループに関連する製品。 可能な値は、 APPLICATION_CONTROL、CHANGE_CONTROL、 INTEGRITY_MONITOR です。 ruleGroupName (任意) ルール グループの名前。 ソース McAfee ePO サーバーからルール グループの情報をエクスポートしま す。 ルール グループの情報を XML 形式で McAfee ePO サーバーにエクスポ ートすることもできます。 このサービスは、次のパラメーターを使用します。 ruleGroupOS McAfee Change Control および McAfee Application Control 7.0.0 (必須) ルール グループに関連するオペレーティング シス テム。 使用可能な値は WIN と UNIX です。 製品ガイド 85 6 Application Control の準備 ルール グループを設定して管理する Web サービス API 説明 ruleGroupType (必須) ルール グループに関連する製品。 可能な値は、 APPLICATION_CONTROL、CHANGE_CONTROL、 INTEGRITY_MONITOR です。 ruleGroupName (任意) ルール グループの名前。 ルール グループ名を指定しないと、指定したオペレー ティング システムとルール グループ タイプで編集可 能なすべてのルールがエクスポートされます。 exportFileName (任意) エクスポートしたルール グループ情報を保存する XML ファイルの名前 (c:\foo.xml、c:\foo\foo.xml など)。 XML ファイルの場所は、McAfee ePO サーバー上 にする必要があります。 値には相対パスではなく、絶対パ スを使用してください。 scor.rulegroup.import (file, override) XML ファイルのルール グループ情報をターゲット McAfee ePO サーバーに インポートします。 このサービスは、次のパラメーターを使用します。 file (必須) XML ファイルのパス。 XML ファイルの場所に応 じて、次の点に注意してください。 • XML ファイルが McAfee ePO サーバー上にある場合に は、このパラメーターに完全修飾名を指定してください。 たとえば、scor.rulegroup.import c:\abc.xml と します。 • XML ファイルがローカル システムにある場合、このパ ラメーターの値は、file:/// の後にローカル システム 上の場所を続けてください。 たとえば、 scor.rulegroup.import file=file:///c:/ abc.xml とします。 override (任意) ターゲット McAfee ePO サーバー上に同じルール グループがある場合に上書きします。 デフォルトでは、こ のパラメーターの値は false に設定されているので、ター ゲット McAfee ePO サーバー上に同じルール グループが 存在しても上書きされません。 ルール グループのインポート操作の確認 ルール グループのインポート操作の状況を確認できます。 ルール グループのインポート操作の状況を表示すると、操作の成否を確認できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [サーバー タスク ログ]の順に選択します。 2 [クイック検索] テキストボックスに Solidcore ルール グループのインポート というタスク名を指定して [適 用] をクリックします。 3 このサーバー タスクのステータスが [完了] になっているかどうか確認します。 タスクのステータスが [失敗] になっている場合、インポート操作は成功していません。 4 サーバー タスクをクリックして、[サーバー タスク ログの詳細] ページを開きます。 [ログ メッセージ] タブでルールの詳細を確認します。 86 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 証明書を管理する 6 ルール グループの割り当て状況の表示 すべての作成済みポリシー全体を移動する代わりに、ルール グループが使用されているすべてのポリシーを直接表示 できます。 この機能を使用すると、各ルール グループが関連ポリシーに割り当てられているかどうかを簡単に検証 できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブで、ルール グループの [割り当て] をクリックして、選択したルール グループが割り当 てられているポリシーを表示します。 証明書を管理する ルールを定義する前に証明書を追加して、証明書によって署名されたすべてのソフトウェアのインストールと実行を 許可します。 証明書が内部認証であるか、または証明機関によってベンダーに発行されるかに関係なく、証明書を追加できます。 証明書を追加するときに、更新プログラム権限を証明書に付与できます。 このオプションを選択すると、証明書によ って署名されたすべてのバイナリ ファイルが更新プログラム権限を取得することになるため、このオプションはよく 考えて使用してください。 たとえば、Internet Explorer アプリケーションを更新プログラムとして署名する Microsoft 証明書を設定する場合、Internet Explorer はインターネットから任意のアプリケーションをダウンロー ドして実行することができます。 実際には、証明書が (更新プログラム権限を用いて) 署名するアプリケーションに よって追加または変更されたファイルは、自動的にホワイトリストに追加されます。 タスク • 87 ページの「McAfee ePO に証明書を追加する」 次の方法のいずれかを使用し、証明書を追加できます。 • 89 ページの「証明書を検索する」 カテゴリで証明書を検索します。 • 89 ページの「証明書の割り当てを表示する」 証明書が適切なポリシーとルール グループに割り当てられているかどうか確認します。 McAfee ePO に証明書を追加する 次の方法のいずれかを使用し、証明書を追加できます。 • 既存の証明書をアップロードします。 • ネットワーク共有に存在する署名付きバイナリ ファイルから証明書をすぐに抽出します。 • ネットワーク共有の署名付きバイナリ ファイルから証明書を定期的に抽出するには、サーバー タスクのスケジュ ールを設定します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 87 6 Application Control の準備 証明書を管理する タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 使用可能な証明書をアップロードします。 a McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 b [証明書] タブで、[アクション] 、 [アップロード] の順に選択して、[証明書のアップロード] ページを開き ます。 c インポートする証明書ファイルを選択して、[アップロード] をクリックします。 ネットワーク共有に存在する署名付きバイナリ ファイルの証明書を抽出します。 a [メニュー、] 、 [設定、] 、 [Solidcore ルール] の順に選択します。 b [証明書] タブで、[アクション] 、 [証明書の抽出] の順に選択して、[バイナリから証明書を抽出] ページを 開きます。 c バイナリ ファイルのパスを入力します。 ファイル パスが McAfee ePO サーバーからアクセス可能であることを確認します。 3 d ネットワークの認証情報を入力して、指定されたネットワークの場所にアクセスします。 e [抽出]をクリックします。 スケジュールを設定して、ネットワーク共有に存在する署名付きバイナリ ファイルの証明書を定期的に抽出しま す。 a [メニュー、] 、 [自動処理、] 、 [サーバ タスク] の順に選択します。 b [新しいタスク] をクリックして、[サーバー タスク ビルダー] ウィザードを開きます。 c タスク名を入力して、[次へ] をクリックします。 d [アクション]ドロップダウン リストから[Solidcore: ソフトウェア リポジトリのスキャン]を選択します。 e リポジトリ パスを指定します。 指定したパスのサブフォルダーもすべてスキャンされ、インストーラーと証明書の有無が確認されます。 f ネットワークの認証情報を入力して、指定されたネットワークの場所にアクセスします。 g [テスト接続] をクリックして、指定した認証情報が機能しているかどうかを確認します。 h [抽出された証明書とインストーラをルール グループに追加する]を選択して、このタスクによって抽出された 証明書とインストーラをユーザ定義のルール グループに追加し、そのユーザ定義ルール グループをリストか ら選択します。 抽出された証明書とインストーラは、ユーザ定義のルール グループにのみ追加できます。 4 88 i [次へ] をクリックしてタスクのスケジュールを指定し、[次へ] をクリックします。 j タスクのサマリーを確認し、[保存] をクリックします。 (任意) 証明書に別名や分かりやすい名前を指定します。 a [メニュー、] 、 [設定、] 、 [Solidcore ルール] の順に選択します。 b [証明書] タブで証明書を選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 インストーラーの管理 c [アクション] 、 [編集] の順にクリックして、[編集] ウィンドウを開きます。 d わかりやすい名前を入力して、[OK] をクリックします。 6 証明書を検索する カテゴリで証明書を検索します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [証明書] タブでカテゴリを選択して、リストの証明書をソートします。 3 • [発行先] - 証明書を公開する組織の名前でリストをソートします。 • [発行者] — 署名機関の名前でリストをソートします。 • [抽出元] — 証明書が抽出された元のバイナリ ファイルのパスでリストをソートします。 • [わかりやすい名前] - 証明書のユーザー固有の名前でリストをソートします。 検索する文字列を入力して、[検索] をクリックします。 証明書の割り当てを表示する 証明書が適切なポリシーとルール グループに割り当てられているかどうか確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [証明書] タブで証明書を選択して、[アクション] 、 [割り当ての確認] の順にクリックします。 [証明書の割り当て] ダイアログ ボックスでは、選択した証明書が割り当てられているルール グループとポリシーが 表示されます。 インストーラーの管理 インストーラーを使用してエンドポイントでのソフトウェアのインストールまたは更新を許可するルールを定義する 前に、インストーラーを追加する必要があります。 実行可能バイナリまたはスクリプト ファイルをインストーラー として追加できます。 タスク • 90 ページの「McAfee ePO にインストーラーを追加する」 次のいずれかの方法でインストーラーを追加します。 • 90 ページの「インストーラーの検索」 カテゴリでインストーラーを検索します。 • 91 ページの「インストーラの割り当て状況の表示」 この機能を使用すると、各インストーラが関連ポリシーやルール グループに割り当てられているかどう かを簡単に検証できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 89 6 Application Control の準備 インストーラーの管理 McAfee ePO にインストーラーを追加する 次のいずれかの方法でインストーラーを追加します。 • 既存のインストーラーを追加します。 • インストーラーを定期的に追加するように、サーバー タスクのスケジュールを設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 既存のインストーラーを追加します。 a McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 b [インストーラー] タブで、[アクション] 、 [インストーラーの追加] の順に選択して、[インストーラーの追 加] ページを開きます。 c インストーラーの詳細を入力します。 d [追加] をクリックします。 ネットワーク共有上に存在するインストーラーを定期的に追加するようにスケジュールを設定します。 a [メニュー] 、 [自動処理] 、 [サーバ タスク] の順に選択します。 b [新しいタスク] をクリックして、[サーバー タスク ビルダー] ウィザードを開きます。 c タスク名を入力して、[次へ] をクリックします。 d [アクション] ドロップダウン リストから [Solidcore: ソフトウェア リポジトリのスキャン] を選択します。 e リポジトリ パスを指定します。 指定したパスのサブフォルダーもすべてスキャンされ、インストーラーと証明書の有無が確認されます。 f ネットワーク認証情報を指定し、指定したネットワークの場所にアクセスします。 g [テスト接続] をクリックして、指定した認証情報が機能しているかどうかを確認します。 h [抽出された証明書とインストーラをルール グループに追加する] を選択して、このタスクによって抽出され た証明書とインストーラをユーザ定義のルール グループに追加し、そのユーザ定義ルール グループをリスト から選択します。 抽出された証明書とインストーラは、ユーザ定義のルール グループにのみ追加できます。 i [次へ] をクリックします。 j タスクのスケジュールを指定します。 k [次へ] をクリックして、[サマリー] ページを開きます。 l タスクのサマリーを確認し、[保存] をクリックします。 インストーラーの検索 カテゴリでインストーラーを検索します。 90 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Application Control の準備 パッケージ コントロールを設定する 6 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [インストーラー] タブでカテゴリを選択して、リストのインストーラーをソートします。 3 • [インストーラー名] - インストーラーの名前でリストをソートします。 • [ベンダー] - インストーラーを公開したベンダーの名前でリストをソートします。 検索するインストーラー名またはベンダー名を入力して、[検索] をクリックします。 インストーラの割り当て状況の表示 この機能を使用すると、各インストーラが関連ポリシーやルール グループに割り当てられているかどうかを簡単に検 証できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [インストーラー] タブでインストーラーを選択して、[アクション] 、 [割り当ての確認] の順にクリックします。 [インストーラーの割り当て] ダイアログ ボックスでは、選択したインストーラーが割り当てられているルール グループとポリシーが表示されます。 3 [OK] をクリックします。 パッケージ コントロールを設定する システムでのソフトウェア パッケージのインストールと削除を制御するパッケージ コントロールを設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [Application Control オプション (Windows)] カテゴリを選択します。 4 [My Default] ポリシーをクリックして、ポリシーの編集を開始します。 デフォルトでは、[My Default] ポリシーは、企業内のすべてのエンドポイントに適用されます。 選択したエンド ポイントに機能を設定するには、[My Default] ポリシーを複製し、設定を編集して、関連するエンドポイントに のみポリシーを適用します。 5 [機能] タブで次の操作を行います。 a [ePO からの機能制御を施行する] を選択します。 デフォルトでは、[パッケージ コントロール] オプションと [アンインストール許可] オプションが選択されて います。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 91 6 Application Control の準備 パッケージ コントロールを設定する b オプションを選択して、パッケージ コントロールを設定します。 オプション アクシ 説明 ョン [パッケージ コントロ ール] 有効 有効にすると、すべてのサブ機能がデフォルトの状態に戻ります。 ただ し、バイパス サブ機能を有効にしてパッケージ コントロールを無効にし た場合、パッケージ コントロールを再度有効にすると、バイパス サブ機 能も有効になります。 無効 この機能を無効にすると、そのすべてのサブ機能も無効になります。 [アンインストールの許 有効 可] 有効にすると、エンドポイントでソフトウェア パッケージのアンインスト ールが許可されます。 無効 無効にすると、エンドポイントでソフトウェア パッケージのアンインスト ールが禁止されます。 有効 有効にすると、パッケージ コントロールの機能がバイパスされ、ソフトウ ェア パッケージのインストールとアンインストールが制御できなくなり ます。 無効 機能を無効にします。 [パッケージ コントロ ールのバイパス] 92 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 7 信用モデルの設計 Application Control を配備してエンドポイントを保護すると、未承認のアプリケーションの実行を防ぎ、信用でき るアプリケーションだけを実行できます。 信用モデルによって、環境で許可される変更が決まります。 目次 Application Control が実行を許可する方法 信用モデルの設計方法 Application Control が実行を許可する方法 Application Control は、承認プロセスで追加された場合にのみ新しいソフトウェアを承認します。 この動的な信用 モデルにより、環境内のデバイスで実行を許可する対象を設定できます。 ファイルを許可またはブロックする前に、Application Control はファイルのレピュテーションを参照し、ホワイト リストに追加されているかどうかを確認します。また、他の既存のルールも確認します。 信用されたファイルかどう かはレピュテーションとホワイトリストによって判別されますが、組織内のルールでファイルの実行を許可すること もできます。 レピュ テーシ ョン Application Control は、レピュテーション ベースの実行をサポートしています。 バイナリ ファイルを 実行すると、Application Control はファイルとその証明書のレピュテーションを確認し、組織のレピュ テーション設定に従ってファイルの実行を許可またはブロックします。 詳細については、『レピュテーシ ョン ソースを設定する』を参照してください。 ホワイ トリス ト Application Control は、エンドポイント上に存在する実行可能なバイナリとスクリプト ファイルのホワ イトリストを作成します。 ホワイトリストには承認ファイルが登録され、信用できるファイルまたは既知 のファイルの判定に使用されます。 有効モードでは、ホワイトリストに登録されたファイルとレピュテー ションが「信用」のファイルのみが実行を許可されます。 また、ホワイトリスト内のすべてのファイルは 保護され、変更や削除は不可能となります。 ホワイトリストに含まれない実行可能バイナリ ファイルや スクリプト ファイルは未承認とみなされ、実行が禁止されます。 その他 の方法 Application Control では、保護されたエンドポイントでのプログラムまたはファイルの実行を複数の方 法で許可します。 • 更新プログラム プロセスまたはユーザー • 名前で承認されたバイナリ • SHA-1 • ディレクトリ • 証明書 信用モデルの設計方法 要件に応じて環境にレピュテーションを設定し、信用ポリシーを設計します。 組織の信用モデルを設計する場合には、次のことを行ってください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 93 7 信用モデルの設計 信用モデルの設計方法 1 ファイルの実行時に Application Control が実行する検査を把握する。 『Application Control がファイルに実 行する検査』を参照してください。 2 Application Control の事前定義ルールを確認する。 『デフォルト ポリシーの事前定義ルール』を参照してくだ さい。 3 ソフトウェアを監視モードで実行してポリシーの推奨事項を確認し、ポリシーを迅速に作成して組織のルールを 定義する。 『監視モードでの Application Control の配備』を参照してください。 4 必要に応じて組織のルールを手動で定義する。 『エンドポイントへの変更の許可』を参照してください。 Application Control がファイルに実行する検査 ファイルを実行すると、Application Control は複数の検査を所定の順番に実行し、検査結果に応じて実行を許可ま たはブロックします。 Application Control は、最も優先度の高い検査から順番に実行し、バイナリまたはスクリプト ファイルの実行を許 可するかどうか判断します。 94 優 先 度 検査 説明 1 未承認ファイ ルの検査 ファイル名が未承認の場合、ファイルの実行は許可されません。 これはルールで設定されま す。 『バイナリ ファイルを許可または禁止する』を参照してください。 2 SHA-1 による ファイルの SHA-1 が禁止されている場合、ファイルの実行は許可されません。 これはルー 禁止 ルで設定されます。 『バイナリ ファイルを許可または禁止する』を参照してください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 信用モデルの設計 信用モデルの設計方法 7 優 先 度 検査 説明 3 TIE レピュテ ーション 組織のレピュテーション設定に従って TIE サーバーを設定すると、次の検査が実行されます。 レピュテーションの設定方法については、『ファイルと証明書のレピュテーション』を参照し てください。 1 バイナリ ファイルが署名付きかどうか確認します。 • 条件を満たす場合、ファイルに関連するすべての証明書のレピュテーションを取得しま す。 • 条件を満たさない場合、ファイルのレピュテーションに従って実行を許可または禁止しま す。 2 関連する証明書のレピュテーションが TIE サーバーで「不明」に設定されているかどうか を確認します。 • 条件を満たす場合、証明書のレピュテーションを無視し、ファイルのレピュテーションに 従ってファイルの実行を許可または禁止します。 • 設定されていない場合、ファイルに関連するすべての証明書からレピュテーションを計算 し、その結果からファイルの実行を許可またはブロックされます。 信用されたレピュテーションを計算する場合、信用されたレピュテーションは不正なレピ ュテーションよりも優先されます。 たとえば、ファイルが 2 つの不正な証明書と 1 つの 信用された証明書で署名されている場合、ファイルに関連する証明書のレピュテーション が信用されます。 ファイルに関連する証明書のレピュテーションまたはファイルのレピュテーション: • 信頼できることが確認されている、信頼できる可能性が非常に高い、信頼できる可能性があ る - ファイルの実行が許可されます。 • 不正な可能性がある、不正な可能性が非常に高い、不正なことが確認されている - ファイ ルの実行は許可されません。 • 不明 - ファイルに関連する証明書のレピュテーションが「不明」の場合、証明書のレピュ テーションは無視され、ファイルのレピュテーションに従って実行が判断されます。 ファ イルのレピュテーションが「不明」の場合、Application Control は次の検査に進みます。 • 未設定 - Application Control は次の検査に進みます。 4 承認ファイル の検査 5 SHA-1 による ファイルの SHA-1 が許可されている場合、ファイルの実行が許可されます。 これはルール 許可 で設定されます。 『バイナリ ファイルを許可または禁止する』を参照してください。 6 証明書による 許可 ファイル名が承認されている場合、ファイルの実行が許可されます。 これはルールで設定さ れます。 『バイナリ ファイルを許可または禁止する』を参照してください。 バイナリ ファイルに関連する証明書が許可されている場合、ファイルの実行が許可されます。 これはルールで設定されます。 『ポリシーまたはルール グループに証明書を追加する』を参 照してください。 スクリプト ファイルの場合、この検査は実行されません。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 95 7 信用モデルの設計 信用モデルの設計方法 優 先 度 検査 説明 7 McAfee GTI レピュテーシ ョン 次の検査が実行されます。 1 ファイルが 1 つ以上の証明書で署名されているかどうか確認します。 • 条件を満たし、関連する証明書のレピュテーションが TIE サーバーに設定されていない 場合、TIE サーバーまたは McAfee GTI ファイル レピュテーション サービスからファイ ルに関連する証明書の GTI レピュテーションを取得します。 • 条件を満たさない場合、TIE サーバーまたは McAfee GTI ファイル レピュテーション サ ービスからファイルの GTI レピュテーションを取得し、実行を許可または拒否します。 TIE サーバーで証明書のレピュテーションが「不明」に設定されている場合、McAfee GTI 証明書のレピュテーションは検査されません。 同様に、TIE サーバーでファイルのレピュテ ーションが「不明」に設定されている場合、ファイルの McAfee GTI レピュテーションは 検査されません。 2 ファイルに関連するすべての証明書のレピュテーションからレピュテーションを計算しま す。 証明書のレピュテーションに従ってファイルの実行を許可または禁止します。 証明書 のレピュテーションが使用できない場合、TIE サーバーまたは McAfee GTI ファイル レピ ュテーション サービスからファイルのレピュテーションを取得し、実行を許可または拒否 します。 信用されたレピュテーションを計算する場合、信用されたレピュテーションは不正なレピュ テーションよりも優先されます。 たとえば、ファイルが 2 つの不正な証明書と 1 つの信用 された証明書で署名されている場合、ファイルに関連する証明書のレピュテーションが信用 されます。 ファイルに関連する証明書のレピュテーションまたはファイルのレピュテーション: • 信頼できることが確認されている、信頼できる可能性が非常に高い、信頼できる可能性があ る - ファイルの実行が許可されます。 • 不正な可能性がある、不正な可能性が非常に高い、不正なことが確認されている - ファイ ルの実行は許可されません。 • 不明 - Application Control は次の検査に進みます。 • 未設定 - Application Control は次の検査に進みます。 8 Advanced 環境で ATD が設定されている場合、TIE サーバーが ATD とリアルタイムで連動し、マルウ Threat ェアの詳細な評価と分類データを提供します。 ATD が設定され、レピュテーションを受信し Defense レピ ている: ュテーション • 不正な可能性がある、不正な可能性が非常に高い、不正なことが確認されている - ファイ ルの実行は許可されません。 • 不明または未設定 - Application Control は次の検査に進みます。 96 9 更新プログラ ファイルまたは親プロセスが更新プログラムに設定されている場合、実行が許可されます。 ム ルール 『更新プログラムとして追加する』を参照してください。 10 更新モード エンドポイントが更新モードで実行されている場合、ファイルの実行が許可されます。 『緊 急時の変更』を参照してください。 11 ユーザー権限 ユーザーに必須権限があるか、信用ユーザーとして追加されている場合、ユーザーがファイル を実行できます。 『信用または承認されたユーザーを指定する』を参照してください。 12 ボリューム ス ファイルが信用ボリューム上にある場合、ファイルの実行が許可されません。 信用されたネ テータス ットワーク パスとして信用ボリュームが定義されている場合、ファイルの実行は許可されま す。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 信用モデルの設計 信用モデルの設計方法 優 先 度 検査 説明 13 リムーバブル メディア ファイルがリムーバブル メディア上にある場合、ファイルの実行は許可されません。 14 ホワイトリス ト Application Control がホワイトリストを検査します。 7 • ファイルがホワイトリストに存在する場合、ファイルの実行が許可されます。 • ファイルがホワイトリストにない場合、Application Control はスキップリスト ルールの検 査を行います。 スキップ ルールの詳細については、『バイパス ルールを定義する』を参照 してください。 • ファイルに対応するルールがスキップ ルールにある場合、ファイルの実行が許可されま す。 • スキップ リストでルールのファイルが存在しない場合、ファイルの実行は許可されませ ん。 デフォルト ポリシーの事前定義ルール Application Control には、対応オペレーティング システムで一般的なアプリケーションの事前定義ルールが含まれ ます。 製品を正常に動作させるため、これらのデフォルト ポリシーをエンドポイントに適用します。 これらのポリシーを 空のテンプレートに複製し、設定することもできます。 これらのポリシーにはルールが事前に定義されています。 ポリシーのルールを確認する方法については、『事前定義ルールを確認する』を参照してください。 デフォルト ポ 製品 リシー カテゴリ ポリシ 説明 ーの種 類 使用 可能 な空 のテ ンプ レー ト [McAfee Default] [Solidcore 7.0.0: 全般] [設定 (クライア ント)] シング Solidcore クライアントの CLI、スロットルな ルスロ どのデフォルトの設定。 ット いい え [McAfee Default] [Solidcore 7.0.0: 全般] [除外ルール (UNIX)] マルチ UNIX プラットフォームのデフォルトの除外ル スロッ ール ト はい [McAfee Default] [Solidcore 7.0.0: 全般] [除外ルール (Windows)] マルチ Windows プラットフォームでのメモリー保護 スロッ と他のバイパス技術のデフォルト ルール。 ト はい [McAfee デフ [Solidcore 7.0.0: ォルト] Application Control] [Application シング Windows プラットフォームでの自己承認、エン いい Control オプショ ルスロ ドユーザー通知、インベントリ、レピュテーシ え ット ン (Windows)] ョン、Application Control 機能のデフォルトの 設定 [My Default] [Solidcore 7.0.0: Application Control] [Application シング Windows プラットフォームでの自己承認、エン いい Control オプショ ルスロ ドユーザー通知、インベントリ、レピュテーシ え ット ン (Windows)] ョン、Application Control 機能のデフォルトの 設定 [McAfee Default] [Application Control ルール (UNIX)] [Solidcore 7.0.0: Application Control] McAfee Change Control および McAfee Application Control 7.0.0 マルチ UNIX プラットフォームで信用モデルを設計す はい スロッ るデフォルト ルール このポリシーには、セット ト アップに関連しないイベントを除外するデフォ ルト フィルターも含まれています。 製品ガイド 97 7 信用モデルの設計 信用モデルの設計方法 デフォルト ポ 製品 リシー カテゴリ ポリシ 説明 ーの種 類 [McAfee Default] [Solidcore 7.0.0: Application Control] [Application Control ルール (Windows)] マルチ Windows プラットフォームで信用モデルを設 はい スロッ 計するデフォルト ルール このポリシーには、セ ト ットアップに関連しないイベントを除外するデ フォルト フィルターも含まれています。 [McAfee アプ リケーション] ([McAfee Default ]) [Solidcore 7.0.0: Application Control] [Application Control ルール (Windows)] マルチ 他の McAfee 製品がエンドポイント上で正常に いい スロッ 実行されるようにする McAfee 固有ルール。 え ト これらのルールは、McAfee ルール (Windows) カテゴリの Application Control Default ポリ シーにも含まれます。 [共通 ActiveX ルー ル] [Solidcore 7.0.0: Application Control] [Application Control ルール (Windows) ] マルチ よく使用される ActiveX コントロールをエン スロッ ドポイントにインストールする読み取り専用の ト 事前定義ルール。 [スロットル ルール] [Solidcore 7.0.0: Application Control] [Application Control ルール (Windows)] マルチ バージョン 6.1.2 以降を実行しているエンドポ いい スロッ イントから受信した監視をフィルタリングして え ト 停止する読み取り専用の事前定義ルール [Solidcore 7.0.0: Application Control] [Application Control ルール (Windows) ] [スロットル ルール (廃 止)] 使用 可能 な空 のテ ンプ レー ト いい え McAfee ePO サーバーで受信した監視数が定義 済みのしきい値に達すると、組織内のすべての システムとグループにこのポリシーが適用され ます。 マルチ バージョン 6.1.1 より前を実行しているエンド いい スロッ ポイントから受信した監視をフィルタリングし え ト て停止する読み取り専用の事前定義ルール McAfee ePO サーバーで受信した監視数が定義 済みのしきい値に達すると、組織内のすべての システムとグループにこのポリシーが適用され ます。 エンドポイントへの変更の許可 他の環境と比べると、大半のアプリケーション環境は頻繁に変更されます。 Application Control では、いくつかの 方法でホワイトリストを動的に作成しています。 ソフトウェアを監視モードで配備すると、要求を処理するときに関連ルールが確認され、エンドポイントに自動的に 適用されます。 また、エンドポイントが有効モードで実行されている場合には、イベントの処理中に関連ルールをす ばやく識別し、適用することができます。 Application Control の機能により、環境固有のほとんどのルールが自動 的に定義されます。 ただし、必要であれば、環境に関連するルールを手動で定義することもできます。 管理者は、自社の企業環境に合わせて 1 つ以上の方法を使用して、承認された変更エージェントでホワイトリストの ファイルを作成、変更または削除することができます。 承認された変更を許可する新しいルールを定義する前に、 Application Control のデフォルト ルールを確認する必要があります。 企業固有のルールを定義する場合には、ル ール グループまたはポリシーを使用できます。 いずれの場合も、ルールを定義するフレームワークは同じです。 信用モデルを設計し、保護対象エンドポイントを追加のユーザーまたはプログラムを実行したり、ファイルを変更で きるようにするには、有効モードのエンドポイントで次のいずれかの方法を使用できます。 98 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 信用モデルの設計 信用モデルの設計方法 7 更新プロ エンドポイントの更新が許可されたアプリケーション。 『更新プログラムとは?』を参照してくださ グラム プ い。 ロセス バイナリ エンドポイントでの実行が許可または制限されているバイナリ ファイル。 証明書 保護対象エンドポイント上でインストールとファイルの変更が許可される信用できる証明書 (ソフトウ ェア パッケージに関連付けられる)。 『証明書とは?』と『証明書を管理する』を参照してください。 インスト ーラー SHA-1 によって識別されるアプリケーション インストーラー。ソフトウェアのインストールまたは更 新が許可されています。 『インストーラーとは?』と『インストーラーを管理する』を参照してくださ い。 ディレク トリ 信用できるディレクトリ。UNC (Universal Naming Convention) パスによって識別されるディレク トリ (ローカルまたはネットワーク共有) です。 ユーザー 動的にホワイトリストに追加する権限を持つ承認された Windows ユーザー。 この選択肢はセキュリティ面が最小限になるため、保護対象エンドポイントに対する変更を許可できる すべての選択肢の中で最もお勧めできません。 信用できるユーザーが追加されると、エンドポイントで の変更対象または実行対象に制約がなくなるため、信用できるユーザーの定義は慎重に行ってください。 これらの方法は大半の要件を満たしています。 要件を満たしていない場合には、他の方法を選択できます。たとえば、 必要であれば、エンドポイントを監視モードまたは更新モードに切り替えることができます。 『Application Control のモード』を参照してください。 関連トピック: 87 ページの「証明書を管理する」 89 ページの「インストーラーの管理」 ルール定義のガイドライン ルールを定義する前に次のガイドラインを確認してください。 使用可能なシステム変数 ルール内で指定されたパスには、システム環境変数 を含めることができます (Windows の場合のみ)。 以下の表に、 サポートされるシステム変数を示します。 変数 サンプル値 (大半の Windows プラットフォーム) %ALLUSERSPROFILE% C:\Documents and Settings\All Users %APPDATA% C:\Documents and Settings\{ユーザー名}\Application %COMMONPROGRAMFILES% C:\Program Files\Common Files %COMMONPROGRAMFILES (x86)% C:\Program Files (x86)\Common Files %HOMEDRIVE% C: %HOMEPATH% C:\Documents and Settings\{ユーザー名} (以前のバージョンの Windows では \) %PROGRAMFILES% C:\Program Files %PROGRAMFILES (x86)% C:\Program Files (x86) (64 ビット版のみ) %SYSTEMDRIVE% C: %SYSTEMROOT% C:\windows (以前のバージョンの Windows では C:\WINNT) %TEMP% (システム) %tmp% (ユーザー) C:\Documents and Settings\{ユーザー名}\local Settings \Temp C:\Temp McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 99 7 信用モデルの設計 信用モデルの設計方法 変数 サンプル値 (大半の Windows プラットフォーム) %USERPROFILE% C:\Documents and Settings\{ユーザー名} (以前のバージョンで は C:WINNT\profiles\{ユーザー名}) %WINDIR% C:\Windows パスに関する考慮事項 パス ベースのルールを使用する場合には、次の点に注意してください。 • ルールを指定するときは、絶対パスにする必要はありません。 たとえば、更新プログラムを定義する場合、パス の一部を指定することも、完全修飾パスを使用することもできます。 部分 的な パス AcroRd32.exe や Reader\AcroRd32.exe のような部分的なパスを指定すると、指定文字列に一致す る名前を含むすべてのプログラムに更新プログラム権限が割り当てられます。 完全 修飾 パス C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe や \Program Files\Adobe \Reader 9.0\Reader\AcroRd32.exe のような完全修飾パスをルールに使用します。 完全修飾パス を指定すると、指定したプログラムにのみ更新プログラム権限が割り当てられます。 同様に、ファイルをブロックするときに notepad.exe のような部分パスを指定すると、指定文字列に 一致する名前を含むすべてのプログラムがブロックされます。 ただし、ファイルをブロックするときに C:\Windows\system32\notepad.exe のような完全修飾パ スを指定すると、指定したファイルのみがブロックされます。 • パスにはホワイト スペースを含めることができます。 • パスにはワイルドカード文字 (*) を使用できます。 ただし、1 つの完全パス コンポーネントのみを表わします。 以下にいくつかのサンプルを示します。 Windows プラットフォー ム \abc\*.doc、\abc\*.* または \abc\doc.* がサポートされていない場合に は、\abc\*\def を使用できます。 UNIX プラットフォーム /abc/*.sh、/abc/*.*、/abc/doc.* がサポートされていない場合には、/abc /*/def を使用できます。 更新プログラムとして追加する 新しいソフトウェアをインストールしたり、既存のソフトウェア コンポーネントを更新するときに頻繁に使用される コンポーネントがあります。 このようなコンポーネントは、更新プログラムとして指定できます。 更新プログラムを定義して、新しいソフトウェアのインストールまたは既存のソフトウェア コンポーネントの更新を 許可します。 このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、『ルール設定の権限を割り当てる』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 2 [更新プログラム プロセス] タブを選択し、[追加] をクリックします。 3 ファイル名または SHA-1 に基づいて更新プログラムを追加するかどうかを指定します。 名前を指定して更新プログラムを追加する場合、更新プログラムは自動的に認証されません。 更新プログラム (名前別) ルールを機能させるには、ホワイトリストにファイルを追加する必要があります。 SHA-1 で更新プロ グラムを追加すると、更新プログラムが自動的に認証されます。 4 100 ファイルの場所 (名前順に追加する場合) または実行可能ファイルまたはバイナリ ファイルの SHA-1 値を入力 します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 7 信用モデルの設計 信用モデルの設計方法 5 プログラムの ID ラベルを指定します。 たとえば、複数の更新プログラムを指定する場合、updater_label_number に Adobe1、Adobe2 などの識 別ラベルを指定できます。 ラベルに Adobe1 を指定すると、Adobe 8.0 更新プログラムで行われたすべての変 更にこのラベルが付きます。 6 7 名前別に更新プログラムを追加する場合、バイナリ ファイルが必ず更新プログラムとして実行する条件を指定し ます。 • [なし] を選択すると、バイナリ ファイルが更新プログラムとして無条件で実行されることを許可します。 • [ライブラリ] を選択すると、バイナリ ファイルが指定されたライブラリをロードした場合にのみ更新プログ ラムとして実行されることを許可します。 たとえば、iexplore.exe を更新プログラムとして設定し、 Windows 更新で Internet Explorer の使用が許可されている場合には、wuweb.dll をライブラリとして指 定します。 これによって、iexplore.exe プログラムは、Web コントロール ライブラリ (wuweb.dll) が 読み込まれるまで更新プログラム権限を持ちます。 • [親] を選択すると、指定した親によって起動された場合にのみ、バイナリ ファイルが更新プログラムとして 実行されることを許可します。 たとえば、updater.exe を更新プログラムとして設定して Mozilla Firefox への変更を許可するとき、親として firefox.exe を指定します。 updater.exe は任意のインストール済 みアプリケーションの一部となる一般名称ですが、親を使用すると正しいプログラムのみを更新プログラムと して実行できることが保証されます。 名前別に更新プログラムを追加する場合、更新プログラムの継承を無効にするかどうかを指定します。 たとえば、プロセス A (更新プログラムとして設定) がプロセス B を起動する場合、プロセス A の継承を無効に するとプロセス B が更新プログラムにならないことが保証されます。 8 名前別に更新プログラムを追加する場合、更新プログラムによって実行されるアクション用に生成されるイベン トを抑制するかどうかを指定します。 通常、更新プログラムが保護対象ファイルを変更すると、このファイルに [ファイルが変更されました] イベント が生成されます。 このオプションを選択する場合、更新プログラムによって加えられた変更用にイベントは生成 されません。 9 [OK] をクリックします。 バイナリ ファイルを許可またはブロックする 環境でレピュテーション ソースが使用可能な場合、レピュテーションに従ってバイナリの実行が自動的に許可または ブロックされます。 ただし、組織の要件に応じてバイナリ ファイルの実行を手動で (名前または SHA-1 値に従っ て) 承認または制限できます。 SHA-1 値でバイナリを承認すると、バイナリのソース(インターネット、社内のリポジトリなど) に関わらず、SHA-1 値に一致したときにバイナリの実行が許可されます。 このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 2 [バイナリ] タブを選択して、[追加] をクリックします。 3 [ルール名] フィールドでルールの識別子を指定します。 識別子を使用すると、関連ルールをグループ化できます。 たとえば、組織内で未承認プログラムをブロックするルールを定義する場合、ルールの識別子に「未承認プログ ラムのブロック」を指定できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 101 7 信用モデルの設計 信用モデルの設計方法 4 バイナリ ファイルを許可またはブロックするかどうかを示します。 5 ファイル名または SHA-1 値に基づいてバイナリ ファイルを許可またはブロックするかどうかを示します。 6 名前または SHA-1 値を入力します。 7 [OK] をクリックします。 ポリシーまたはルール グループに証明書を追加する McAfee ePO に証明書を追加すると、これをポリシーまたはルール グループに割り当てることができます。 Application Control では、ソフトウェア パッケージに関連付けられた信用できる証明書に保護対象システムでの実 行が許可されます。 信用済みまたは承認済みとして証明書を追加すると、この証明書が署名したすべてのソフトウェ アを保護対象システムで実行できます。更新モードに切り替える必要はありません。 このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 ポリシー内に信用できる証明書を定義することで、証明書をポリシーに割り当てます。 a McAfee ePO コンソールで、Application Control ポリシーを作成または変更します。 b [証明書] タブで [追加] をクリックします。 c 証明書を検索して追加します。 たとえば、Microsoft 証明書を検索して追加できます。 詳細については、『証明書を管理する』を参照してく ださい。 d (任意) [証明書を更新プログラムとして追加] オプションを選択し、更新プログラム権限を証明書に付与しま す。 e 証明書の ID ラベルを指定します。 [証明書を更新プログラムとして追加] オプションを選択する場合、証明書の ID ラベルを指定する必要があり ます。 f 2 [OK] をクリックします。 既存ルール グループに証明書を割り当てます。 a McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 b [証明書] タブで、ルール グループに追加する証明書を選択します。 c [アクション] 、 [ルール グループに追加] の順にクリックし、[ルール グループへの追加] ダイアログ ボック スを開きます。 d 証明書を追加するユーザー定義ルール グループを選択し、[OK] をクリックします。 ユーザー定義のルール グループに証明書を割り当てるには、[メニュー] 、 [設定] 、 [Solidcore ルール] 、 [ルー ル グループ] の順に移動します。 『ルール グループを作成する』を参照してください。 ポリシーまたはルール グループにインストーラーを追加する インストーラーを追加してポリシーまたはルール グループに割り当てると、ユーザーは保護対象のエンドポイントに 新しいソフトウェアをインストールしたり、ソフトウェア コンポーネントを更新することができます。 このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、『ルール設定の権限』を参照してください。 102 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 信用モデルの設計 信用モデルの設計方法 7 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 ポリシーにインストーラーを割り当てます。 a McAfee ePO コンソールで、Application Control ポリシーを作成または変更します。 b [インストーラー] タブで [追加] をクリックします。 c インストーラーを検索して追加します。 たとえば、ユーザーがエンドポイント上でインストーラーを実行で きるように、Adobe Reader のインストーラーを追加します。 d インストーラーの ID ラベルを指定します。 e [OK] をクリックします。 既存ルール グループにインストーラーを割り当てます。 a McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 b [インストーラー] タブで、ルール グループに割り当てるインストーラーを選択します。 c [アクション] 、 [ルール グループに追加] の順にクリックし、[ルール グループへの追加] ダイアログ ボック スを開きます。 d インストーラーを追加するユーザー定義ルール グループを選択し、[OK] をクリックします。 ユーザー定義のルール グループにインストーラーを割り当てるには、[メニュー] 、 [設定] 、 [Solidcore ルール] 、 [ルール グループ] の順に移動します。 『ルール グループを作成する』を参照してください。 除外対象を追加する 除外ルールを追加し、適用済みのメモリー保護などの技術を回避します。 このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 2 [除外] タブで [追加] をクリックします。 3 ファイル名を入力します。 4 必要なオプションを選択します。 詳細については、『バイパス ルールを定義する』を参照してください。 5 [OK] をクリックします。 信用できるディレクトリの追加 信用できるディレクトリとしてディレクトリ (ローカルまたはネットワーク共有) を追加し、このディレクトリにあ るソフトウェアを保護対象のエンドポイントで実行します。 信用できるディレクトリは、UNC (Universal Naming Convention) パスによって識別されるディレクトリ (ローカ ルまたはネットワーク共有) のことです。 信用できるディレクトリとしてディレクトリを追加すると、エンドポイン トは、当該ディレクトリに存在する任意のソフトウェアを実行できます。 Application Control を有効にすると、保 護対象エンドポイントがネットワーク共有上にあるコードを実行しなくなります。 組織の内部ネットワーク上の共 有フォルダーにライセンス アプリケーションのインストーラーを保存する場合、このネットワーク共有を信用できる ディレクトリを追加する必要があります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 103 7 信用モデルの設計 信用モデルの設計方法 必要に応じて、UNC パスに配置されたソフトウェアが保護対象エンドポイント上でソフトウェアをインストールす るよう許可することもできます。 たとえば、保護対象エンドポイントからドメイン コントローラーにログオンする とき、スクリプトの実行を許可するため、\\domain‑name\SYSVOL を信用できるディレクトリとして定義する必要 があります。 タスク このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、 『ルール設定の権限』を参照してください。 製品の機能、使用方法、ベストプラクティスにつ いては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 2 [ディレクトリ] タブで [追加] をクリックします。 3 ディレクトリの場所を入力します。 4 [対象に含む] または [除外] を選択します。 [除外] を使用して、信用できるディレクトリ内の特定のフォルダーまたはサブディレクトリを除外します。 5 (任意) [このディレクトリ更新プログラムからプログラムが実行されるようにしてください] オプションを選択 し、UNC パスに配置されたソフトウェアにエンドポイントの変更を許可します。 6 [OK] をクリックします。 信用または承認されたユーザーを指定する 信用できるユーザーは、ホワイトリストに項目を動的に追加できる承認済みの Windows ユーザーです。 このタスクを実行するには、適切な権限が必要です。 権限がない場合には、McAfee ePO 管理者に連絡してくださ い。 詳細については、『ルール設定の権限』を参照してください。 タスク たとえば、管理者が任意のソフトウェアをインストールまたは更新できるようにするには、管理者を信用できるユー ザーとして追加します。 ユーザーの詳細を追加すると同時に、ドメインの詳細も提供してください。 保護の上書き を許可する承認ユーザーを指定します。 これにより、保護対象システムで更新操作の実行が可能になります。 製品 の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 ユーザーの詳細を入力するか、あるいは Active Directory からユーザーまたはグループの詳細をインポートでき ます。 2 104 ユーザーが有効な保護を上書きするよう認証するための詳細情報を指定します。 a [ユーザー] タブで [追加] をクリックします。 b 各ユーザーに 2 つのルールを作成します。 • UPN/SAM とドメイン アカウント名 (ドメイン名\ユーザーの形式) • ドメインの NETBIOS 名 (NETBIOS\ユーザー名の形式) c ユーザーに固有の ID ラベルを指定します。 たとえば、匿名ユーザーの ID ラベルとして 匿名ユーザーの変 更 を指定する場合、ユーザーによって加えられたすべての変更にはこのラベルがタグ付けされます。 d ユーザー名を入力します。 e [OK] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 信用モデルの設計 信用モデルの設計方法 3 7 Active Directory からユーザーの詳細をインポートします。 a Active Directory が登録済みのサーバーとして設定されていることを確認します。 b [ユーザー] タブで [AD インポート] をクリックし、[Active Directory からインポート] ダイアログ ボック スを開きます。 c サーバーを選択します。 d [グローバル カタログ検索] を選択し、カタログ内でユーザーを検索します (選択した Active Directory がグ ローバル カタログ サーバーの場合のみ)。 e UPN (ユーザー プリンシパル名) または SAM アカウント名に基づいてユーザーを検索するかどうかを指定 します。 検索によって承認ユーザーが決定されます。 UPN または共通名を使用すると、ユーザーは UPN によって信 用されます。SAM アカウント名を使用すると、ユーザーは SAM アカウント名によって信用されます。 f ユーザー名を入力します。 含む 検索条件が指定ユーザー名に適用されます。 g グループ名を指定してグループ内でユーザーを検索します。 グループが Active Directory 内に存在する場合、ポリシーに直接追加することはできません。 グループ内の すべてのユーザーを承認するには、ユーザー グループをルール グループに追加し、ルール グループをポリシ ーに追加します。 グループを使用すると、ユーザー グループに対するすべての変更がすべてのルール グルー プと関連ポリシー全体に自動的に転送されます。 h [検索] をクリックして、結果を表示します。 i 検索結果に追加するユーザーを選択し、[OK] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 105 7 信用モデルの設計 信用モデルの設計方法 106 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 8 監視モードでの Application Control の配備 また、ポリシー ルールを検出するために監視モードを使用し、新しいアプリケーションを実行した上で、Application Control をすでに実行しているエンドポイントに配備することもできます。 監視モードには 2 つの利点があります。 • ポリシーを作成し、有効モードでアプリケーションに実行を許可するルールを設定できます。 • 製品のドライランを実行し、ソフトウェアを支障なく実行またはインストールします。 監視モードは、Windows NT および Windows 2000 を除き、サポート対象の Windows プラットフォームで使用で きます。 UNIX プラットフォームでは監視モードを使用できません。 目次 監視について 監視モードでの配備 機能を設定する エンドポイントを監視モードに切り替える ポリシー検出権限 要求を管理する 監視とイベントにフィルターを指定する 監視をスロットルする 監視モードの終了 監視について 監視結果には、管理対象のエンドポイントで発生した実行、インストール、アンインストールがすべて記録されます。 通常、Application Control を監視モードで実行すると、エンドポイントの大半の操作が許可されます。 監視モード の場合、特定のルールで禁止されているか、レピュテーションが不正でない限り、ファイルの実行が許可されます。 有効モードで Application Control がブロックしたアクションに対して、監視モードで対応する監視が記録されま す。 たとえば、ソフトウェアをインストールまたはパッケージを変更すると、対応する監視が生成されます。 エン ドポイントで生成されたすべての監視は、エージェント/サーバー間通信間隔 (ASCI) の経過後、McAfee ePO サー バーに送信されます。 エンドポイントが監視モードの場合、エンドポイントでは Application Control イベントが 生成されません。 監視モードでは、レピュテーション ベースの実行もサポートされます。 エンドポイントでファイルを実行すると、 ファイルに関連するすべての証明書のレピュテーションが取得され、ファイルの実行を許可するかどうか判断されま す。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 107 8 監視モードでの Application Control の配備 監視モードでの配備 • 信用されたファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「信用」の場合、事前定 義の禁止ルールでブロックされない限り、ファイルの実行が許可されます。 対応する監視結果またはイベントは 生成されません。 • 不正なファイル - バイナリ ファイルまたは関連する証明書のレピュテーションが「不正」の場合、バイナリの 実行は許可されません。対応する監視結果も生成されません。 対応するイベントが生成され、[Solidcore イベン ト] ページに表示されます。 組織で定義した設定によって、実行が禁止されるレピュテーション値が決まります。 レピュテーションが「不正なことが確認されている」、「不正な可能性が非常に高い」または「不正な可能性があ る」のファイルを禁止することも、これらのすべてのファイルを禁止することもできます。 • 不明 - バイナリ ファイルまたは関連する証明書のレピュテーションが「不明」の場合、実行の判断にレピュテ ーションは使用されません。 Application Control は、別の複数の検査を実行し、ファイルをブロックするかど うか判断します。 詳細については、『Application Control がファイルに実行する検査』を参照してください。 ファイルのレピュテーションに関係なく、バイナリ ファイルに名前または SHA-1 による禁止ルールが存在する場合、 実行は禁止されます。 対応する監視結果は生成されません。 対応するイベントが生成され、[Solidcore イベント] ペ ージに表示されます。 監視結果は、有効モードと監視モードの両方で生成されます。 • • 更新プログラム特権のないプロセスの場合、有効モードと監視モードで次の監視結果が生成されます。 • 実行拒否 • プロセス ハイジャックの試行 • ファイルの書き込み拒否 • Nx 違反検出 • ActiveX のインストール禁止 • インストール拒否 更新プログラム特権に割り当てられたプロセスの場合、有効モードと監視モードにおけるメモリー保護関連の操 作に対して監視結果が生成されます。 • プロセス ハイジャックの試行 • Nx 違反検出 監視モードでの配備 監視モードで Application Control を配備するには、次の手順を行います。 1 配備用のステージ エンドポイントまたはテスト エンドポイントを識別します。 環境内にタイプの異なるエンドポイントが存在している場合には、類似したタイプのエンドポイントをグループ 化して、監視モードにロールアウトしてください。 これにより、エンドポイントの各グループに製品が及ぼす影 響を分析し、ポリシー グループを検出して、各エンドポイント グループに適用されるポリシーを検証できます。 2 Application Control を監視モードに切り替え、エンドポイントで日々のタスクを実行します。 レピュテーション ソースが使用可能で、設定済みの場合、組織内のバイナリ ファイルと証明書のレピュテーショ ンを確認できます。 これにより、受信した要求を的確に処理することができます。 組織で定義した設定によっ て、実行が許可または禁止されるレピュテーション値が決まります。 要求は、エンドポイントで生成された監視要求に基づいて作成されます。 これらの要求により、エンドポイント にインストールされたソフトウェアの Application Control ポリシー ルールを検出できます。 詳細については、『エンドポイントを監視モードに切り替える』を参照してください。 3 受信した要求を定期的に確認し、新しいルールを作成します。 詳細については、『要求を管理する』を参照してください。 108 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 機能を設定する 4 8 最近追加されたポリシーを確認するには、頻繁に使用しているワークフローを実行します。 これにより、アプリ ケーションで追加要求を受信しているかどうか確認できます。 適切なルールがエンドポイントで適用されると、重複する要求が McAfee ePO コンソール上に表示されなくなり ます。 5 受信する要求数が大幅に減少します。監視モードを狩猟し、エンドポイントを有効モードに切り替えます。 詳細については、『監視モードを終了する』を参照してください。 機能を設定する 汎用ランチャー プロセスと制限付き証明書名のリストを確認して編集します。 機能の次の項目を設定できます。 • 汎用ランチャー プロセス - explorer.exe や iexplore.exe などの Windows オペレーティング システム上の 特定のプロセスは、他のプロセスを起動し、任意のソフトウェアを起動するために使用されます。 このようなプ ロセスは、汎用ランチャー プロセスといわれ、更新プログラムとして設定されることはありません。 Application Control の設定インターフェースでは、このようなプロセスの事前定義リストを利用できます。 汎用ランチャー プロセスのリストを確認して編集できます。 エンドポイントでは、汎用ランチャー プロセスに更新プログラム ルールは生成されません。 • 制限付き証明書名 - Microsoft など特定のベンダーからの証明書は、複数のよく使用するアプリケーションに関 連付けられ、証明書に基づいたルールの定義に使用されるべきではありません。 Application Control の設定イ ンターフェースでは、このような証明書の事前定義リストを利用できます。 [制限付き証明書名] リストを確認し て編集できます。 要求のバイナリがこれらの証明書のいずれかで署名されている場合、バイナリ ファイルに関連 付けられた証明書に応じてルールを作成することはできません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [サーバー設定] 、 [Solidcore]の順に選択します。 2 汎用ランチャー プロセスのリストを確認して編集します。 3 a [汎用ランチャー プロセス] フィールドに表示されているプロセスを確認します。 b [編集] をクリックし、リストを更新します。 c リストの最後にプロセス名をカンマ区切りで追加して、[保存] をクリックします。 制限付き証明書のリストを確認して編集します。 a [制限付き証明書名] フィールドに表示されている名前を確認します。 b [編集] をクリックし、リストを更新します。 c リストの最後にベンダー名をカンマ区切りで追加して、[保存] をクリックします。 たとえば、Microsoft 証明書に基づいたルールの作成を阻止する場合は、リストに Microsoft を追加しま す。 証明書の ISSUED TO フィールドの値を使用します。 エンドポイントを監視モードに切り替える インストール後に、エンドポイントを監視モードにして、Application Control 製品の動作確認を行うことができま す。 環境内でタイプごとに 1 つ以上のエンドポイントを選択します。 次のいずれかのクライアント タスクを実行して、 エンドポイントを監視モードに切り替えます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 109 8 監視モードでの Application Control の配備 エンドポイントを監視モードに切り替える • SC: 有効 - Application Control を新規にインストールした後でエンドポイントを監視モードにするには、この クライアント タスクを実行します。 • SC: 監視モード - 既存のエンドポイント (有効モードで実行されているエンドポイント) を監視モードに切り 替えるには、このクライアント タスクを実行します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブをクリ ックします。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 [Solidcore 7.0.0] 、 [SC: 有効] の順に選択し、[タスクの新規作成] をクリックして、[クライアント タスク カ タログ] ページを開きます。 a タスク名を指定し、任意の詳細情報を追加します。 b 次のフィールドを選択します。 c 1 [Windows] プラットフォームを選択します。 2 [NT/2000 以外すべて] サブプラットフォームを選択します。 3 [6.0 以降] バージョンを選択します。 4 [Application Control] を選択します。 スキャンの優先度を指定します。 スキャンの優先度を設定すると、エンドポイント上でホワイトリストを作成するために実行されるスレッドの 優先度が決まります。 スキャンの優先度を [低] に設定することをお勧めします。 これによって、 Application Control はエンドポイント上でのパフォーマンスの影響が最小限に抑えられますが、ホワイトリ ストの作成には (優先度を [高] に設定した場合よりも) 時間が長くかかる可能性があります。 d e 110 有効化オプションを指定します。 • 限定的機能の有効化 - エンドポイントは再起動されず、ホワイトリストが作成され、Application Control の機能は制限された状態 (メモリー保護機能は使用不能) でアクティブになります。 メモリー保 護機能が使用できるのは、エンドポイントが再起動された後のみです。 • 全機能の有効化 - エンドポイントが再起動され、ホワイトリストが作成されます。メモリー保護を含む Application Control の全機能がアクティブになります。 エンドポイントの再起動は、メモリー保護機能 を有効にするために必要になります。 クライアント タスクがエンドポイントで受信されてから 5 秒後 に、エンドポイントは再起動します。 エンドポイントの再起動前に、ポップアップ メッセージがエンド ポイントで表示されます。 [監視モードの開始] を選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 ポリシー検出権限 f 8 (任意) [インベントリのプル] を選択します。 このオプションを選択すると、インベントリ (作成済みのホワイトリストを含む) が McAfee ePO に送信され ます。 インベントリ情報は McAfee ePO から利用できる複数のワークフローで使用されるので、このオプシ ョンを選択してください。 g [保存] をクリックします。 5 [次へ] をクリックし、[スケジュール] ページを開きます。 6 スケジュールの詳細を指定し、[次へ] をクリックします。 7 タスクの詳細を確認して、[保存] をクリックします。 8 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 ポリシー検出権限 デフォルトでは、グローバル管理者以外の管理者は関連するグループ ([ユーザーの組織] 内) のエンドポイントで生 成された要求の表示、管理、削除を行うことができます。 [要求の詳細] ページで要求の詳細を確認すると、[企業レベルのアクティビティ] ペインの要求数が [ポリシー検出] ページの [グローバル普及] 列の値よりも少ない場合があります。 [グローバル普及] 列の値は、グループに関係な く、企業全体の普及度を表しています。 たとえば、企業内の異なるグループの 2 つのシステムが要求を生成した場 合、[グローバルな普及] の値は 2 になります。 グループ管理者以外の管理者が表示できるのはグループで生成され た要求だけです。このため、[企業レベルのアクティビティ] ペインに、システムで生成された要求が 1 つしか表示 されない場合があります。 McAfee ePO 管理者は、企業 ([ユーザーの組織]) で生成されたすべての要求を確認し、管理できます。 また、McAfee ePO 管理者は任意のルール グループにルールを追加し、企業内で生成された要求を確認し、アクションを実行する権 限をグローバル管理者以外の管理者に付与できます。 グローバル管理者以外の管理者の場合、ルールを追加できるのは自身が所有するルール グループだけです。 所有し ていないルール グループは、[ポリシー検出: カスタム ルール] ページに表示されません。 要求にアクションを実行 しても、異なるグループに生成された同じ要求には影響を及ぼしません。 グローバル管理者以外の管理者に企業全体の要求の管理を許可する McAfee ePO 管理者は、グローバル管理者以外の管理者 ([ユーザーの組織] 内のグループにアクセスが許可されてい る管理者) に、企業内で発生した要求の確認と管理を許可することができます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [サーバー設定]の順にクリックします。 2 [カテゴリの設定] ペインで [Solidcore] を選択して [編集] をクリックし、[Solidcore の編集] ページを開きま す。 3 [システム ツリー全体のポリシー検出要求の管理をグループ管理者に許可する] の値を [はい (システム ツリー のグループ アクセス権限を上書きします)] に変更します。 4 [保存] をクリックします。 グローバル管理者以外の管理者に、企業全体で発生した要求の確認とカスタム アクションの実行が許可されます。 グローバル管理者以外の管理者は、グローバル アクションを実行できません。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 111 8 監視モードでの Application Control の配備 要求を管理する 要求を管理する [ポリシー検出] ページを使用して、管理グループから受信した要求を管理します。 McAfee ePO 管理者であれば、 [ポリシー検出] ページで企業全体の要求を管理できます。 このページの権限については、『ポリシー検出権限』を参照してください。 生成された要求を処理し、関連ルールを 企業に追加すると、生成される要求の数が徐々に減少します。 6.1.2 リリース以降では、[ポリシー検出] ページで、すべての監視要求と自己承認要求を管理できるようになりまし た。 6.1.1 以前のリリースでは、[監視] ページで監視要求の管理を行いました。 6.1.2 以降の拡張ファイルをインス トールすると、バージョン 6.1.1 以前が実行されているエンドポイントから受信した監視要求は、廃止された [監視] ページで確認できます。 タスク • 112 ページの「要求を確認する」 エンドポイントから受信した要求を確認します。 • 114 ページの「要求を処理する」 管理グループで受信した要求を処理するには、要求に関連するアクションを実行します。 McAfee ePO 管理者であれば、企業内で受信した要求を処理できます。 • 122 ページの「作成したルールの確認」 処理済みの要求に作成されたグループ ルールを確認して管理します。 要求を確認する エンドポイントから受信した要求を確認します。 [Solidcore: 正常性モニタリング] ダッシュボードの次のモニターで、すぐにアクションが必要なデータを確認しま す。 • [保留中のポリシー検出要求の上位 10 件] • [監視モードで保留中の要求数が最も多いシステム] [Solidcore: 正常性モニタリング] ダッシュボードの詳細については、 『企業の正常性をモニタリングする』を参照し てください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択して、[ポリシ ー検出] ページを開きます。 エンドポイントから要求を受信すると、Application Control は以下のパラメーターを使用して要求を照合し、グ ループ化します。 • 要求を受信するバイナリ ファイルの SHA-1 または CAB ファイル (ActiveX コントロールに対する要求の 場合) • 要求のステータス。 メモリー保護違反要求は、SHA-1 とアクティビティ タイプでグループ化されます。 ネットワーク パスでの実行 要求は、ファイル パスとアクティビティ タイプでグループ化されます。 各要求の [アクティビティ] フィールドには、エンドポイントでユーザーが実行したアクションが示されます。 たとえば、ユーザーが MSI ベースのソフトウェアをインストールした場合、要求の [アクティビティ] フィール ドには、ソフトウェアのインストールが表示されます。 112 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 要求を管理する 2 8 次のいずれかの方法で、表示された要求を確認します。 • 特定の間隔 - [時間フィルター] リストからオプションを選択して [更新結果] をクリックすると、特定の間 隔で受信した要求を確認できます。 • 要求ステータス - [承認ステータス] リストから要求ステータスの値を選択して [更新結果] をクリックする と、選択したステータスと一致する要求を確認できます。 • アクティビティ - [アクティビティ] リストから値を選択して [更新結果] をクリックすると、特定のアクテ ィビティの要求を確認できます。 • レピュテーション - [最終レピュテーション] リストから値を選択します。次に、[更新結果] をクリックし て、選択したレピュテーション値に一致するファイルの要求を表示します。 ファイルまたは証明書の最終レ ピュテーションを判断する方法を確認するには、[最終レピュテーションとは?]をクリックします。 • 特定のエンドポイント - [システム名] フィールドにエンドポイント名を入力して [更新結果] をクリックす ると、そのエンドポイントから受信した要求を確認できます。 部分一致での比較は実行されません。完全な システム名を入力してください。 • 複数の条件 - 必要に応じて、[時間フィルター]、[承認ステータス]、[アクティビティ]、[最終レピュテーシ ョン]、[システム名] フィールドを指定して [更新結果] をクリックすると、指定した条件に従って検索が実 行されます。 • 特定の検索文字列 - [クイック検索] フィールドに検索文字列を入力して [適用] をクリックすると、指定し た検索文字列に一致する要求が表示されます。 指定したテキストを使用して部分一致が実行されます。 • ソート - 各列の見出しをクリックすると、グローバルな普及、最終レピュテーション、レピュテーション ソ ース、実行時間、アクティビティ、オブジェクト名、アプリケーション名、証明書でリストをソートします。 • 選択された要求 - 任意の要求を選択して [選択した行を表示] をクリックすると、選択した要求だけが表示 されます。 [ポリシー検出] ページには、McAfee ePO 管理者がルールを作成できる要求だけが表示されます。 レピュテーシ ョンが「信用」のインストーラーなど、他の要求を表示するには、[自動承認インストールのポリシー検出要求] ク エリーを実行します。 これにより、レピュテーションが「信用」で、インストーラー権限が割り当てられているフ ァイルで、過去 1 か月以内にエンドポイントで自動的に実行されたファイルがすべて表示されます。 クエリーの 実行方法については、『クエリーを表示する』を参照してください。 3 照合要求とバイナリ ファイルの詳細な情報を構成する個別の要求を確認します。 a 行をクリックして [要求の詳細] ページを開きます。 b バイナリ ファイルの詳細 (バイナリの名前、バージョン、パス、親プロセス、変更されたファイル、最終アプ リケーションなど) を確認しまう。 c バイナリ ファイルの SHA-1 と MD5 の情報を確認します。 d バイナリの SHA-1 値をクリックして、[バイナリの詳細] ページでファイルの詳細を確認します。 e バイナリ ファイルの証明書ベンダー名を確認します。 バイナリ ファイルの証明書ベンダー名は、レピュテー ションに応じて緑 (信用)、赤 (不正)、オレンジ (不明) で表示されます。 f 証明書名をクリックして、発行者、証明書のレピュテーション、レピュテーション ソース、パブリック キー のアルゴリズム、パブリック キーの長さ、パブリック キーのハッシュ、証明書のハッシュ、有効性など、証 明書の詳細が表示されます。 g [企業レベルのアクティビティ] ペインで、要求を構成する個別の要求を確認します。 h [閉じる] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 113 8 監視モードでの Application Control の配備 要求を管理する 要求を処理する 管理グループで受信した要求を処理するには、要求に関連するアクションを実行します。 McAfee ePO 管理者であ れば、企業内で受信した要求を処理できます。 要求を確認して実行するアクションを選択します。 各要求で、最終レピュテーション、レピュテーション ソース、 バイナリの SHA-1、証明書、グローバル普及などの情報が使用できます。これにより、関連するアクションを実行 できます。 ファイルのレピュテーション値は、レピュテーション (「信用」、「不正」または「不明」) に応じて異なる色で表示 されます。 • 緑色は、ファイルが「信頼できることが確認されている」、「信頼できる可能性が非常に高い」、「信頼できる可能 性がある」のいずれかであることを示します。 • オレンジ色は、ファイルが「不明」であることを示します。 • 赤色は、バイナリ ファイルが「不正なことが確認されている」、「不正な可能性が非常に高い」または「不正な可 能性がある」のいずれかであることを示します。 • グレーの値は、レピュテーション値が「使用不能」であることを意味します (ネットワーク パスの実行要求の場 合のみ)。 レピュテーション ソースは、レピュテーションの取得元を表します。 レピュテーション ソースの値は、「TIE」、 「GTI」、「Application Control」、「非同期」または「使用不能」です。 TIE の値をクリックすると、[TIE レピュテ ーション] ページが開き、選択したバイナリ ファイルの関連情報が表示されます。 レピュテーションの計算方法に ついては、『ファイルと証明書のレピュテーション』を参照してください。 要求の状態は、実行するアクションによって異なります。 • 関連するバイナリ ファイルに許可ルールだけが定義されている場合、要求の [承認ステータス] は [許可] に設定 され、バイナリ ファイルにエンドポイントでの実行が許可されます。 • バイナリ ファイルに禁止ルールと許可ルールが定義されている場合、要求の [承認ステータス] は [禁止] に設定 され、エンドポイントでの実行が許可されません。 最近のいくつかのリリースでは、意味のある関連要求だけが McAfee ePO コンソールに表示されるようにソフトウェ アが最適化されています。 ただし、定期的またはシステムによって生成される監視の中で環境に関係のないものを排 除するように、除外ルールを定義できます。 任意のプロセスに対する除外ルールを手動で定義する場合、Application Control ポリシーの[フィルター] タブを使用します。 114 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 要求を管理する 8 タスク • 115 ページの「すべてのエンドポイントでのファイルの許可」 企業内のすべてのエンドポイントでアプリケーションまたはバイナリ ファイルの実行を許可するルール を定義します。 • 116 ページの「すべてのエンドポイントで証明書に基づいて実行を許可する」 企業内のすべてのエンドポイントでバイナリ ファイルの証明書に基づいてアプリケーション、バイナリ ファイル、ActiveX コントロールの実行を許可するルールを定義します。 • 116 ページの「すべてのエンドポイントでネットワーク ファイルを許可する」 企業内のすべてのエンドポイントでネットワーク ファイル (ネットワーク パス上のファイル) の実行を 許可するルールを定義します。 • 117 ページの「すべてのエンドポイントで SHA-1 に基づいて実行を禁止する」 企業内のすべてのエンドポイントで、バイナリ ファイルの SHA-1 に基づいてアプリケーションまたは バイナリ ファイルの実行を禁止するルールを定義します。 • 118 ページの「特定のエンドポイントにルールを定義する」 管理グループ内の固有のエンドポイントにアプリケーション、バイナリ ファイル、ActiveX コントロー ルを許可または禁止する事前追加ルールを追加します。 また、必要に応じて特定のエンドポイントまた はグループにカスタム ルールを定義することもできます。 McAfee ePO 管理者であれば、企業内の特 定のエンドポイントにルールを定義できます。 • 119 ページの「特定のエンドポイントのホワイトリストに追加して許可する」 エンドポイントのホワイトリストに 1 つ以上のバイナリ ファイルを追加して、エンドポイントでのファ イルの実行を許可します。 • 120 ページの「すべてのエンドポイントにバイパス ルールを定義する」 アプリケーションまたはバイナリ ファイルが適用済みのメモリー保護などの技術をバイパスするルール を定義します。 • 121 ページの「ファイル レピュテーションを変更する」 [TIE レピュテーション] ページで、ファイルのレピュテーションを確認または編集します。 • 121 ページの「ファイルの詳細を表示する」 ファイルの詳細を確認します。 • 121 ページの「イベントの表示」 要求に関連するイベントを確認します。 • 122 ページの「要求を削除する」 選択した要求を [ポリシー検出] ページとデータベースから削除します。 すべてのエンドポイントでのファイルの許可 企業内のすべてのエンドポイントでアプリケーションまたはバイナリ ファイルの実行を許可するルールを定義しま す。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 アクティビティ タイプに応じて、ファイルの SHA-1、名前あるいはその両方にルールが作成されます。 更新プログ ラム権限がファイルに付与される場合があります。 詳細については、『McAfee Application Control ベストプラク ティス ガイド』の『配備の推奨事項とガイドライン』を参照してください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 115 8 監視モードでの Application Control の配備 要求を管理する タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [全体でバイナリを許可する]の順にクリックします。 [全体でバイナリを許可する] ダイアログ ボックスに詳細およびアクションを確認するプロンプトが表示されま す。 4 [OK] をクリックします。 選択された要求に関連するバイナリ ファイルに対し、ルールが作成され、[McAfee デフォルト] ポリシーに含まれ る [グローバル ルール] ルール グループに追加されます。 ルール グループの表示または編集方法についての詳細 は、『作成したルールを確認する』を参照してください。 すべてのエンドポイントで証明書に基づいて実行を許可する 企業内のすべてのエンドポイントでバイナリ ファイルの証明書に基づいてアプリケーション、バイナリ ファイル、 ActiveX コントロールの実行を許可するルールを定義します。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [証明書によってグローバルに許可する] の順にクリックします。 要求に関連付けられたメイン バイナリが [制限付き証明書名] のリストに含まれている証明書で署名されている 場合、[証明書によってグローバルに許可する] アクションは使用できません。 [証明書によってグローバルに許可する] ダイアログ ボックスに詳細が表示され、アクションが確認されます。 証明書に更新プログラム特権が割り当てられるかどうかは、選択された要求に関連するバイナリ ファイルにより ます。 証明書に更新プログラム特権がある場合、証明書によって実行を許可すると、証明書によって署名された すべてのアプリケーションに実行ファイルの変更や、エンドポイントで起動が許可されます。 4 [OK] をクリックします。 選択された要求に関連する証明書にルールが作成され、[McAfee デフォルト] ポリシーに含まれる [グローバル ルー ル] ルール グループに追加されます。 ルール グループの表示または編集方法についての詳細は、 『作成したルールを 確認する』を参照してください。 すべてのエンドポイントでネットワーク ファイルを許可する 企業内のすべてのエンドポイントでネットワーク ファイル (ネットワーク パス上のファイル) の実行を許可するル ールを定義します。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 116 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 要求を管理する 8 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [信用できるパスを全体で許可] の順にクリックします。 [信用できるパスを全体で許可] ダイアログ ボックスに詳細が表示され、アクションを確認するプロンプトが表示 されます。 選択した要求に関連するネットワーク パスによっては、推奨の代替パスがパスの長さ順に表示されま す。また、推奨パスで保留中の要求数も表示されます。 パスを許可すると、そのネットワーク パスとサブディレクトリにあるすべてのソフトウェアに更新プログラム特権 が付与されます。 信用できるパスを追加する場合には慎重に行ってください。 ネットワーク パスからの要求を全体で承認すると、承認されたネットワーク パスとそのサブディレクトリの要求 は McAfee ePO に送信されなくなります。 4 [OK] をクリックします。 特定のネットワーク パスを許可するルール (ネットワーク パスとサブディレクトリにあるすべてのソフトウェアに 更新プログラム特権を付与するルール) が [McAfee デフォルト] ポリシーのグローバル ルール ルール グループに 追加されます。 ルール グループの表示または編集方法についての詳細は、 『作成したルールを確認する』を参照して ください。 すべてのエンドポイントで SHA-1 に基づいて実行を禁止する 企業内のすべてのエンドポイントで、バイナリ ファイルの SHA-1 に基づいてアプリケーションまたはバイナリ フ ァイルの実行を禁止するルールを定義します。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [全体でバイナリを禁止する]の順にクリックします。 [全体でバイナリを禁止する] ダイアログ ボックスが開き、詳細が表示されます。また、アクションを確認するプ ロンプトが表示されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 117 8 監視モードでの Application Control の配備 要求を管理する 4 [OK] をクリックします。 選択された要求に関連するバイナリ ファイルに対し、ルールが作成され、[McAfee デフォルト] ポリシーに含ま れる [グローバル ルール] ルール グループに追加されます。 ルール グループの表示または編集方法についての 詳細は、『作成したルールを確認する』を参照してください。 MSI ベースのインストーラーなどのインストーラーを禁止するには、手順 3 と手順 4 でインストーラーを全体 で禁止するだけでなく、手順 5 を完了して、インストーラーが実行されたエンドポイントでインストーラーに追 加されたファイルも禁止する必要があります。 たとえば、エンドポイントで Mozilla Firefox 12 (Firefox-12.0-af.msi) 用の MSI ベースのインストーラーが実行された場合、エンドポイント上でインストーラ ーが追加したファイルを禁止する必要があります。 5 エンドポイントにすでに追加されているファイルを禁止します。 a アプリケーション名のリンクをクリックします。 エンドポイントにインストールされたすべてのバイナリ ファイルが [バイナリ] ページに表示されます。 b 表示されているバイナリ ファイルすべてを選択します。 c [アクション] 、 [バイナリを禁止] の順にクリックし、[バイナリの許可または禁止] ウィザードを開きます。 d ルールのルール グループを指定します。 • ルールを既存ルール グループに追加するには、[既存のルール グループに追加] を選択し、リストからル ール グループを選択してオペレーティング システムを指定します。 • ルールを使用してルール グループを作成するには、[ルール グループの新規作成] を選択し、ルール グル ープ名を入力してオペレーティング システムを指定します。 e ルールを追加するルール グループが、要求を受信したエンドポイントに適用されているポリシーに追加され ていることを確認します。 f [次へ] をクリックします。 g ルールを確認し、[保存] をクリックします。 MSI ベースではないインストーラーやユーザー インターフェースの [インベントリ] にバイナリが表示されない インストーラーの場合にも、2 段階で禁止する必要があります。 全体でインストーラーを禁止し、企業内の他のエ ンドポイントで実行できないようにします (手順 3 と手順 4)。 次に、アプリケーションに対応するバイナリ ファ イルを手動で検索し、ユーザー インターフェースの [インベントリ] を使用してファイルを禁止する必要がありま す。 特定のエンドポイントにルールを定義する 管理グループ内の固有のエンドポイントにアプリケーション、バイナリ ファイル、ActiveX コントロールを許可また は禁止する事前追加ルールを追加します。 また、必要に応じて特定のエンドポイントまたはグループにカスタム ル ールを定義することもできます。 McAfee ePO 管理者であれば、企業内の特定のエンドポイントにルールを定義で きます。 このタスクを実行するには、適切な権限が必要です。 必要な権限がない場合には、McAfee ePO 管理者に連絡して ください。 権限の詳細については、『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 118 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 カスタム ルールを定義する要求を選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 要求を管理する 8 3 [アクション] 、 [カスタム ポリシーの作成] の順に選択し、[ポリシー検出: カスタム ルール] ページを開きま す。 4 次のいずれかの操作を実行します。 操作... 手順... [事前追加ルー 1 [要求の承認]、[要求の禁止]、[証明書によって許可する]、[信用できるパスを許可] または ルを確認して追 [メモリー保護をバイパス] を選択します。 加する] [メモリー保護をバイパス] オプションは、監視モードでのみ使用できます。 Application Control メモリー保護技術で防止されたアクションを自己承認して実行することはできない ため、承認要求では使用できません。 2 事前追加されたルールを確認します。 3 必要に応じて、別のルールを定義します。 [カスタム ルー ルの定義] 1 [ルールをクリアして定義する] を選択します。 2 表示された要求の詳細を確認します。 3 関連するルールを定義します。 5 ルールのルール グループを指定します。 • ルールを既存ルール グループに追加するには、[既存を選択] を選択し、リストからルール グループを選択し ます。 ネットワーク パスを追加するルールを追加する場合には、ルール グループを慎重に選択してください。 [グロ ーバル ルール] ルール グループにルールを追加すると、そのネットワーク パスからの要求が自動的に承認さ れます。 また、カスタム ルール グループにルールを追加すると、そのネットワーク パスからの要求は自動的 に承認されません。 • 6 7 ルール グループを作成するには、[新規作成] を選択し、ルール グループ名を入力します。 (任意) 変更または作成されたルール グループをポリシーに追加します。 a [ルール グループを既存ポリシーに追加] を選択します。 b ルール グループを追加するポリシーを選択します。 [保存] をクリックします。 グループ化されたすべての要求が承認されます。 ネットワーク パスから受信した要求で [保存] をクリックする と、[サブディレクトリに対する要求の承認] ポップアップ ウィンドウが開き、関連するすべての要求を承認する チェックボックスが表示されます。 必要であれば、このチェックボックスを選択して [OK] をクリックし、ネッ トワーク パスとそのサブディレクトリから受信したすべての要求を承認します。 特定のエンドポイントのホワイトリストに追加して許可する エンドポイントのホワイトリストに 1 つ以上のバイナリ ファイルを追加して、エンドポイントでのファイルの実行 を許可します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 119 8 監視モードでの Application Control の配備 要求を管理する タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 行をクリックして [要求の詳細] ページを開き、要求の詳細を確認します。 [企業レベルのアクティビティ] ペインの各行に、バイナリ ファイルとエンドポイントの組み合わせが表示されま す。 3 行の [ローカルで許可] をクリックします。 [ローカルで許可] ダイアログ ボックスが開き、ホワイトリストに追加するパスが表示されます。 [ローカルで許可] アクションは、ホワイトリスト (アプリケーション実行アクティビティ) にないアプリケーショ ンの実行時に生成された要求でのみ使用できます。 4 表示されたパスを確認して、カスタマイズします。 たとえば、エンドポイントで proc.exe を実行すると、次のパスが表示されます。 C:\Program Files\<アプリ名>\proc.exe C:\Program Files\<アプリ名>\a.dll C:\Program Files\<アプリ名>\b.dll 冗長性を回避するため、C:\Program Files\App Name だけを追加します。 5 [OK] をクリックします。 指定したパスがホワイトリストに追加され、エンドポイントでの実行が許可されます。 すべてのエンドポイントにバイパス ルールを定義する アプリケーションまたはバイナリ ファイルが適用済みのメモリー保護などの技術をバイパスするルールを定義しま す。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 バイパス ルールを定義する要求を選択します。 3 [アクション] 、 [メモリー保護を全体でバイパスする]の順にクリックします。 4 確認のプロンプトが表示されたら [OK] をクリックします。 選択された要求に関連するバイナリ ファイルに対し、ルールが作成され、[McAfee デフォルト] ポリシーに含まれ る [グローバル ルール] ルール グループに追加されます。 ルール グループの表示または編集方法についての詳細 は、『作成したルールを確認する』を参照してください。 120 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 要求を管理する 8 ファイル レピュテーションを変更する [TIE レピュテーション] ページで、ファイルのレピュテーションを確認または編集します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 次のいずれかの操作を実行します。 • [Solidcore イベント] ページで、イベントに移動します。 • [ポリシー検出] ページで要求を選択し、[アクション] 、 [詳細]の順にクリックします。 2 [ファイル レピュテーション (TIE) を変更する] を選択して、[TIE レピュテーション] ページを開きます。 3 ファイルの情報を確認します。 4 (任意) ファイル レピュテーションを編集します。 a [アクション] をクリックします。 b アクションを選択します。 使用可能なアクションの詳細については、ご使用のバージョンの『Threat Intelligence Exchange 製品ガイ ド』を参照してください。 ファイルの詳細を表示する ファイルの詳細を確認します。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 タスク 1 次のいずれかの操作を実行します。 • [Solidcore イベント] ページで、イベントに移動します。 • [ポリシー検出] ページで要求を選択し、[アクション] 、 [詳細]の順にクリックします。 2 [ファイルの詳細を表示する] を選択して、[バイナリの詳細] ページを開きます。 3 ファイルの情報を確認します。 詳細については、『インベントリを確認する』を参照してください。 イベントの表示 要求に関連するイベントを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択して、[ポリシ ー検出] ページを開きます。 2 関連イベントを表示する要求を選択します。 3 [アクション] 、 [詳細] 、 [関連イベントを表示する] の順にクリックして、[Solidcore イベント] ページを開き ます。 4 イベント情報を確認します。 詳細については、『イベントを確認する』と『ルールを定義する』を参照してください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 121 8 監視モードでの Application Control の配備 監視とイベントにフィルターを指定する 要求を削除する 選択した要求を [ポリシー検出] ページとデータベースから削除します。 最適なパフォーマンスを維持するため、[Solidcore: ポリシー検出結果の自動削除] サーバー タスクが毎週実行され、 生成されて 3 か月を過ぎたポリシー検出要求が完全に削除されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 削除する要求を選択します。 3 [アクション] 、 [要求の削除]の順にクリックします。 4 確認のプロンプトが表示されたら [OK] をクリックします。 選択された照合要求と含まれる個別要求すべてがページおよびデータベースから削除されます。 作成したルールの確認 処理済みの要求に作成されたグループ ルールを確認して管理します。 開始する前に このタスクを実行できるには、McAfee ePO の管理者または [グローバル ルール] ルール タスクの所有 者でなければなりません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブで、次のオプションを選択します。 • タイプ に [Application Control]。 • プラットフォームに [Windows]。 3 [グローバル ルール] ルール グループを選択します。 4 ルール グループの [編集] をクリックします。 5 含まれるルールを確認します。 6 必要に応じて、定義されたルールを編集します。 7 [ルール グループを保存] をクリックします。 監視とイベントにフィルターを指定する 詳細除外フィルターを指定して、意味のない監視とイベントをエンドポイントから除外します。 122 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 監視をスロットルする 8 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 2 [フィルター] タブで、[監視とイベント] を展開します。 3 [ルールの追加] をクリックします。 新規フィルター行が表示されます。 ファイル、イベント、プログラム、レジストリ キーおよびユーザーに基づいてフィルターを作成できます。 デフ ォルトでは、定義されたフィルターはすべて監視に適用されます。 4 フィルターを指定するための設定を編集します。 5 [+] または [ルールの追加] をクリックして、それぞれに追加の AND または OR 条件を指定します。 6 ルールに対し [イベントにもルールを適用] を選択し、イベントにフィルター ルールを適用します。 [Solidcore イベント] ページから詳細除外フィルターを指定することもできます。 詳細については、『イベント を除外する』を参照してください。 監視をスロットルする 生成された監視要求を頻繁に確認し、管理すると、環境内で関連したルールを定義できます。 監視をタイムリーに処 理しないと、エンドポイントから類似した監視を繰り返し取得することになります。 追加したエンドポイントを監視モードに切り替えたり、既存のエンドポイント (監視モード) に複数のアクティビテ ィを同時に実行すると、関連するイベントがなくなり、監視が過剰に生成される可能性があります。 McAfee ePO サ ーバーでエンドポイントから受信する監視数が多くなると、McAfee ePO インターフェースの反応が遅くなる可能性 があります。 監視をスロットルすることで、McAfee ePO インターフェースの無応答を回避することができます。 McAfee ePO サーバーが受信した監視数が定義済みのしきい値に達すると、監視スロットルが開始します。 監視スロットルが開始 すると、次のアクションが実行されます。 • McAfee ePO で監視の処理が停止し、McAfee ePO インターフェースの無応答を回避します。 • [スロットル ルール] ポリシーが [ユーザーの組織] グループに適用され、エージェント/サーバー間通信間隔後に すべてのエンドポイントで監視の生成が停止します。 • [監視結果しきい値超過] イベントが生成されます。 このイベントは、[脅威イベント ログ] ページに表示され、 自動応答の作成時に使用されます。 自動応答の作成方法については、『McAfee ePolicy Orchestrator 製品ガイ ド』を参照してください。 • [ポリシー検出] ページに警告メッセージが表示され、監視生成が停止していることが通知されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 123 8 監視モードでの Application Control の配備 監視をスロットルする タスク • 124 ページの「しきい値を定義する」 デフォルトでは、Application Control は 24 時間で 100,000 個の監視結果を処理します。 この値を 変更して、企業のしきい値を定義できます。 • 124 ページの「フィルター ルールを確認する」 スロットルを実装するには、すべての監視をフィルタリングして停止するルールを [監視要求の停止] ル ール グループに追加します。 • 125 ページの「集約した要求を管理する」 管理グループで受信した要求を処理するには、要求に関連するアクションを実行します。 要求を確認し て実行するルールを選択します。 • 125 ページの「監視生成を再開する」 既存の要求を処理し、複数の要求にルールを定義したら、エンドポイントで監視生成を再開します。 しきい値を定義する デフォルトでは、Application Control は 24 時間で 100,000 個の監視結果を処理します。 この値を変更して、企 業のしきい値を定義できます。 McAfee ePO サーバーが過去 24 時間に受信した監視数が定義済みのしきい値に達すると、監視スロットルが開始し ます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [サーバー設定]の順にクリックします。 2 [カテゴリの設定] ペインで [Solidcore] を選択します。 3 [スロットルを開始し、監視生成を抑止するしきい値 (6.1.1 以前のエンドポイント)] の値を変更します。 フィルター ルールを確認する スロットルを実装するには、すべての監視をフィルタリングして停止するルールを [監視要求の停止] ルール グルー プに追加します。 このルール グループは読み取り専用で、読み取り専用の [スロットル ルール] デフォルト ポリシーに割り当てられ ます。 初期状態では、このポリシーはシステムまたはグループに割り当てられていません。 受信した監視数が定義 済みのしきい値に達すると、このポリシーが [ユーザーの組織] (組織内のすべてのシステムとグループ) に適用され ます。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 タスク 124 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順にクリックします。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [スロットル ルール] ポリシーをクリックします。 4 [ルール グループ] ペインから [監視要求の停止] を選択します。 5 [フィルター] タブを選択します。 6 リストで表示されたルールを確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 監視モードでの Application Control の配備 監視モードの終了 8 集約した要求を管理する 管理グループで受信した要求を処理するには、要求に関連するアクションを実行します。 要求を確認して実行するル ールを選択します。 McAfee ePO 管理者であれば、企業内で受信した要求を処理できます。 詳細については、 『ポリシー検出権限』を参 照してください。 タスク • 要求の管理方法については、『要求を管理する』を参照してください。 監視生成を再開する 既存の要求を処理し、複数の要求にルールを定義したら、エンドポイントで監視生成を再開します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出]の順にクリックします。 [ポリシー検出] ページに、監視生成が停止していることを通知するメッセージが表示されます。 2 警告メッセージで [監視生成を有効にする] をクリックします。 監視モードの終了 次の手順を実行して、監視モードを終了します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順にクリックします。 2 次のいずれかのアクションを実行します。 • クライアント タスクをグループに適用するには、[システム ツリー] 内のグループを選択して [割り当て済み のクライアント タスク] タブに切り替えます。 • エンドポイントにクライアント タスクを適用するには、[システム] ページでエンドポイントを選択して、 [ア クション] 、 [エージェント] 、 [単一システムでのタスクの変更]の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 [Solidcore 7.0.0] 、 [SC: 監視モード] の順に選択し、[タスクの新規作成] をクリックして、[クライアント タ スク カタログ] ページを開きます。 5 タスク名を指定し、任意の詳細情報を追加します。 6 [監視モードを終了します]を選択します。 7 エンドポイントを有効モードまたは無効モードで配置するかどうかを指定します。 8 [保存] をクリックしてして [次へ] をクリックし、[スケジュール] ページを表示します。 9 スケジュールの詳細を指定し、[次へ]をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 125 8 監視モードでの Application Control の配備 監視モードの終了 10 タスクの詳細を確認および検証し、[保存]をクリックします。 11 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 126 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 9 保護の監視 Application Control が有効モードで実行中のときには、信用された承認プログラム (実行可能バイナリとスクリプ ト ファイル) のみが実行され、不正または未承認のプログラムは実行できません。また、承認プログラムは変更でき ません。 Application Control は、有効モードで実行するとき、管理対象エンドポイントへの変更を許可するための 様々な方法を提供します。 更新プログラム プロセス、証明書、インストーラー、信用できるユーザー、信用できるディレクトリを定義するよう 選択できます。 また、エンドポイントに対してアドホックな変更を実行するには、エンドポイントを更新モードで配 置します。 それぞれの方法の詳細については、『エンドポイントに対する変更の許可』を参照してください。 目次 Application Control を有効にする 事前定義ルールの確認 イベントの確認 ルールを定義する ActiveX コントロール Application Control を有効にする エンドポイントを有効モードにして、Application Control を有効にします。 エンドポイントが監視モードで稼働中の場合に、[SC: 監視モード] クライアント タスクを実行して監視モードを終了 し、エンドポイントを有効モードで配置します。 詳細な手順については、 『監視モードを終了する』を参照してくださ い。 また、エンドポイントが無効モードで稼働中の場合は、[SC: インベントリのプル] クライアント タスクを実行し てインベントリを取得し、エンドポイントを有効モードで配置します。 これにより、インベントリが更新され、不一 致を避けることができます。 詳細については、『インベントリを取得する』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブに切り 替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 [Solidcore 7.0.0] 、 [SC: 有効] の順に選択し、[タスクの新規作成] をクリックして、[クライアント タスク カ タログ] ページを開きます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 127 9 保護の監視 Application Control を有効にする 5 タスク名を指定し、任意の詳細情報を追加します。 6 次のフィールドを選択します。 7 a プラットフォームを選択します。 b サブプラットフォームを選択します ([Windows] および [Unix] プラットフォームの場合のみ)。 c バージョンを選択します ([NT/2000 サブプラットフォームを除くすべて]の場合のみ)。 d [Application Control] を選択します。 以下の手順を完了して、Application Control を有効にします。 Solidcore クライアントのバ ージョン 手順 Solidcore クライアントのバー 1 [最初のスキャンを実行してホワイトリストを作成する] を選択して、 ジョン: Application Control を有効にするときにホワイトリストを作成します。 • 5.1.2 以前(UNIX) Application Control では、エンドポイント システム上に存在するすべての • 5.1.5 以前(Windows) 実行可能ファイルのリスト (いわゆるホワイトリスト) を作成する必要があ ります。 ホワイトリストを作成する 1 回限りのアクティビティーは、ホワ イトリスティングまたはソリディフィケーションといいます。 Solidcore クライアントを有効にしている間にインベントリを作成するか、または後に 延期するかを選択できます。 スキャンを後で実行する場合は、[SC: 有効] タスクを適用してシステムを 再起動した後に、[SC: ホワイトリスト作成のための初期スキャン] クライ アント タスクを実行します。 2 [エンドポイントを再起動] を選択し、ソリディフィケーション完了後にエン ドポイントを再起動します。 ソフトウェアを有効にするには、システムの再起動が必要になります。エン ドポイントを再起動する 5 分前に、ポップアップ メッセージがエンドポイ ントで表示されます。これによって、ユーザはエンドポイント上で作業およ びデータを保存できます。 Solidcore クライアント バー ジョン 6.1.0 以降 (UNIX) の 場合 [エンドポイントを再起動] の選択を解除します。 Solidcore クライアント バージョン 6.1.0 以降を使用する場合は、ソフトウ ェアを有効にするためにシステムの再起動は必要ありません。 Solidcore クライアント バー 1. スキャンの優先度を指定します。 ジョン 6.0.0 以降 (Windows) スキャンの優先度を設定すると、エンドポイント上でホワイトリストを作成す の場合 るために実行されるスレッドの優先度が決まります。 スキャンの優先度を [低] に設定します。 これによって、Application Control はエンドポイント Solidcore クライアント 上でのパフォーマンスの影響が最小限に抑えられますが、ホワイトリストの作 バージョン 6.2 以降は 成には (優先度を [高] に設定した場合よりも) 時間が長くかかる可能性があ Windows NT、Windows ります。 2000、HP-UX、Solaris、 WindRiver Linux プラ ットフォームで使用でき ません。 128 2. アクティベーション オプションを指定します。 [限定的機能の有効化] エンドポイントは再起動されず、Application Control の機能は制限された状態 (メモリー保護機能は使用不 能) でアクティブになります。 メモリー保護機能は、 エンドポイントが再起動された後でのみ使用可能にな ります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 保護の監視 事前定義ルールの確認 Solidcore クライアントのバ ージョン 9 手順 [全機能の有効化] エンドポイントが再起動され、ホワイトリストが作成 されると共に、メモリー保護を含む Application Control の全機能がアクティブになります。 エンド ポイントの再起動は、メモリー保護機能を有効にする ために必要になります。 クライアント タスクがエン ドポイントで受信されてから 5 秒後に、エンドポイン トは再起動します。 エンドポイントの再起動前に、ポ ップアップ メッセージがエンドポイントで表示され ます。 3. [監視モードを起動します] を選択し、エンドポイントを監視モードで配置 します。 監視モード機能は、Windows でのみ使用できます。 4. (任意) [インベントリのプル] を選択します。 このオプションを選択する場合、ソフトウェアは (ホワイトリスト作成後に) エンドポイントのインベントリの詳細を取得し、エージェント/サーバー間通 信間隔 (ASCI) 経過後に McAfee ePO コンソール上でその詳細を利用できる ようにします。 McAfee ePO サーバーを使用してインベントリを管理する場 合には、このオプションを選択します。 8 [保存] をクリックします。 9 [次へ] をクリックし、[スケジュール] ページを開きます。 10 スケジュールの詳細を指定し、[次へ] をクリックします。 11 タスクの詳細を確認して、[保存] をクリックします。 12 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 事前定義ルールの確認 Application Control では、Oracle や Adobe Acrobat など、よく使用する複数のアプリケーションの実行を許可す るためのルールが事前に定義されています。 デフォルトでは、このようなルールはシステム ツリー内のグローバル ルートに適用されているので、すべての McAfee ePO 管理対象エンドポイントがルールを継承します。 エンドポイントが McAfee ePO に接続するとすぐに、エンドポイントのオペレーティング システムに適用できる McAfee デフォルト ポリシーが実行されます。 [ユーザーの組織] から [McAfee アプリケーション (McAfee デフ ォルト)] と [McAfee デフォルト] ポリシーは削除しないでください。 McAfee Default ポリシーに含まれる事前定義ルールを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 すべてのカテゴリのすべてのポリシーが表示されます。 [McAfee Default] ポリシーは、対象のオペレーティン グ システムごとに存在します。 3 関連ポリシーを開きます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 129 9 保護の監視 イベントの確認 4 ルールを確認します。 5 [キャンセル] をクリックします。 イベントの確認 保護対象システムでファイルやプログラムが変更されたり、実行されると、Application Control はアクションをブ ロックし、関連するイベントをエンドポイントで生成します。 管理対象システムで生成されたイベントはすべて、 McAfee ePO サーバーに送信されます。 生成されたイベントの確認および管理を行い、管理対象エンドポイントの ステータスをモニタリングします。 [Solidcore: 正常性モニタリング] ダッシュボードの [過去 7 日間でイベント数の最も多い上位 10 件のシステムで 発生数の多いイベントの上位 10 件] モニターで、すぐにアクションが必要なデータを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 [時間フィルタ] リストからオプションを選択して、イベントを表示する対象の期間を指定します。 3 イベントを表示する対象のエンドポイントを指定します。 4 a [システム ツリー] で必要なグループを選択します。 b [システム ツリー フィルタ] リストからオプションを選択します。 (任意) 1 つ以上のフィルターを適用して、特定のイベントのみを表示します。 a [詳細フィルター] をクリックして、[フィルター条件の編集] ページを開きます。 b 利用できるプロパティを選択します。 c 比較演算子とプロパティ値を指定します。 たとえば、実行拒否イベントのみを表示するには、[イベント表示名] プロパティを選択して、比較演算子に [等しい] に設定し、値に [実行拒否] を選択します。 d [フィルタの更新] をクリックします。 指定した条件に一致するイベントが表示されます。 5 (任意) 『レピュテーション ベースの実行とは?』 をクリックして、ファイルの実行を許可または禁止するため に Application Control が順番に実行する検査を確認します。 ただし、これらの検査は Change Control 製品 に実行されません。 タスク 130 • 131 ページの「イベントの詳細を表示する」 イベントの詳細情報を確認します。 • 131 ページの「イベントの詳細を確認する」 1 つ以上のイベントでエンドポイントの詳細を確認します。 • 131 ページの「要求を表示する」 イベントに関連する要求を確認します。 • 121 ページの「ファイルの詳細を表示する」 ファイルの詳細を確認します。 • 121 ページの「ファイル レピュテーションを変更する」 [TIE レピュテーション] ページで、ファイルのレピュテーションを確認または編集します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 保護の監視 イベントの確認 9 イベントの詳細を表示する イベントの詳細情報を確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 イベント行をクリックします。 [イベント モニタリングの詳細] ページが開きます。 このページには、イベントの表示名、ファイルの SHA-1、 ファイルの MD5、実行時のレピュテーション、拒否理由 (実行拒否イベントの場合) などのイベント情報が表示 されます。 2 イベントの詳細を確認します。 3 [閉じる] をクリックします。 大部分のイベントに関しては、どのようなアクションも実行する必要はありません。 ただし、有効な保護によって 正当なアプリケーションの実行が妨げられている場合、ルールを定義する必要があります。 イベントが実行拒否、 Nx 違反の検出、ファイルの書き込み拒否、ActiveX のインストール禁止、プロセス ハイジャックの試行、インス トール拒否の場合、[ポリシー検出] ページで要求を確認し、必要に応じてルールを定義してください。 イベントの詳細を確認する 1 つ以上のイベントでエンドポイントの詳細を確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 1 つ以上のイベントを選択します。 2 [アクション] 、 [関連するシステムを表示] の順にクリックします。 [関連システム] ページに、選択したイベントに対応するエンドポイントの一覧が表示されます。 3 行をクリックして、エンドポイントの詳細情報を確認します。 4 (任意) エンドポイントでアクションを実行します。 要求を表示する イベントに関連する要求を確認します。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 タスク 1 [関連する要求を表示する] を選択して、[要求の詳細] ページを開きます。 2 要求の情報を確認します。 詳細については、『要求を確認する』と『要求を処理する』を参照してください。 ファイルの詳細を表示する ファイルの詳細を確認します。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 131 9 保護の監視 ルールを定義する タスク 1 次のいずれかの操作を実行します。 • [Solidcore イベント] ページで、イベントに移動します。 • [ポリシー検出] ページで要求を選択し、[アクション] 、 [詳細]の順にクリックします。 2 [ファイルの詳細を表示する] を選択して、[バイナリの詳細] ページを開きます。 3 ファイルの情報を確認します。 詳細については、『インベントリを確認する』を参照してください。 ファイル レピュテーションを変更する [TIE レピュテーション] ページで、ファイルのレピュテーションを確認または編集します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 次のいずれかの操作を実行します。 • [Solidcore イベント] ページで、イベントに移動します。 • [ポリシー検出] ページで要求を選択し、[アクション] 、 [詳細]の順にクリックします。 2 [ファイル レピュテーション (TIE) を変更する] を選択して、[TIE レピュテーション] ページを開きます。 3 ファイルの情報を確認します。 4 (任意) ファイル レピュテーションを編集します。 a [アクション] をクリックします。 b アクションを選択します。 使用可能なアクションの詳細については、ご使用のバージョンの『Threat Intelligence Exchange 製品ガイ ド』を参照してください。 ルールを定義する ルールを定義して変更を許可し、適用済みの保護を上書します。 使用可能ないずれかの方法でルールを定義します。 132 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 保護の監視 ルールを定義する 9 タスク • 133 ページの「カスタム ルールを作成する」 大部分のイベントに関しては、どのようなアクションも実行する必要はありません。 ただし、有効な保 護によって正当なアプリケーションの実行が妨げられている場合、ルールを定義する必要があります。 • 134 ページの「ポリシーの作成」 特定のルールをルール グループまたはポリシーに追加します。 Application Control オプション (Windows) カテゴリのポリシーを除き、Application Control ポリシーはマルチスロット ポリシーで す。ユーザーはシステム ツリー内の 1 つのノードに複数のポリシーを割り当てることができます。 • 135 ページの「イベントの除外」 ルールを定義して、定期的にシステムによって自動で生成される、モニタリングまたは監査に関連しな いイベントを整理できます。 コンプライアンス要件を満たす上で不要なイベントを除外または無視しま す。 • 135 ページの「バイパス ルールの定義」 Windows プラットフォームに適用されたメモリー保護と他の技術をバイパスするルールをポリシーに 定義します。 Unix プラットフォームで作成できるのは、書き込み保護ルールから除外してスクリプト の実行を許可するルールだけです。 カスタム ルールを作成する 大部分のイベントに関しては、どのようなアクションも実行する必要はありません。 ただし、有効な保護によって正 当なアプリケーションの実行が妨げられている場合、ルールを定義する必要があります。 ルールを簡単に定義できるようにするため、Application Control ではイベントが生成され、次のイベントに対応す る監視も生成されます。 • [実行拒否] • [ActiveX のインストール禁止] • [ファイルの書き込み拒否] • [インストール拒否] • [プロセス ハイジャックの試行] • [VASR 違反の検出] • [Nx 違反検出] タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 [時間フィルター] リストからオプションを選択して、イベントを表示する対象の期間を指定します。 3 情報を表示するイベントを指定します。 4 a [システム ツリー] で必要なグループを選択します。 b [システム ツリー フィルタ] リストからオプションを選択します。 イベントの [ポリシーの作成] をクリックします。 選択したイベントの詳細情報が表示されます。 5 必要なルールを定義します。 6 ルールのルール グループを指定します。 • ルールを既存ルール グループに追加するには、[既存を選択] を選択し、リストからルール グループを選択し ます。 • ルール グループを作成するには、[新規作成] を選択し、ルール グループ名を入力します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 133 9 保護の監視 ルールを定義する 7 (任意) ポリシーに変更または作成されたルール グループを追加します。 a [ルール グループを既存ポリシーに追加] を選択します。 b ルール グループを追加するポリシーを選択します。 8 [保存] をクリックします。 9 更新されたルール グループが、エンドポイントに適用されたポリシーに含まれることを確認します。 ポリシーの作成 特定のルールをルール グループまたはポリシーに追加します。 Application Control オプション (Windows) カテ ゴリのポリシーを除き、Application Control ポリシーはマルチスロット ポリシーです。ユーザーはシステム ツリ ー内の 1 つのノードに複数のポリシーを割り当てることができます。 Application Control ポリシーの詳細については、『デフォルト ポリシーの事前定義ルール』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [アクション] 、 [新規ポリシー] の順にクリックして、[新規ポリシー] ダイアログ ボックスを開きます。 4 カテゴリを選択します。 5 次のいずれかの手順を実行します。 6 • [Application Control オプション (Windows)] カテゴリを選択した場合には、[既存のポリシーからポリシー を作成] リストから複製するポリシーを選択します。 • 他のカテゴリを選択した場合には、[既存のポリシーからポリシーを作成] リストから [空のテンプレート] を 選択し、ポリシーを最初から定義します。 ポリシー名を指定して [OK] をクリックし、[ポリシー設定] ページを開きます。 これで、ポリシーに含めるルールを定義できるようになりました。 ルールをルール グループに追加するか、また は新規ルールをポリシーに直接追加することができます。 • • 7 ルール グループを使用するには、手順 7 と手順 9 を完了します。 ルール グループの作成方法については、 『ルール グループを作成する』を参照してください。 ルールをポリシーに直接追加するには、手順 8 および 9 を完了します。 ルール グループをポリシーに追加します。 a [ルール グループ] タブでルール グループを選択します。 ルール グループに含まれるルールが各種タブに表示されます。 b ルールを確認します。 新規ルールをルール グループに追加する方法については、『ルール グループを管理する』を参照してくださ い。 134 c [ルール グループ] タブで [追加] を選択し、[ルール グループの選択] ダイアログ ボックスを開きます。 d 追加するルール グループを選択し、[OK] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 保護の監視 ルールを定義する 8 9 ルールをポリシーに追加します。 ルールの詳細については、『エンドポイントに対する変更の許可』を参照してください。 9 ポリシーを保存します。 イベントの除外 ルールを定義して、定期的にシステムによって自動で生成される、モニタリングまたは監査に関連しないイベントを 整理できます。 コンプライアンス要件を満たす上で不要なイベントを除外または無視します。 このタスクを実行するには、適切な権限が必要です。 必要な権限がない場合には、McAfee ePO 管理者に連絡して ください。 権限の詳細については、『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 除外するイベントを選択します。 3 [アクション] 、 [除外イベント] の順にクリックして、[イベント除外] ウィザードを開きます。 4 ルールの対象プラットフォームを選択します。 5 ルール グループの種類を選択して [次へ] をクリックして、[ルールの定義] ページを開きます。 6 ルールは、選択したイベントに基づいて自動的に設定されます。 7 必要に応じて、既存ルールの確認や絞り込みを行ったり、新規ルールを追加したりします。 8 [次へ] をクリックして、[ルール グループの選択] ページを開きます。 9 既存または新規ルール グループにルールを追加し、[保存] をクリックします。 10 ルール グループが関連ポリシーに追加され、ポリシーがエンドポイントに割り当てられていることを確認します。 バイパス ルールの定義 Windows プラットフォームに適用されたメモリー保護と他の技術をバイパスするルールをポリシーに定義します。 Unix プラットフォームで作成できるのは、書き込み保護ルールから除外してスクリプトの実行を許可するルールだ けです。 アプリケーションの中には、毎日の処理の一部として特殊な方法でコードを実行するものがあるため、実行が妨げら れます。 こうしたアプリケーションの実行を許可するには、適切なバイパス ルールを定義します。 無視されたファ イルまたはアプリケーションは、Application Control のメモリー保護機能によって考慮されなくなります。 ファイ ルのバイパスは、アプリケーションの実行を許可する最後の手段なので、細心の注意を払って使用してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 次のいずれかのタスクを実行します。 • 複数のエンドポイント全体で再利用するバイパス ルールを定義するには、Application Control の新規ルール グループを定義します。 詳細な手順については、『ルール グループを作成する』を参照してください。 • 1 つのエンドポイントにバイパス ルールを適用するには、Application Control ポリシーを新規作成します。 詳細な手順については、『ポリシーを作成する』を参照してください。 [除外] タブを選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 135 9 保護の監視 ルールを定義する 3 [追加] をクリックして、[除外ルールを追加する] ウィンドウを開きます。 4 バイパス ルールを追加するオプションのノードを展開します。 5 • [メモリー保護] • [インストールの検出] • [詳細オプション] (任意) バイパス ルールを追加する [メモリー保護] オプションを選択して、必要な情報を入力します。 a [32 ビット版 Windows のプロセスでバッファー オーバーフロー対策 (CASP) を無効にする] の場合、クリ ティカル アドレス空間保護 (CASP) 技術からバイパスするプロセスを [プロセス名] フィールドに指定しま す。 b [64 ビット版 Windows のプロセスでバッファー オーバーフロー対策 (NX) を無効にする] の場合、No eXecute (NX) 技術からバイパスするプロセスを [プロセス名] フィールドに指定します。 ファイルから開 始した子プロセスを No eXecute (NX) 技術の対象外にするには、[継承を有効にする] チェックボックスを 選択します。 c [プロセスで強制再配置による ROP 対策 (VASR) を無効にする] の場合、VASR 強制再配置技術からバイパ スするプロセスを [プロセス名] フィールドに指定します。 プロセスに関連する DLL ファイルの名前を [ラ イブラリ名] フィールドに指定することもできます。 d [DLL で DLL 再配置による ROP 対策 (VASR) を無効にする] の場合、VASR DLL 再配置技術からバイパス する DLL ファイルを [ライブラリ名] フィールドに指定します。 ファイルはリベースされず、優先されるベ ース アドレスからロードされます。 e [プロセスでスタック ランダム化による ROP 対策 (VASR) を無効にする] の場合、VASR プロセス スタック ランダム化技術からバイパスするプロセスを [プロセス名] フィールドに指定します。 メモリー保護技術にバイパス ルールの追加が必要になるのは、通常、次のような場合です。 • Windows またはアプリケーションの更新で、ブラウザーで内部エラーが発生した場合。 たとえば、システムで Adobe Reader の実行に失敗し、内部エラーが発生した場合です。 • Google Chrome などのブラウザーの起動後、ブランク ページが表示される場合。 これらの問題を解決するには、次の手順に従います。 136 a アプリケーションまたはブラウザーのインストーラー ファイルに更新プログラム特権を設定します。 b エンドポイントで更新モードに切り替え、アプリケーションまたはブラウザーを開始します。 c 使用している Windows アーキテクチャ (32 ビットまたは 64 ビット) に応じて CASP または NX 技術か らインストーラー ファイルをバイパスします。 d VASR 強制再配置技術からインストーラー ファイルをバイパスします。 e 使用している Windows アーキテクチャに応じて VASR 強制再配置と CASP (32 ビット) または NX (64 ビット) からインストーラー ファイルをバイパスします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 保護の監視 ルールを定義する 6 9 (任意) [アンインストールを許可する] オプションを選択して、必要な情報を入力します。 バージョン 6.1.1 以降を実行しているエンドポイントの場合、このオプションを使用すると、インストーラー パ ッケージに含まれているアンインストール バイナリ (EXE) の実行が許可されます。 パッケージ コントロール のアンインストール許可機能 (pkg-ctrl-allow-uninstall) が無効になっている場合、インストール プロセス が完了しているのか、アンインストールの実行中かを識別する方法がないため、アンインストール バイナリの実 行がブロックされます。 ただし、このオプションを使用すると、アンインストール許可機能でアンインストール バイナリがバイパスされるので、実行が許可されます。 たとえば、Firefox の場合、helper.exe というアンインストール バイナリがあります。 このバイナリは、アン インストールの他に、他のブラウザーからの設定のインポートなど、複数のタスクを実行します。 コントロール パネルから Firefox を削除すると、helper.exe がアンインストールを実行します。 このバイナリは他のタスク も実行します。 ただし、アンインストール許可機能が無効になっていると、アンインストール バイナリの実行が 許可されていないため、このようなタスクも拒否されます。 このリリースでは、アンインストール以外のタスクでアンインストール バイナリの実行を許可できます。 許可す るには、プロセス ベースのルールを使用します。 プロセス ベースのルールでは、次のコマンドを使用して特定 のコンテキストを指定し、アンインストール許可機能からアンインストール バイナリをバイパスします。 sadmin attr add -o parent=<parent_process_name> -i <process_name> このルールでは、<process_name> がプロセス <parent_process_name> から起動した場合にのみ、アンイ ンストール許可機能をバイパスし、実行が許可されます。 プロセス名 (アンインストール バイナリ) を [プロセス名] フィールドに指定子、親プロセス名を [親プロセス名] フィールドに指定します。 バイナリをバイパスする特定のコンテキストを指定するには、親プロセス名を必ず指 定する必要があります。 6.1.1 より前のバージョンを実行しているエンドポイントの場合、このオプションを使用すると、インストール検 出バイパス技術にデフォルトのルールが適用されます。また、EXE ベースのアンインストール バイナリの削除に は、新しい動作が部分的に適用されます。親プロセス名を指定するオプションを使用しません。 7 (任意) バイパス ルールを追加する [詳細オプション] を選択して、必要な情報を入力します。 これらの除外対象を適用する前に、McAfee サポートに連絡してください。 a [書き込み保護からファイルを除外してスクリプトの実行を許可する] の場合、[プロセス名] フィールドにプ ロセスを指定して、プロセスを書き込み保護ルールの対象外にし、コンテキスト ファイル操作のバイパス技 術を使用してスクリプト ファイルの実行を許可します。 必要であれば、[親プロセス名] フィールドに親プロ セスの名前を指定して、指定した親から起動した場合にのみファイルをバイパスします。 特定のシナリオでは、Application Control で正規のアプリケーションの実行をブロックできます。 このオプ ションを使用すると、32 ビットまたは 64 ビット版の Windows プラットフォームでファイルのバイパス ル ールを定義できます。 デフォルトの Application Control 機能に影響を及ぼす可能性があるため、このオプ ションを使用する場合には十分に注意してください。 b [ファイル操作からパスを除外する] の場合、[相対パス] フィールドに相対パスを指定し、skiplist -i コ マンドを使用してファイル操作の対象外にします。 このオプションは、アプリケーションまたはプロセスが多くのファイル(.dat、.log、.txt ファイルなど) に連続して入出力操作 (読み取り/書き込み) を行う場合に使用します。 Application Control は、システムで 発生したそれぞれのファイル アクティビティを追跡し、処理するため、入出力操作が多くなると、アプリケ ーションのパフォーマンスが低下する可能性があります。 入出力操作が頻繁に発生するログ ファイルや非対 応のファイルの相対パスを対象外にすることで、このパスに対するファイル操作が追跡されなくなります。 指定したパスのすべてのファイルに変更が許可されます。 また、指定したパスとそのサブディレクトリにあ るスクリプト ファイルにも実行が許可されます。 ただし、バイパス ルールを有効にするには、システムの再 起動が必要です。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 137 9 保護の監視 ルールを定義する c [書き込み保護ルールからパスを除外する] の場合、[相対パス] フィールドに相対パスを指定し、 skiplist -d コマンドを使用して書き込み保護ルールの対象外にします。 このオプションは、svchost.exe、services.exe、cmd.exe などの汎用プロセスが保護されたファイル に書き込みを試み、変更を拒否された場合に使用します。 汎用プロセスに更新プログラム権限を付与するこ とはできません。このオプションを使用すると、ファイルまたはファイル パスを書き込み保護ルールの対象 外にし、保護されたファイルに対する書き込みを汎用プロセスに許可することができます。 ただし、ホワイ トリストに存在するファイルやチェックサムで許可されるファイルの場合、ファイルの変更後にチェックサム が一致しなくなるため、実行が拒否されます。 d [ローカル パス、そのパスにあるファイルとサブディレクトリをすべてホワイトリストから除外する] の場合、 [パス] フィールドにローカル パスを指定し、skiplist -s コマンドを使用してローカル パスとそのサブデ ィレクトリにあるすべてのファイルを除外します。 このオプションは、次の場合に使用します。 • ユーザーがフォルダーまたはディレクトリにあるファイルを変更する必要がある場合 • Application Control が有効になっているシステムにネットワーク共有として設定されているフォルダー が存在しているときに、このフォルダーのファイルに対するコピー、変更またはダウンロードをユーザー に許可し、実行は許可しない場合。 • オペレーティング システム、アプリケーション、プロセスまたはユーザーが使用する一時フォルダーまた はディレクトリにあるファイルのコピー、バックアップ、削除を許可する場合。 更新プログラム プロセスを除くプロセスまたはユーザーは、固定化されたファイルを変更できません。 この オプションを使用してファイルまたはパスを設定すると、ホワイトリストからファイルを除外できます。 こ れにより、任意のプロセスまたはユーザーがパスにあるファイルを変更または削除できるようになります。 ただし、パスにあるファイルはホワイトリストに登録されないため、実行が拒否されます。 実行を許可する には、名前でファイルを許可する必要があります。 また、更新プログラム プロセスが作成した新しいファイ ルもホワイトリストに自動的に登録されません。 e [Application Control 保護からボリュームを除外する] の場合、[ボリューム] フィールドにボリュームを指 定し、skiplist -v コマンドを使用してボリュームを Application Control の保護対象から除外します。 このオプションを使用すると、指定したボリュームがホワイトリストから削除され、Application Control で 保護されなくなります。 このオプションは、次の場合に使用します。 • ユーザーがボリューム全体を Application Control の追跡と保護の対象外にする必要がある場合 • 書き込み保護ルールで実行またはインストールのみを許可する場合 • フォルダー (<システム ドライブ>\solidcore\) の作成が整合性検査に違反する場合 • ボリュームまたはドライブがファイルのコピーまたはバックアップ専用に指定されている場合 • ボリュームですべての種類の実行と書き込みが許可されている場合 Application Control が各ボリュームに接続し、対応ファイル システムのファイル操作を追跡しているとき に、このオプションを使用してボリュームを設定すると、Application Control の追跡と処理の対象外になり ます。 ただし、この設定を有効にするには、システムの再起動が必要です。 8 138 [OK] をクリックして、ルールを適用します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 9 保護の監視 ActiveX コントロール ActiveX コントロール デフォルトでは、Application Control はエンドポイント上で ActiveX コントロールをインストールしません。 ActiveX 機能を使用すると、エンドポイント上で ActiveX コントロールをインストールして実行できます。 この機 能は、レピュテーション ベースの実行ワークフローに統合されていません。 ただし、ActiveX コントロールによっ てダウンロードされたバイナリが不正なレピュテーションの別のバイナリを起動すると、ランタイム時に問題が発生 する場合があります。 この機能はデフォルトで有効になっています。Windows 8、Windows Embedded 8、Windows 8.1、Windows Embedded 8.1、Windows 10、Windows Embedded 10、Windows Server 2012、Windows Server 2012 R2 を除く、サポート対象のすべての Windows プラットフォームで利用できます。 サポート対象外のプラットフォー ムの場合、[ポリシー検出] ページで ActiveX を識別するポリシーとルールは使用できません。 ActiveX コントロールのインストールをサポートしているのは、Internet Explorer のみです。 64 ビット版のオペレ ーティング システムを使用している場合、ActiveX コントロールのインストールをサポートしているのは、32 ビット 版の Internet Explorer アプリケーションのみです。 Internet Explorer で複数のタブを使用し、ActiveX コントロ ールを同時にインストールすることはできません。 以下では、ActiveX 機能を使用する際に役立つ手順を簡単に説明します。 1 [共通 ActiveX ルール] ポリシーをエンドポイントに適用し、ユーザーがよく使用する ActiveX コントロールを エンドポイント上でインストールすることを許可します。 このポリシーを表示するには、[メニュー] 、 [ポリシ ー] 、 [ポリシー カタログ] の順に選択して、[Solidcore 7.0.0: Application Control] を選択します。 2 次のいずれかのタスクを実行します。 3 • インストールする ActiveX コントロールが事前定義ルールに含まれている場合、ActiveX コントロールを直 接インストールします。 • インストールする ActiveX コントロールが事前定義ルールに含まれていない場合、Application Control はエ ンドポイントへの ActiveX コントロールのインストールを防ぎます。 Active X コントロールのインストー ルを許可するには、信用できる証明書として ActiveX コントロールに関連付けられた証明書を追加します。 詳細については、『証明書を管理する』を参照してください。 更新されたルール グループが、エンドポイントに適用されたポリシーに含まれることを確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 139 9 保護の監視 ActiveX コントロール 140 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 10 インベントリの管理 保護対象エンドポイントのソフトウェア インベントリを確認、取得、管理できます。 エンドポイントのソフトウェ ア インベントリには、エンドポイント上に存在する実行可能バイナリとスクリプト ファイルに関する情報が含まれ ます。 インベントリに保存された情報には、詳細なファイル名、ファイル サイズ、SHA-1、ファイル レピュテーシ ョン、ファイルの種類、埋め込みアプリケーション名、証明書の詳細、バージョンなどが含まれます。 管理対象エンドポイントのソフトウェア インベントリは、McAfee ePO コンソールで使用でき、エンドポイントに 加えられた変更に基づいて定期的に更新されます。 インベントリ データを McAfee ePO に送信する方法について は、KB84247 を参照してください。 McAfee ePO コンソールからエンドポイントのインベントリを確認して管理できます。 また、必要に応じて、エン ドポイントのインベントリを取得できます。 特定のバイナリ ファイルの許可または禁止、企業内でのアプリケーシ ョンまたはバイナリ ファイルの実行確認、イメージを比較するためのエンドポイント インベントリとゴールド シス テムとの比較など、複数のタスクを実行できます。 目次 インベントリの更新方法 インベントリの更新を設定する インベントリ取得のガイドライン インベントリ取得を設定する インベントリの取得 隔離された McAfee GTI 環境での McAfee ePO 評価を取得する ファイルと証明書に組織のレピュテーションを設定する インベントリの確認 インベントリ ビューを最適化する インベントリの管理 インベントリ データにフィルターを指定する ベース イメージの設定 インベントリの比較 インベントリの更新方法 エンドポイントについて McAfee ePO コンソールで使用可能なインベントリ情報は、エンドポイントでの変更に応 じて定期的に更新されます。 エンドポイントのインベントリに変更を加えると、エージェント/サーバー間通信間隔の経過後、インベントリ情報が McAfee ePO サーバーに送信されます。 これにより、McAfee ePO サーバーのインベントリ情報が、エンドポイン トのインベントリに行われた変更で更新されます。 さらに、更新されたインベントリを取得するため、エンドポイン トから手動でインベントリを取得する必要がなくなります。 エンドポイントで以下の変更を行うと、McAfee ePO サーバーのインベントリ情報にも同様の変更が行われます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 141 10 インベントリの管理 インベントリの更新を設定する • ファイルの追加 • ファイルの削除 • 既存ファイルの変更 • ファイルの固定化または非固定化 • ファイル名の変更 インベントリの更新を設定する インベントリ情報は、Application Control バージョン 6.2.0 より前、6.2.0 以降、あるいはその両方を実行してい るエンドポイントでの変更に合わせて定期的に更新されます。 デフォルトでは、この設定はバージョン 6.2.0 以降 を実行しているエンドポイントで有効になります。 この値は必要に応じて編集できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択します。 2 製品に [Solidcore 7.0.0: 全般] を選択します。 3 [設定 (クライアント)] カテゴリで、[McAfee Default] ポリシーの [複製] をクリックします。 4 ポリシー名を指定して、[OK] をクリックします。 5 ポリシーを開き、[その他] タブに切り替えます。 6 [インベントリ更新: 設定] フィールドに値を入力します。 7 ポリシーを保存し、関連するエンドポイントに適用します。 インベントリ取得のガイドライン Application Control では、エンドポイントのソフトウェア インベントリの取得に役立つ複数の方法を利用できま す。 インベントリを連続して実行する場合の最小間隔 (インベントリ情報をエンドポイントから取得する間隔) が 7 日間 に設定されています。 これはデフォルトの値で、週に 1 回、エンドポイントにインベントリのプル操作が実行され ることになります。 ただし、この値は企業の必要に応じて変更できます。 『インベントリ取得を設定する』を参照 してください。 インベントリ更新でスロットルが開始すると、[インベントリのプル] クライアント タスクは無効になります。 この場 合、スロットルがリセットされるまで、インベントリを取得できません。 スロットルは、1 日の最初のインベントリ 更新が生成されてから 24 時間後にリセットされます。 インベントリ更新のスロットルについては、 『企業のスロット ルを管理する』を参照してください。 142 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 インベントリ取得を設定する 操作... 10 手順... 有効モードに切り替えると [有効] クライアント タスクを使用します。 詳細については、『Application Control きに、エンドポイントのイ を有効にする』を参照してください。 ンベントリを取得する 1 つのエンドポイントのイ • [メニュー] 、 [Application Control] 、 [インベントリ] 、 [システム別] の順に移 ンベントリを取得する 動して [取得] リンクを使用すると、エンドポイントのインベントリをすばやく取得 できます。 • [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順に移動してエン ドポイントを選択し、[アクション] 、 [Application Control] 、 [インベントリの 取得] の順に選択して [インベントリの取得] アクションを使用すると、エンドポイ ントのインベントリをすばやく取得できます。 複数のエンドポイントのイ [インベントリのプル] クライアント タスクを実行して、グループのインベントリ詳細 ンベントリを取得する を取得します。 500 以下のエンドポイントから同時にインベントリを取得する場合 には、このクライアント タスクを実行してください。 McAfee ePO に接続して 1 次のいずれかのアクションを実行します。 いないエンドポイントのイ • エンドポイント上で CLI を使用し、sadmin ls -lax > <XML ファイル名> コ ンベントリの詳細をインポ マンドを実行します。 ートします。 このコマンドを実行すると、インベントリの完全な詳細を含む XML ファイルが生 成されます。 • エンドポイント上で CLI を使用し、sadmin ls -rax > <XML ファイル名> コ マンドを実行します。 このコマンドを実行すると、環境に固有のインベントリの詳細を含む XML ファイ ルが生成されます (AEF でフィルタリングされたファイルは含まれません)。 2 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順に選択してエンドポイントを選択し、[アクション] 、[Application Control] 、 [インベントリのインポート]の順にクリックします。 XML ファイル内に含まれるインベントリの詳細に従って、選択したエンドポイントの インベントリが更新されます。 インベントリの取得で無視 インベントリの特定のファイルを無視し、除外するには、次の手順に従います。 するファイル パスを指定 1 [メニュー] 、 [設定] 、 [サーバー設定] 、 [Solidcore]の順に選択します。 する 2 [インベントリの取得で無視されるファイル パス] フィールドに表示されたファイ ル パスを確認します。 3 [編集] をクリックし、リストを更新します。 [Solidcore の編集] ページが表示されます。 4 正規表現を使用して、リストの最後にファイル パスの文字列をカンマ区切りで追加 して、[保存] をクリックします。 McAfee ePO サーバーが インターネットに接続して いないときに McAfee GTI の評価を取得する インターネットに接続していない McAfee GTI サーバーで管理されているエンドポイ ントの McAfee ePO の評価を取得するには、オフライン GTI ツールを使用します。 詳細については、『隔離された McAfee GTI 環境の McAfee ePO の評価を取得する』 を参照してください。 インベントリ取得を設定する 大半の企業では、インベントリ取得でデフォルトの設定を使用できます。 デフォルトの設定を必要に応じて変更する ことができます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 143 10 インベントリの管理 インベントリの取得 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 カテゴリに [Application Control オプション (Windows)] を選択します。 4 [My Default] ポリシーをクリックして、ポリシーの編集を開始します。 5 [インベントリ] タブに切り替えます。 6 [Windows OS ファイルを表示しない] チェックボックスをクリックして、Windows オペレーティング システ ム固有のファイルをインベントリに追加します。 デフォルトでは、Windows オペレーティング システム固有のファイルはインベントリに表示されません。 これ により、<システム ドライブ>\Windows フォルダーの Windows ファイル (Microsoft の証明書で署名されたフ ァイル) と <システム ドライブ>\Windows\winsxs フォルダーのすべてのファイルが非表示になります。 7 [完全なインベントリのプル間隔] フィールドに値を指定します。 この値は、連続してインベントリを実行する場 合の最小間隔 (日数) を表します。 デフォルトでは、7 日間に設定されています。 この値は、インベントリを取得するスケジュール タスクよりも優先されます。 8 [インベントリ更新の受信間隔] フィールドに値を指定します。 この値は、連続してインベントリの更新を生成す る場合の最小間隔 (時間数) を表します。 デフォルトでは、3 時間に設定されています。 9 ポリシーを保存し、関連するエンドポイントに適用します。 インベントリの取得 Application Control では、管理対象エンドポイントの最新のインベントリを維持しますが、必要に応じて、1 つ以 上の管理対象エンドポイントのインベントリを取得できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 144 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • クライアント タスクをグループに適用するには、[システム ツリー] 内のグループを選択して [割り当て済み のクライアント タスク] タブに切り替えます。 • エンドポイントにクライアント タスクを適用するには、[システム] ページでエンドポイントを選択して、 [ア クション] 、 [エージェント] 、 [単一システムでのタスクの変更]の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: インベントリのプル] を選択します。[タスクの新規 作成] をクリックして、[クライアント タスク カタログ] ページを開きます。 5 タスク名を指定し、任意の詳細情報を追加します。 6 [保存] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 隔離された McAfee GTI 環境での McAfee ePO 評価を取得する 7 [次へ] をクリックし、[スケジュール] ページを開きます。 8 スケジュールの詳細を指定し、[次へ] をクリックします。 9 タスクの詳細を確認して、[保存] をクリックします。 10 10 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 隔離された McAfee GTI 環境での McAfee ePO 評価を取得する オフライン GTI ツールを使用すると、インターネットにアクセスできない隔離された McAfee GTI 環境での McAfee ePO の評価を取得できます。 組織によっては、セキュリティ上の理由からシステムにインターネット アクセスを許可していない場合があります。 この場合、McAfee ePO サーバーがインターネットに接続できないため、Solidcore 拡張ファイルがファイルと証明 書に対する McAfee GTI の評価 (レピュテーション、分類など) を McAfee GTI サーバーから取得できません。 こ のため、インベントリのバイナリ ファイルと証明書が不明のままになります。McAfee ePO 管理者は、インベント リ内のファイルの状態 (信用、不正、不明) を識別できません。 隔離された McAfee ePO 環境のパフォーマンスを最適化するには、[メニュー] 、 [設定] 、 [サーバー設定] 、 [Solidcore] の順に移動して [編集] をクリックし、[GTI とレピュテーション情報を同期する] オプションを [いいえ] に設定します。 タスク • 145 ページの「SHA-1 をエクスポートする」 Application Control インベントリ内のすべてのバイナリ ファイルと、すべての証明書のパブリック キ ーの SHA-1 をファイルにエクスポートします。 作成されたファイルは圧縮され、暗号化されます。 • 146 ページの「オフライン GTI ツールを実行する」 ファイルと証明書に対する McAfee GTI の評価を取得するには、オフライン GTI ツールを実行します。 • 147 ページの「GTI 結果ファイルをインポートする」 McAfee ePO サーバーに接続しているシステムに GTI 結果ファイルをインポートして、取得した Application Control の評価で McAfee GTI インベントリを更新します。 • 147 ページの「インポートを確認する」 [サーバー タスク ログ] で、McAfee GTI の評価が McAfee ePO サーバーに正常にインポートされたこ とを確認します。 SHA-1 をエクスポートする Application Control インベントリ内のすべてのバイナリ ファイルと、すべての証明書のパブリック キーの SHA-1 をファイルにエクスポートします。 作成されたファイルは圧縮され、暗号化されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [インベントリ]の順に選択します。 2 [アプリケーション別] タブで、[アクション] 、 [E オフライン GTI ツール用にインベントリをエクスポート] の 順に選択して、インベントリ ファイルを作成します。 ファイル名には、ファイルの作成日時が追加されます。 ファイル名の構文は次のとおりです。 App‑Control‑Inventory‑<年>‑<月>‑<日>_<時間>‑<分>‑<秒>.zip McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 145 10 インベントリの管理 隔離された McAfee GTI 環境での McAfee ePO 評価を取得する 3 インベントリ ファイルを保存します。 4 インターネットにアクセスできるシステムにインベントリ ファイルをコピーします。 オフライン GTI ツールを実行する ファイルと証明書に対する McAfee GTI の評価を取得するには、オフライン GTI ツールを実行します。 開始する前に • システムに Java Runtime Environment (JRE) 1.6.0_33 以降がインストールされている必要が あります。 • システムがインターネットに接続していることを確認してください。 • OfflineGTITool.zip ファイルを McAfee ダウンロード サイトからダウンロードして保存して ください。 すべてのファイルの SHA-1 について、ファイル ハッシュ レピュテーションとファイル ハッシュ分類の値が McAfee GTI ファイル レピュテーション サービスから取得されます。 同様に、証明書のパブリック キーの SHA-1 について、対応するレピュテーション値が McAfee GTI サーバーから取得されます。 オフライン GTI ツールは、 McAfee GTI の評価を取得し、情報を結果ファイルに保存します。 タスク 1 GTI_TOOL_JAVA_HOME 環境変数を設定します。 a コマンド ウィンドウを開きます。 b JRE へのパスを指定して、次のコマンドを入力します。 set GTI_TOOL_JAVA_HOME=<JRE のパス> 例: set GTI_TOOL_JAVA_HOME=C:\Program Files\Java\jre6 2 オフライン GTI ツールを実行します。 a インターネットにアクセスできるシステムに OfflineGTITool.zip ファイルを展開します。 OfflineGTITool ディレクトリが作成されます。 このディレクトリの readme.txt ファイルに、前提条 件、使用方法、設定、ログイン情報が記述されています。 オフライン GTI ツールの使い方については、この ファイルを参照してください。 b OfflineGTITool ディレクトリに移動します。 cd <ディレクトリ パス> OfflineGTITool ディレクトリの絶対パスを指定してください。 c 現在のディレクトリが OfflineGTITool かどうか確認します。 cd d ツールを実行します。 runOfflineGTITool.cmd <インベントリ ファイルのパス> このシステムに保存されているインベントリ ファイルのパスをツール名の後に指定します。 例: runOfflineGTITool.cmd c:\inventory\App-Control-Inventory-yyyy-MM-dd_HH-mm-SS.zip オフラン GTI ツールが McAfee GTI サーバーに接続し、ファイルと証明書パブリック キーの SHA-1 に対する McAfee GTI の評価を取得します。 すべてのファイルとパブリック キーの SHA-1 の評価が取得されると、コマ 146 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 ファイルと証明書に組織のレピュテーションを設定する 10 ンド プロンプトに成功または失敗のメッセージが表示されます。 作成された GTI 結果ファイルでは、McAfee GTI の結果が暗号化されています。 ファイル名には、ファイルの作成日時が追加されます。 GTI‑Result‑<年>‑<月>‑<日>_<時間>‑<分>‑<秒>.zip 3 McAfee ePO サーバーに接続しているシステムに GTI 結果ファイルをコピーします。 GTI 結果ファイルをインポートする McAfee ePO サーバーに接続しているシステムに GTI 結果ファイルをインポートして、取得した Application Control の評価で McAfee GTI インベントリを更新します。 GTI 結果ファイルが正常に生成されたら、7 日以内に McAfee GTI の評価を McAfee ePO にインポートする必要があ ります。 7 日間を過ぎると、Application Control の評価で McAfee GTI インベントリを更新できなくなります。 デ フォルトの設定は 7 日間ですが、この値は必要に応じて変更できます。 この設定を変更するには、McAfee サポート に連絡してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [インベントリ]の順に選択します。 2 [アプリケーション別] タブで、[アクション] 、 [GTI の評価をインポート] の順に選択し、[GTI 評価をインポ ート] ダイアログ ボックスを開きます。 3 [参照] をクリックして GTI 結果ファイルを選択し、[OK] をクリックします。 [GTI の評価をインポート] ダイアログ ボックスが開き、McAfee GTI の評価が McAfee ePO サーバーにアップ ロードされ、McAfee GTI の評価が処理されていることが通知されます。 [サーバー タスク ログ]で、処理が完 了しているかどうか確認します。 4 [OK] をクリックします。 インポートを確認する [サーバー タスク ログ] で、McAfee GTI の評価が McAfee ePO サーバーに正常にインポートされたことを確認し ます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [サーバー タスク ログ]の順に選択します。 2 [クイック検索] テキストボックスに [ファイルからインベントリに GTI 評価をインポート] というタスク名を指 定して [適用] をクリックします。 指定した検索文字列に基づいて、リストが更新されます。 3 このサーバー タスクのステータスが [完了] になっているかどうか確認します。 ファイルと証明書に組織のレピュテーションを設定する TIE サーバーでは、ファイルと証明書に対する組織のレピュテーションを環境に合わせて変更することができます。 ただし、組織のレピュテーションを変更すると、環境全体に影響を及ぼします。 ファイルまたは証明書に対する組織 のレピュテーションを変更すると、データベースがすぐに更新され、環境内で TIE の変更通知を待機しているすべて McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 147 10 インベントリの管理 インベントリの確認 のデバイス (たとえば、Application Control などのクライアントを実行しているエンドポイント) に更新が通知され ます。 ファイルまたは証明書に対するレピュテーションの計算方法については、 『ファイルと証明書のレピュテーション』を 参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [システム] 、 [TIE レピュテーション] の順に選択します。 2 [ファイル検索] タブまたは [証明書検索] タブをクリックします。 3 ファイルまたは証明書を検索して、[アクション] メニューで組織のレピュテーションを設定します。 ファイルまたは証明書のレピュテーションの変更方法については、ご使用のバージョンの 『McAfee Threat Intelligence Exchange 製品ガイド』を参照してください。 インベントリの確認 エンドポイントのソフトウェア インベントリに関する管理とアクションを実行できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [インベントリ]の順に選択します。 2 次のいずれかの手順を実行します。 3 • 管理対象のすべてのエンドポイントのインベントリを確認するには、[アプリケーション別] タブをクリックし ます。 • 選択したエンドポイントのインベントリを管理するには、[システム別] タブをクリックして、該当するエンド ポイントの [表示] をクリックします。 選択したエンドポイントのインベントリが表示されます。 インベントリのアプリケーションを確認します。 デフォルトでは、設定済みのレピュテーション ソースから受信 した情報に従って、アプリケーションが [良好なアプリケーション]、[不良アプリケーション]、[未分類のアプリ ケーション] に分類されます。 バイナリ ファイルには、次のいずれかのレピュテーション値が割り当てられま す。 • 信頼できることが確認されている • 不正な可能性がある • 信頼できる可能性が非常に高い • 不正な可能性が非常に高い • 信頼できる可能性がある • 不正なことが確認されている • 不明 Application Control がファイルと証明書の最終レピュテーションを判断する方法を確認するには、『最終レピュ テーションとは?』をクリックします。 バイナリ ファイルのレピュテーション値は、レピュテーション (信用、 不正または不明) に応じて異なる色で表示されます。 緑色は、バイナリ ファイルが「信頼できることが確認され ている」、「信頼できる可能性が非常に高い」、「信頼できる可能性がある」のいずれかであることを示します。 オ レンジ色は、バイナリ ファイルが「不明」であることを示します。 赤色は、バイナリ ファイルが「不正なこと が確認されている」、「不正な可能性が非常に高い」または「不正な可能性がある」のいずれかであることを示し ます。 以下は、使用可能な代替表示の例です。 148 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 インベントリの確認 10 すべてのバイナリ ファイルを確認 名前ごとにソートされたファイルを表示するには、[バイナリ名] フィルタを選択し、フィ ルタを空白のまま残して [検索] をクリックします。 最終レピュテーシ ョンを確認する 最終レピュテーションでファイルと証明書をソートするには、[最終レピュテーション] フ ィルターを選択してレピュテーション値を選択し、[検索] をクリックします。 証明書を確認する 証明書に従ってインベントリをソートするには、[証明書] フィルターを選択します。証明 書名を指定せずに [検索] をクリックします。 アプリケーションとバイナリ ファイルが 証明書別に表示されます。 すべてのファイル をアプリケーショ ン別に表示する [アプリケーション] フィルターを選択し、ファイル名フィルターを空白のまま残して [検 索] をクリックします。 アプリケーションが [良好なアプリケーション]、[不良アプリケ ーション]、[未分類のアプリケーション] に分類されます。 MSI ベースのインストーラーを使用するアプリケーションの場合、アプリケーションとバ イナリ ファイルは、製品名とバージョンでグループ化され、分類されます。 アプリケーション とバイナリ ファイ ルをベンダー別に 表示する 4 5 [ベンダー] フィルターを選択し、ベンダー名は指定せずに [検索] をクリックします。 ア プリケーションとバイナリ ファイルがベンダー別に表示されます。 各ベンダーについ て、[良好]、[不良]、[未分類] のカテゴリを表示できます。 アプリケーションの詳細を確認 (アプリケーションごとにソートされたすべてのファイルを確認するときのみ) a [インベントリ アクション] 、 [アプリケーションの詳細] の順にクリックして、[アプリケーションの詳細] ページを開きます。 b アプリケーションの詳細を表示します。 c [バイナリ] ペインで、選択したアプリケーションに関連付けられたバイナリ ファイルを確認します。 d [システム] ペインで、選択したアプリケーションが存在するエンドポイントを確認します。 e (任意) リストのエンドポイント上でアクションを実行します。 f [閉じる] をクリックします。 (任意) 使用可能なフィルターの適用、フィルターの新規作成、または特定のファイルの検索などを実行します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 149 10 インベントリの管理 インベントリの確認 シードされたフィルター [フィルター] リストから値を選択します。 の使用する • [デフォルト ビュー] • [許可された不明な署名付きバイナ リ] フィルターの新規作成 • [隠しファイル] • [許可された不明な未署名バイナ リ] • [すべての不正なバイナリ] • [禁止された信頼バイナリ] • [許可された不正なバイナリ] • [先週検出されたバイナリ] ([アプ リケーション別] タブのみ) 1 [フィルター] リストから [保存されたフィルターの追加] を選択します。 デフォルトでは、[等価] 演算子が使用された [非表示] プロパティと [False] 値が [保存されたフィルターの追加] に適用されます 非表示のアプリケーション、ベン ダー、バイナリは表示されません。 2 利用できるプロパティを選択します。 たとえば、署名付きの不明なアプリケーシ ョンをすべて確認するには、[証明書があります] プロパティと [最終レピュテーシ ョン] プロパティを選択します。 3 プロパティの比較と値を指定します。 • [証明書があります] では、比較を [等しい] に設定し、[True] を選択します。 • [最終レピュテーション] では、比較を [等しい] に設定し、[不明] を選択しま す。 4 [フィルターの更新] をクリックします。 たとえば、特定のファイ [バイナリの SHA1]、[バイナリの SHA-256] または [バイナリの MD5] フィルタ ルを検索するには、 ーを選択して値を入力し、[検索] をクリックします。 指定した SHA1-1、SHA-256 SHA-1、SHA-256 また または MD5 値を持つバイナリ ファイルが表示されます。 は MD5 値でファイルを 検索します。 6 バイナリ ファイルを確認します。 アプリケーションまたはベンダーごとにソートされたファイルを表示するとき、[アプリケーション] または [ベ ンダー] ペインが表示されます。 ツリー構造になっているので、各カテゴリに含まれるファイルに移動したり表 示したりする際に便利です。 ツリー内のノードを選択し、[バイナリ] ペインで関連バイナリ ファイルを確認し ます。 その他すべてのファイルの場合、[バイナリ] ペインのみが表示されます。 [バイナリ] ペインに各ファイ ルに関連する情報が表示されます。 a レピュテーション情報を確認します。 最終レピュテーション、レピュテーション ソース、GTI レピュテーシ ョンの値も表示されます。 レピュテーション ソースの値は、TIE、GTI または Application Control です。 TIE 値をクリックすると、[TIE レピュテーション] ページが開き、選択したファイルの詳細が表示されます。 レピュテーションの計算方法については、『ファイルと証明書のレピュテーション』を参照してください。 b 企業内でバイナリ ファイルが最初に検出された日時を確認します。 この情報は、Solidcore 6.2.0 以降の拡張ファイルがインストールまたはアップグレードされた後にバイナリ ファイルが最初に取得された時間を基準にしています。 7 バイナリ ファイルをクリックして、ファイルの詳細を表示します。 パス バイナリ ファイルのフルパスを確認します。 [TIE の検索] をクリックして [TIE レピュテーショ ン] ページを開き、バイナリのレピュテーションを表示または編集することもできます。 初回確認 企業内でバイナリ ファイルが最初に検出された日時、システム名などの情報を確認します。 この情 時の情報 報は、Solidcore 6.2.0 以降の拡張ファイルがインストールまたはアップグレードされた後にバイナ リが最初に取得された時間を基準にしています。 150 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 インベントリ ビューを最適化する 10 ハッシュ バイナリ ファイルの SHA-1 と MD5 の情報を確認します。 証明書の • 証明書のベンダー名 - バイナリ ファイルの証明書ベンダー名は、レピュテーション (信用、不正 詳細 または不明) に応じて異なる色で表示されます。 緑色は、証明書が「信頼できることが確認されて いる」 、 「信頼できる可能性が非常に高い」、 「信頼できる可能性がある」のいずれかであることを示 します。 オレンジ色は、証明書が「不明」であることを示します。 赤色は、証明書が「不正なこ とが確認されている」、 「不正な可能性が非常に高い」または「不正な可能性がある」のいずれかで あることを示します。 • 証明書名 - クリックすると、発行者、レピュテーション、レピュテーション ソース、パブリック キーのアルゴリズム、パブリック キーの長さなど、証明書の詳細情報が表示されます。 • [TIE の検索] - クリックすると、[TIE 証明書レピュテーションの詳細] ページが開き、証明書の 詳細を確認できます。 エンドポ [システムで監視されているバイナリ] ペインに表示されたエンドポイントを確認します。 検出時間 イントの 列には、システムでバイナリ ファイルが検出された時間が表示されます。 情報 実行状況 バイナリ ファイルの実行状況を確認します。 実行状況によって、バイナリ ファイルがエンドポイン トで許可されたのか、ブロックされたのかを確認できます。 実行権限列には、エンドポイントで実行 が許可またはブロックされた方法が表示されます。 イベント エンドポイントの [イベントを表示] をクリックし、生成されたイベントを表示します。 8 [許可] または [禁止] をクリックし、エンドポイントでバイナリ ファイルを許可またはブロックします。 インベントリ ビューを最適化する ビューを最適化するには、アプリケーション、バイナリ、ベンダーなどのインベントリ項目の表示設定を変更します。 [アプリケーション]、[ベンダー]、[バイナリ] ペインで、関連のない項目をすべて非表示にできます。 必要に応じ て、非表示の項目をペインに表示することもできます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [インベントリ] の順に選択します。 2 [アプリケーション別] タブが選択されていることを確認します。 3 インベントリ項目を非表示にして、インベントリ ビューを最適化します。 a 関連のないインベントリ項目を非表示にします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 151 10 インベントリの管理 インベントリ ビューを最適化する インベン トリ項目 手順 アプリケ ーション 1 [アプリケーション] ペインでアプリケーションを選択します。 バイナリ 1 [バイナリ名] フィルターを選択し、フィルターを空白のまま残して [検索] をクリックしま す。 2 [インベントリ アクション] 、 [アプリケーションを隠す]の順にクリックします。 2 [バイナリ] ペインでバイナリを選択します。 3 [アクション] 、 [バイナリを隠す]の順にクリックします。 ベンダー 1 [ベンダー] フィルターを選択し、ベンダー名は指定せずに [検索] をクリックします。 2 [ベンダー] ペインでベンダーを選択します。 3 [インベントリ アクション] 、 [ベンダーを隠す]の順にクリックします。 選択したインベントリ項目がペインから消えます。また、使用可能なすべてのシード フィルター ([ファイル を隠す] フィルターを除く) に表示されなくなります。 選択内容に従って、依存するイベントリ項目または関 連するインベントリ項目も非表示になります。 • アプリケーションを非表示にすると、そのアプリケーションのバイナリもすべて非表示になります。 • 非表示のアプリケーションを更新すると、このアプリケーションが追加した新しいバイナリ ファイルは自 動的に非表示になります。 • アプリケーションのすべてのバイナリを非表示にすると、そのアプリケーションも非表示になります。 • ベンダーを非表示にすると、そのベンダーのアプリケーションとバイナリもすべて非表示になります。 レピュテーションが「不正」で非表示のバイナリ ファイルは、[すべての不正なバイナリ] ビューに表示され ます。 b 4 152 [隠しファイル] フィルターを選択して、非表示のアプリケーション、バイナリ、ベンダーを [アプリケーショ ン]、[バイナリ]、[ベンダー] ペインで確認します。 非表示のインベントリ項目を表示 (非表示に) します。 a [隠しファイル] フィルターを選択して、非表示のイベント項目を表示します。 b インベントリ項目を表示します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 インベントリの管理 10 インベント 手順 リ項目 アプリケー 1 アプリケーションを選択します。 ション 2 [インベントリ アクション] 、 [アプリケーションを表示]の順にクリックします。 バイナリ 1 [バイナリ名] フィルターを選択し、フィルターを空白のまま残して [検索] をクリックしま す。 2 [バイナリ] ペインでバイナリを選択します。 3 [アクション] 、 [バイナリを表示]の順にクリックします。 ベンダー 1 [ベンダー] フィルターを選択し、ベンダー名は指定せずに [検索] をクリックします。 2 [ベンダー] ペインでベンダーを選択します。 3 [インベントリ アクション] 、 [ベンダーを表示]の順にクリックします。 選択したインベントリ項目が表示され、使用可能なすべてのシード フィルター ([ファイルを隠す] フィルタ ーを除く) に表示されます。 選択内容に従って、依存するイベントリ項目または関連するインベントリ項目も 表示されます。 • アプリケーションを表示すると、そのアプリケーションのバイナリもすべて表示されます。 • 非表示アプリケーションのバイナリを表示すると、アプリケーションの非表示も解除され、[アプリケーシ ョン] ペインにアプリケーションが表示されます。 [デフォルト ビュー] フィルターを使用して、非表示 を解除したアプリケーションをすべて表示します。 [許可された不正なバイナリ] または [すべての不正なバイナリ] フィルターの結果を表示するときに、使用可能な オプションを使用してアプリケーション、ベンダーまたはバイナリの表示または非表示を設定できます。 インベン トリ項目の表示設定 (表示または非表示) を実行するアクションは効果的に適用されますが、ユーザー インターフ ェースに正しく反映されるとは限りません。 たとえば、アプリケーションを非表示にしても、[すべての不正なバ イナリ] フィルターの [アプリケーション] ペインに引き続き表示されます。 インベントリの管理 Application Control は、設定済みのレピュテーション ソースから受信したレピュテーションに従ってインベントリ の項目をソートします。 環境でレピュテーション ソースが設定されている場合、Application Control はアプリケーションとバイナリ ファ イルを次のカテゴリに分類します。 アプ バイナリ 説明 リケ ーシ ョン 良好 信頼でき ることが 確認され ている レピュテーション ソースから受信したレピュテーションが「信頼できることが確認されている」、 「信頼できる可能性が非常に高い」、「信頼できる可能性がある」の信用されたインベントリ項目で す (組織のホワイトリストを効率良く作成できます)。 これらのファイルは信用されているため、 ファイルのアクティビティを詳細に管理する必要はありません。 信用されたファイルを組織で禁 止する場合には、ブロックできます。 信頼でき る可能性 が非常に 高い 信頼でき る可能性 がある McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 153 10 インベントリの管理 インベントリの管理 アプ バイナリ 説明 リケ ーシ ョン 不良 不正なこ とが確認 されてい る レピュテーション ソースから受信したレピュテーションが「不正なことが確認されている」、「不 正な可能性が非常に高い」、 「不正な可能性がある」の不正なインベントリ項目またはマルウェアで す (組織のブロックリストを効率良く作成できます)。 これらのアプリケーションは不正なファイ ルのため、通常はブロックしなければなりません。 ただし、必要であれば、不正リストにある社 不正な可 内アプリケーションまたは信用されたアプリケーションを信用ファイルに分類し直すこともでき 能性が非 ます。 常に高い 不正な可 能性があ る 未分 不明 類 レピュテーションが不明か、レピュテーション ソースと同期していないインベントリ項目です (組織のグレーリストを効率良く作成できます)。 自社のグレーリストが最小限に収まるように (理想はゼロになるように)、定期的にグレーリストの確認と管理を行う必要があります。 組織内 で開発、認識または信用された有名ベンダーのファイルが、現在は不明リストに含まれている場合 には、再分類が必要になる場合があります。 既存の高度な持続型脅威 (APT) がグレーリストや不明なカテゴリに存在する可能性があります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 3 154 次のいずれかの手順を実行します。 • すべての管理対象エンドポイントのインベントリを管理するには、[メニュー] 、 [Application Control] 、 [イベントリ] 、 [アプリケーション別] の順に移動します。 • 選択したエンドポイントのインベントリを管理するには、[メニュー] 、 [Application Control] 、 [インベン トリ] 、 [システム別] の順に移動し、該当するエンドポイントの [表示] をクリックします。 不正なバイナリまたはスクリプト ファイルを実行できなくします。 a ブロックするファイルを選択します。 b [アクション] 、 [バイナリを禁止] の順にクリックし、[バイナリの許可または禁止] ウィザードを開きます。 c ルールのルール グループを指定します。 • ルールを既存ルール グループに追加するには、[既存のルール グループに追加] を選択し、リストからル ール グループを選択してオペレーティング システムを指定します。 • ルールを使用してルール グループを作成するには、[ルール グループの新規作成] を選択し、ルール グル ープ名を入力してオペレーティング システムを指定します。 d [次へ] をクリックします。 e ルールを確認し、[保存] をクリックします。 信用されたバイナリまたはスクリプト ファイルの実行を許可します。 a 許可するファイルを選択します。 b [アクション] 、 [バイナリを許可する] の順にクリックし、[バイナリの許可または禁止] ウィザードを開きま す。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 インベントリ データにフィルターを指定する c 4 10 次のいずれかの手順を実行します。 • 選択したエンドポイント上でのみバイナリ ファイルを許可するには、[ホワイトリストにバイナリを追加] を選択し、バイナリ ファイルをエンドポイントのホワイトリストに追加します。 このオプションは、[シ ステム別] ページ上にあるエンドポイントの [表示] リンクをクリックすることで、エンドポイントのイン ベントリ管理時にのみ利用できます。 • 複数のエンドポイント上のバイナリ ファイルを許可するには、ルールをルール グループに追加します。 ルールを既存のルール グルー プに追加します。 [既存のルール グループに追加] を選択し、リストからルール グループ を選択してオペレーティング システムを指定します。 ルールを使用してルール グル ープを作成します。 [ルール グループの新規作成] を選択し、ルール グループ名を入力して オペレーティング システムを指定します。 d [次へ] をクリックします。 e ルールを確認し、[保存] をクリックします。 Application Control でファイルのレピュテーションを編集し、不明なバイナリまたはスクリプト ファイルを信 用されたファイルに再分類します。 a ファイルを選択します。 b [アクション] 、 [Application Control でレピュテーションを設定する] の順に選択して、[Application Control でレピュテーションを設定する] ウィンドウを開きます。 c レピュテーション値を選択します。 Application Control でファイルのレピュテーションを編集すると、ファイルのハッシュ レピュテーション (GTI) が上書きされます。 5 更新されたルール グループを、エンドポイントに適用されたポリシーに追加します。 インベントリ データにフィルターを指定する 詳細除外フィルターを指定して、意味のないインベントリ データをエンドポイントから除外します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、Application Control ポリシーとルール グループを作成または変更します。 2 [フィルター] タブで、[インベントリ] を展開します。 3 [ルールの追加] をクリックします。 新規フィルター行が表示されます。 ファイル、ファイル タイプ、アプリケーション、アプリケーションのバージ ョン、アプリケーション ベンダー、証明書で署名されたファイル (Microsoft 証明書の場合のみ) からフィルター を作成できます。 フィルターを作成して、アプリケーション名、バージョン、ベンダーなどに基づいてインベントリ項目を除外する 場合、アプリケーションに関連する組み込み値をフィルターで使用できます。 4 フィルターを指定するための設定を編集します。 5 [+] または [ルールの追加] をクリックして、それぞれに追加の AND または OR 条件を指定します。 6 [保存] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 155 10 インベントリの管理 ベース イメージの設定 ベース イメージの設定 組織のベース イメージを設定し、承認された既知のアプリケーションのリポジトリを作成します。 ご使用のセットアップでエンドポイントのインベントリに既知のおよび信頼できるアプリケーションが含まれている 場合、企業のベース イメージとして設定できます。これにより、組織内で開発、認識、または信頼された(有名ベン ダの)アプリケーションを含む既知のアプリケーションの承認済みリポジトリが作成されます。また、これにより、 企業アプリケーション検証することにより、デスクトップ システムの管理が容易になります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [インベントリ] 、 [システム別] の順に選 択して、環境内のエンドポイントを表示します。 2 信用された既知のアプリケーションがあるエンドポイントに移動します。 3 エンドポイントに [信頼としてマークする] を選択します。 これにより、エンドポイントにある不明なバイナリまたはスクリプト ファイルのすべてが「信用済み」として再 分類され、ファイルのエンタープライズ信用レベルが編集されます。 エンドポイントの不正なバイナリまたはス クリプト ファイルは変更されません。 また、[システム] ページからこのアクションを実行できます。 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックしてエンドポイントを選択し、[アクション] 、 [Application Control] 、 [信頼として マークする] の順にクリックします。 インベントリの比較 エンドポイントのインベントリを指定ゴールド システムから取得されるインベントリと比較するためには、イメージ 比較が使用されます。こうした比較は、エンドポイント上に存在するインベントリを追跡したり、発生する差異を識 別したりする際に役立ちます。 イメージ比較を実行するには、次の手順を完了します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 参照ホストのインベントリを取得します。 詳細については、『インベントリを取得する』を参照してください。 2 エンドポイントのインベントリを取得します。 詳細については、『インベントリを取得する』を参照してくださ い。 3 [メニュー] 、 [自動処理] 、 [Solidcore クライアント タスク ログ] の順に移動し、両方のクライアント タスク が正常に完了しているかどうか確認します。 4 参照ホストのインベントリをエンドポイントのインベントリと比較します。 これが「イメージ比較」です。 5 比較結果を確認します。 タスク 156 • 157 ページの「インベントリ比較の実行」 参照ホストのインベントリをエンドポイントのインベントリと比較します。 • 157 ページの「比較結果の確認」 インベントリ比較 (イメージ比較) の結果を確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド インベントリの管理 インベントリの比較 10 インベントリ比較の実行 参照ホストのインベントリをエンドポイントのインベントリと比較します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [サーバー タスク]の順に選択します。 2 [アクション] 、 [新規タスク] の順にクリックし、[サーバー タスク ビルダー] ウィザードを開きます。 3 タスク名を入力して、[次へ] をクリックします。 4 [アクション] ドロップダウン リストから [Solidcore: イメージ比較の実行] を選択します。 5 ゴールド システムを指定します。 6 次のオプションを設定し、ゴールド システムと比較するエンドポイントを選択します。 • [ゴールド システムと比較するシステム] - [追加] をクリックして、ゴールド システムと比較するエンドポ イントを検索します。 [システム名] フィールドにエンドポイントの名前を入力して、[検索] をクリックしま す。 • [ゴールド システムと比較するグループ] — [追加] をクリックし、ゴールド システムと比較するグループを 検索します。[グループ名] フィールドにグループ名を入力し、[検索] をクリックします。 • [タグ付きのシステムを含める] — [追加] をクリックし、関連するタグ名に基づいてエンドポイントを検索し ます。[タグ名] フィールドにタグ名を入力し、[検索] をクリックします。 • [タグ付きのシステムを除外する] — [追加] をクリックし、関連するタグ名に基づいてエンドポイントを検索 します。[タグ名] フィールドにタグ名を入力し、[検索] をクリックします。必要なタグを検索結果から選択 します。選択したタグが付いたすべてのエンドポイントは、ゴールド システムとの比較から除外されます。 7 [次へ] をクリックし、[スケジュール] ページを開きます。 8 タスクのスケジュールを指定します。 9 [次へ] をクリックして、[サマリー] ページを開きます。 10 タスクのサマリーを確認し、[保存] をクリックします。 11 ただちにサーバ タスクを実行し、比較結果をその場で確認します。 比較結果の確認 インベントリ比較 (イメージ比較) の結果を確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [イメージ比較]の順に選択します。 2 参照ホストとエンドポイントの比較を検索します。 対応する行を素早く検索するには、[ターゲット システムの検索] フィールドにエンドポイント名を入力し、[検 索] をクリックします。 3 [比較を表示] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 157 10 インベントリの管理 インベントリの比較 4 158 比較の詳細を確認します。 • 表示タイプを選択します。アプリケーションまたはバイナリ ファイルに基づいて結果を整理できます。 • 利用可能なフィルターを使用して結果をソートします。フィルターを使用すると、新規(追加)、変更済み、 および削除済みのファイルを表示できます。 [実行ステータスの不一致] フィルターを使用し、実行ステータ スへの変更が含まれるファイルを表示します。パス フィルターを使用し、ファイル パスに基づいて結果をソ ートします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 11 承認リクエストの管理 Application Control は、保護されたエンドポイントでの新規または不明なアプリケーションの実行を防ぎます。 [自己承認] 機能が有効で、保護されたエンドポイントでユーザーが不明または新規アプリケーションの実行を試みた 場合、アプリケーションの実行を承認または拒否するためのプロンプトが表示されます。 目次 自己承認とは エンドポイントで自己承認を有効にする 機能を設定する ポリシー検出権限 要求を確認する 要求を処理する 作成したルールの確認 自己承認とは レピュテーションが不明か、実行がブロックされたアプリケーションまたはバイナリ ファイルの場合、ユーザーは実 行を承認し、エンドポイントでアプリケーションを実行することができます (名前または SHA-1 ルールで Application Control が禁止した場合を除く)。 実行を承認する場合、アプリケーションを実行する業務上の必要性 と理由を McAfee ePO 管理者に送信する必要があります。 管理者は、承認要求を確認し、企業内の 1 つ以上のエン ドポイントでアプリケーションを許可または禁止するルールを定義できます。 ポリシー経由で適用されたルールは、自己承認機能より優先されます。 たとえば、自己承認機能が有効で、ユーザー がポリシー経由で禁止されているアプリケーションの実行を試みた場合、アクションの実行を確認するプロンプトは 表示されません。 また、Application Control メモリー保護技術で禁止されているアクションは自己承認も実行もで きません。 自己承認機能は、バイナリまたはネットワーク共有やリムーバブル装置から実行している実行可能ファイル、スクリ プト、インストーラー、ActiveX コントロール、サポート対象のファイルに対して使用できます。 この機能は、 Windows NT、Windows 2000、Windows 2003 (IA-64 プラットフォーム) を除き、サポート対象の Windows プラットフォームで使用できます。 この機能は、UNIX プラットフォームでは使用できません。 以下の図は、自己 承認機能の詳細を表しています。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 159 11 承認リクエストの管理 エンドポイントで自己承認を有効にする 自己承認機能は「限定的機能の有効化」モードで使用できますが、エンドポイントを再起動して「全機能の有効化」モ ードで使用してください。 この機能を使用するには、一部のシステム DLL にパッチを適用する必要があります。ま た、パッチを有効にするため、再起動が必要になる場合があります。 エンドポイントで自己承認を有効にする デフォルトでは、エンドポイントでの自己承認機能は無効です。 選択されたエンドポイントでこの機能を有効化する ポリシーを設定できます。 機能を有効化した後、ユーザーは、保護されたエンドポイントで不明または新規のアプリケーションを承認し、実行 できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [Application Control オプション (Windows)] カテゴリを選択します。 4 [My Default] ポリシーをクリックして、ポリシーの編集を開始します。 デフォルトでは、[My Default] ポリシーは、企業内のすべてのエンドポイントに適用されます。 選択したエンド ポイントに対し自己承認機能を有効にするには、[My Default] ポリシーを複製し、設定を編集して、関連するエ ンドポイントにのみポリシーを適用します。 160 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 承認リクエストの管理 エンドポイントで自己承認を有効にする 11 5 [自己承認を有効化] を選択します。 6 (任意) ユーザーが新規または不明なアプリケーションを実行しようと試みた場合、エンドポイントでメッセージ が表示されるように指定します。 指定されたテキストは [McAfee Application Control - 自己承認] ダイアログ ボックスのエンドポイントに表 示されます。 7 [McAfee Application Control - 自己承認] ダイアログ ボックスのタイムアウト値を指定します。 ユーザーによりアクションが実行された後、エンドポイントで [McAfee Application Control - 自己承認] ダイ アログ ボックスを表示させる時間を決定する値を指定します。 指定時間内にユーザーがアクションを実行しな い場合、アクションは自動拒否され、[McAfee Application Control - 自己承認] ダイアログ ボックスが閉じま す。 8 エンドポイントでアクションを許可する業務上の必要性を入力する必要があるかどうかを指定します。 9 (任意) 詳細オプションを指定します。 このオプションを選択すると、システム起動時または対話型セッションが使用できない場合、システム上で実行 するすべてのアプリケーションの実行が許可されます。 10 ポリシーを保存し、エンドポイントに適用します。 ポリシーが適用されると、エンドポイントでの自己承認機能が有効となります。 11 ユーザーがエンドポイントで新規アプリケーションを実行しようと試みた場合、[McAfee Application Control 自己承認] ダイアログ ボックスにはアプリケーションの実行が検出されたことが示され、ユーザーがアクション を実行するためのプロンプトが表示されます。 ファイルまたは証明書が信用されているか、不正であることが確認されている場合、設定したレピュテーション ソ ースから受信したレピュテーションに従って実行の許可が判断されます。 したがって、信用されたファイルと不正 なファイルの場合、[McAfee Application Control - 自己承認] ダイアログ ボックスは表示されません。 ただし、 バイナリまたは証明書のレピュテーションが不明な場合には、[McAfee Application Control - 自己承認] ダイア ログ ボックスが開き、ユーザーにアクションを確認します。 次のいずれかのタスクを実行します。 • 理由を入力し (必須の場合)、[許可] をクリックして、すぐにアクションを許可します。 アクションの自己承 認を選択すると、承認要求が管理者に送信され、管理者は、提供された理由を確認し、企業内の 1 つ以上の エンドポイントに対しアクションを許可するか禁止するかを決定します。 McAfee ePO 管理者は、アクショ ンが企業のポリシーに従っており、アプリケーションが信用でき、既知である場合のみアクションを許可しま す。 • [拒否] をクリックして、アクションを拒否します。 ユーザーが開始していないまたは変更が無関係と思われ る場合、ユーザーはアクションを拒否できます。 拒否アクションはイベント固有のものです。 同じイベント が再度生成されると、アクションを実行するためのプロンプトが再度ユーザーに対して表示されます。 ユーザーはイベント通知を確認して、特定のアクションの承認を要求することができます。 1 エンドポイントの通知領域にある McAfee Agent アイコンを右クリックします。 2 [クイック設定] 、 [Application および Change Control のイベント] の順に選択します。 3 [Application および Change Control のイベント] ウィンドウで、イベントを確認します。 4 イベントを選択して [承認を要求] をクリックし、McAfee ePO のアクションに対する承認を要求します。 McAfee ePO 管理者が、関連イベントの詳細とリンクを含む電子メールを受信します。 リンクをクリック すると、[Solidcore イベント] ページに必要なイベントを表示し、ルールを定義できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 161 11 承認リクエストの管理 機能を設定する 機能を設定する 汎用ランチャー プロセスと制限付き証明書名のリストを確認して編集します。 機能の次の項目を設定できます。 • 汎用ランチャー プロセス - explorer.exe や iexplore.exe などの Windows オペレーティング システム上の 特定のプロセスは、他のプロセスを起動し、任意のソフトウェアを起動するために使用されます。 このようなプ ロセスは、汎用ランチャー プロセスといわれ、更新プログラムとして設定されることはありません。 Application Control の設定インターフェースでは、このようなプロセスの事前定義リストを利用できます。 汎用ランチャー プロセスのリストを確認して編集できます。 エンドポイントでは、汎用ランチャー プロセスに更新プログラム ルールは生成されません。 • 制限付き証明書名 - Microsoft など特定のベンダーからの証明書は、複数のよく使用するアプリケーションに関 連付けられ、証明書に基づいたルールの定義に使用されるべきではありません。 Application Control の設定イ ンターフェースでは、このような証明書の事前定義リストを利用できます。 [制限付き証明書名] リストを確認し て編集できます。 要求のバイナリがこれらの証明書のいずれかで署名されている場合、バイナリ ファイルに関連 付けられた証明書に応じてルールを作成することはできません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [サーバー設定] 、 [Solidcore]の順に選択します。 2 汎用ランチャー プロセスのリストを確認して編集します。 3 a [汎用ランチャー プロセス] フィールドに表示されているプロセスを確認します。 b [編集] をクリックし、リストを更新します。 c リストの最後にプロセス名をカンマ区切りで追加して、[保存] をクリックします。 制限付き証明書のリストを確認して編集します。 a [制限付き証明書名] フィールドに表示されている名前を確認します。 b [編集] をクリックし、リストを更新します。 c リストの最後にベンダー名をカンマ区切りで追加して、[保存] をクリックします。 たとえば、Microsoft 証明書に基づいたルールの作成を阻止する場合は、リストに Microsoft を追加しま す。 証明書の ISSUED TO フィールドの値を使用します。 ポリシー検出権限 デフォルトでは、グローバル管理者以外の管理者は関連するグループ ([ユーザーの組織] 内) のエンドポイントで生 成された要求の表示、管理、削除を行うことができます。 [要求の詳細] ページで要求の詳細を確認すると、[企業レベルのアクティビティ] ペインの要求数が [ポリシー検出] ページの [グローバル普及] 列の値よりも少ない場合があります。 [グローバル普及] 列の値は、グループに関係な く、企業全体の普及度を表しています。 たとえば、企業内の異なるグループの 2 つのシステムが要求を生成した場 合、[グローバルな普及] の値は 2 になります。 グループ管理者以外の管理者が表示できるのはグループで生成され た要求だけです。このため、[企業レベルのアクティビティ] ペインに、システムで生成された要求が 1 つしか表示 されない場合があります。 McAfee ePO 管理者は、企業 ([ユーザーの組織]) で生成されたすべての要求を確認し、管理できます。 また、McAfee ePO 管理者は任意のルール グループにルールを追加し、企業内で生成された要求を確認し、アクションを実行する権 限をグローバル管理者以外の管理者に付与できます。 162 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 承認リクエストの管理 要求を確認する 11 グローバル管理者以外の管理者の場合、ルールを追加できるのは自身が所有するルール グループだけです。 所有し ていないルール グループは、[ポリシー検出: カスタム ルール] ページに表示されません。 要求にアクションを実行 しても、異なるグループに生成された同じ要求には影響を及ぼしません。 グローバル管理者以外の管理者に企業全体の要求の管理を許可する McAfee ePO 管理者は、グローバル管理者以外の管理者 ([ユーザーの組織] 内のグループにアクセスが許可されてい る管理者) に、企業内で発生した要求の確認と管理を許可することができます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [サーバー設定]の順にクリックします。 2 [カテゴリの設定] ペインで [Solidcore] を選択して [編集] をクリックし、[Solidcore の編集] ページを開きま す。 3 [システム ツリー全体のポリシー検出要求の管理をグループ管理者に許可する] の値を [はい (システム ツリー のグループ アクセス権限を上書きします)] に変更します。 4 [保存] をクリックします。 グローバル管理者以外の管理者に、企業全体で発生した要求の確認とカスタム アクションの実行が許可されます。 グローバル管理者以外の管理者は、グローバル アクションを実行できません。 要求を確認する エンドポイントから受信した要求を確認します。 [Solidcore: 正常性モニタリング] ダッシュボードの [保留中のポリシー検出要求の上位 10 件] モニターで、すぐに アクションが必要なデータを確認します。 [Solidcore: 正常性モニタリング] ダッシュボードの詳細については、 『企業の正常性をモニタリングする』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択して、[ポリシ ー検出] ページを開きます。 エンドポイントから要求を受信すると、Application Control は以下のパラメーターを使用して要求を照合し、グ ループ化します。 • 要求を受信するバイナリ ファイルの SHA-1 値または CAB ファイル (ActiveX コントロールに対する要求 の場合) • 要求のステータス 各要求の [アクティビティ] フィールドには、エンドポイントでユーザーが実行したアクションが示されます。 た とえば、ユーザーが MSI ベースのソフトウェアをインストールした場合、要求の [アクティビティ] フィールドに は、ソフトウェアのインストールが表示されます。 2 次のいずれかの方法で、表示された要求を確認します。 • 特定の間隔 - [時間フィルター] リストからオプションを選択して [更新結果] をクリックすると、特定の間 隔で受信した要求を確認できます。 • 要求ステータス - [承認ステータス] リストから要求ステータスの値を選択して [更新結果] をクリックする と、選択したステータスと一致する要求を確認できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 163 11 承認リクエストの管理 要求を処理する • アクティビティ - [アクティビティ] リストから値を選択して [更新結果] をクリックすると、特定のアクテ ィビティの要求を確認できます。 • レピュテーション - [最終レピュテーション] リストから値を選択します。次に、[更新結果] をクリックし て、選択したレピュテーション レベルに一致するファイルの要求を表示します。 ファイルまたは証明書の最 終レピュテーションを判断する方法を確認するには、[最終レピュテーションとは?]をクリックします。 • 特定のエンドポイント - [システム名] フィールドにエンドポイント名を入力して [更新結果] をクリックす ると、そのエンドポイントから受信した要求を確認できます。 部分一致での比較は実行されません。完全な システム名を入力してください。 • 複数の条件 - 必要に応じて、[時間フィルター]、[承認ステータス]、[アクティビティ]、[最終レピュテーシ ョン]、[システム名] フィールドを指定して [更新結果] をクリックすると、複数の条件に従って検索が実行 されます。 • 特定の検索文字列 - [クイック検索] フィールドに検索文字列を入力して [適用] をクリックすると、指定し た検索文字列に一致する要求が表示されます。 指定したテキストを使用して部分一致が実行されます。 • ソート - 列見出しをクリックして、グローバルな普及、実行時間、アクティビティ、オブジェクト名、アプ リケーション名、証明書、最終レピュテーション、レピュテーション ソースでリストをソートします。 • 選択された要求 - 任意の要求を選択して [選択した行を表示] をクリックすると、選択した要求だけが表示 されます。 [ポリシー検出] ページには、McAfee ePO 管理者がルールを作成できる要求だけが表示されます。 ソフトウェア のアンインストールなどの要求を表示するには、[自己承認監査レポート] クエリーを実行します。 このリポート には、前月にエンドポイントから受信した要求がすべて表示されます。 クエリーの実行方法については、『クエリ ーを表示する』を参照してください。 3 照合要求とバイナリ ファイルの詳細な情報を構成する個別の要求を確認します。 a 行をクリックして [要求の詳細] ページを開きます。 b バイナリ ファイルの詳細 (バイナリの名前、バージョン、パス、親プロセス、変更されたファイル、最終アプ リケーションなど) を確認しまう。 c バイナリ ファイルの SHA-1 と MD5 の情報を確認します。 d バイナリの SHA-1 値をクリックして、[バイナリの詳細] ページでファイルの詳細を確認します。 e バイナリ ファイルの証明書ベンダー名を確認します。 バイナリ ファイルの証明書ベンダー名は、レピュテー ションに応じて緑 (信用)、赤 (不正)、オレンジ (不明) で表示されます。 f 証明書名をクリックして、発行者、証明書のレピュテーション、レピュテーション ソース、パブリック キー のアルゴリズム、パブリック キーの長さ、パブリック キーのハッシュ、証明書のハッシュ、有効性など、証 明書の詳細が表示されます。 g [企業レベルのアクティビティ] ペインで、要求を構成する個別の要求を確認します。 h [閉じる] をクリックします。 要求を処理する 管理グループで受信した要求を処理するには、要求に関連するアクションを実行します。 McAfee ePO 管理者であ れば、企業内で受信した要求を処理できます。 要求を確認して実行するアクションを選択します。 各要求で、最終レピュテーション、レピュテーション ソース、 バイナリの SHA-1、証明書、グローバル普及などの情報が使用できます。これにより、関連するアクションを実行 できます。 164 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 承認リクエストの管理 要求を処理する 11 ファイルのレピュテーション値は、レピュテーション (「信用」、「不正」または「不明」) に応じて異なる色で表示 されます。 • 緑色は、ファイルが「信頼できることが確認されている」、「信頼できる可能性が非常に高い」、「信頼できる可能 性がある」のいずれかであることを示します。 • オレンジ色は、ファイルが「不明」であることを示します。 • 赤色は、バイナリ ファイルが「不正なことが確認されている」、「不正な可能性が非常に高い」または「不正な可 能性がある」のいずれかであることを示します。 • グレーの値は、レピュテーション値が「使用不能」であることを意味します (ネットワーク パスの実行要求の場 合のみ)。 レピュテーション ソースは、レピュテーションの取得元を表します。 レピュテーション ソースの値は、「TIE」、 「GTI」、「Application Control」、「非同期」または「使用不能」です。 TIE の値をクリックすると、[TIE レピュテ ーション] ページが開き、選択したバイナリ ファイルの関連情報が表示されます。 レピュテーションの計算方法に ついては、『ファイルと証明書のレピュテーション』を参照してください。 タスク • 115 ページの「すべてのエンドポイントでのファイルの許可」 企業内のすべてのエンドポイントでアプリケーションまたはバイナリ ファイルの実行を許可するルール を定義します。 • 116 ページの「すべてのエンドポイントで証明書に基づいて実行を許可する」 企業内のすべてのエンドポイントでバイナリ ファイルの証明書に基づいてアプリケーション、バイナリ ファイル、ActiveX コントロールの実行を許可するルールを定義します。 • 117 ページの「すべてのエンドポイントで SHA-1 に基づいて実行を禁止する」 企業内のすべてのエンドポイントで、バイナリ ファイルの SHA-1 に基づいてアプリケーションまたは バイナリ ファイルの実行を禁止するルールを定義します。 • 168 ページの「特定のエンドポイントにルールを定義する」 管理グループ内の固有のエンドポイントにアプリケーション、バイナリ ファイル、ActiveX コントロー ルを許可または禁止する事前追加ルールを追加します。 また、必要に応じて特定のエンドポイントまた はグループにカスタム ルールを定義することもできます。 McAfee ePO 管理者であれば、企業内の特 定のエンドポイントにルールを定義できます。 • 119 ページの「特定のエンドポイントのホワイトリストに追加して許可する」 エンドポイントのホワイトリストに 1 つ以上のバイナリ ファイルを追加して、エンドポイントでのファ イルの実行を許可します。 • 121 ページの「ファイル レピュテーションを変更する」 [TIE レピュテーション] ページで、ファイルのレピュテーションを確認または編集します。 • 121 ページの「ファイルの詳細を表示する」 ファイルの詳細を確認します。 • 121 ページの「イベントの表示」 要求に関連するイベントを確認します。 • 122 ページの「要求を削除する」 選択した要求を [ポリシー検出] ページとデータベースから削除します。 すべてのエンドポイントでのファイルの許可 企業内のすべてのエンドポイントでアプリケーションまたはバイナリ ファイルの実行を許可するルールを定義しま す。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 165 11 承認リクエストの管理 要求を処理する アクティビティ タイプに応じて、ファイルの SHA-1、名前あるいはその両方にルールが作成されます。 更新プログ ラム権限がファイルに付与される場合があります。 詳細については、『McAfee Application Control ベストプラク ティス ガイド』の『配備の推奨事項とガイドライン』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [全体でバイナリを許可する]の順にクリックします。 [全体でバイナリを許可する] ダイアログ ボックスに詳細およびアクションを確認するプロンプトが表示されま す。 4 [OK] をクリックします。 選択された要求に関連するバイナリ ファイルに対し、ルールが作成され、[McAfee デフォルト] ポリシーに含まれ る [グローバル ルール] ルール グループに追加されます。 ルール グループの表示または編集方法についての詳細 は、『作成したルールを確認する』を参照してください。 すべてのエンドポイントで証明書に基づいて実行を許可する 企業内のすべてのエンドポイントでバイナリ ファイルの証明書に基づいてアプリケーション、バイナリ ファイル、 ActiveX コントロールの実行を許可するルールを定義します。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [証明書によってグローバルに許可する] の順にクリックします。 要求に関連付けられたメイン バイナリが [制限付き証明書名] のリストに含まれている証明書で署名されている 場合、[証明書によってグローバルに許可する] アクションは使用できません。 [証明書によってグローバルに許可する] ダイアログ ボックスに詳細が表示され、アクションが確認されます。 証明書に更新プログラム特権が割り当てられるかどうかは、選択された要求に関連するバイナリ ファイルにより ます。 証明書に更新プログラム特権がある場合、証明書によって実行を許可すると、証明書によって署名された すべてのアプリケーションに実行ファイルの変更や、エンドポイントで起動が許可されます。 4 [OK] をクリックします。 選択された要求に関連する証明書にルールが作成され、[McAfee デフォルト] ポリシーに含まれる [グローバル ルー ル] ルール グループに追加されます。 ルール グループの表示または編集方法についての詳細は、 『作成したルールを 確認する』を参照してください。 166 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 承認リクエストの管理 要求を処理する 11 すべてのエンドポイントで SHA-1 に基づいて実行を禁止する 企業内のすべてのエンドポイントで、バイナリ ファイルの SHA-1 に基づいてアプリケーションまたはバイナリ フ ァイルの実行を禁止するルールを定義します。 開始する前に このタスクを実行できるのは、McAfee ePO 管理者だけです。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 ルールを定義する要求を選択します。 3 [アクション] 、 [全体でバイナリを禁止する]の順にクリックします。 [全体でバイナリを禁止する] ダイアログ ボックスが開き、詳細が表示されます。また、アクションを確認するプ ロンプトが表示されます。 4 [OK] をクリックします。 選択された要求に関連するバイナリ ファイルに対し、ルールが作成され、[McAfee デフォルト] ポリシーに含ま れる [グローバル ルール] ルール グループに追加されます。 ルール グループの表示または編集方法についての 詳細は、『作成したルールを確認する』を参照してください。 MSI ベースのインストーラーなどのインストーラーを禁止するには、手順 3 と手順 4 でインストーラーを全体 で禁止するだけでなく、手順 5 を完了して、インストーラーが実行されたエンドポイントでインストーラーに追 加されたファイルも禁止する必要があります。 たとえば、エンドポイントで Mozilla Firefox 12 (Firefox-12.0-af.msi) 用の MSI ベースのインストーラーが実行された場合、エンドポイント上でインストーラ ーが追加したファイルを禁止する必要があります。 5 エンドポイントにすでに追加されているファイルを禁止します。 a アプリケーション名のリンクをクリックします。 エンドポイントにインストールされたすべてのバイナリ ファイルが [バイナリ] ページに表示されます。 b 表示されているバイナリ ファイルすべてを選択します。 c [アクション] 、 [バイナリを禁止] の順にクリックし、[バイナリの許可または禁止] ウィザードを開きます。 d ルールのルール グループを指定します。 e • ルールを既存ルール グループに追加するには、[既存のルール グループに追加] を選択し、リストからル ール グループを選択してオペレーティング システムを指定します。 • ルールを使用してルール グループを作成するには、[ルール グループの新規作成] を選択し、ルール グル ープ名を入力してオペレーティング システムを指定します。 ルールを追加するルール グループが、要求を受信したエンドポイントに適用されているポリシーに追加され ていることを確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 167 11 承認リクエストの管理 要求を処理する f [次へ] をクリックします。 g ルールを確認し、[保存] をクリックします。 MSI ベースではないインストーラーやユーザー インターフェースの [インベントリ] にバイナリが表示されない インストーラーの場合にも、2 段階で禁止する必要があります。 全体でインストーラーを禁止し、企業内の他のエ ンドポイントで実行できないようにします (手順 3 と手順 4)。 次に、アプリケーションに対応するバイナリ ファ イルを手動で検索し、ユーザー インターフェースの [インベントリ] を使用してファイルを禁止する必要がありま す。 特定のエンドポイントにルールを定義する 管理グループ内の固有のエンドポイントにアプリケーション、バイナリ ファイル、ActiveX コントロールを許可また は禁止する事前追加ルールを追加します。 また、必要に応じて特定のエンドポイントまたはグループにカスタム ル ールを定義することもできます。 McAfee ePO 管理者であれば、企業内の特定のエンドポイントにルールを定義で きます。 このタスクを実行するには、適切な権限が必要です。 必要な権限がない場合には、McAfee ePO 管理者に連絡して ください。 権限の詳細については、『ルール設定の権限』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択して、[ポリシ ー検出] ページを開きます。 2 カスタム ルールを定義する要求を選択します。 3 [アクション] 、 [カスタム ポリシーの作成] の順にクリックして、[ポリシー検出: カスタム ルール] ページを開 きます。 4 次のいずれかの操作を実行します。 操作... 手順... [事前追加ルールを確認して 1 [要求の承認]、[要求の禁止] または [証明書によって許可する] を選択します。 追加する] 2 事前追加されたルールを確認します。 3 必要に応じて、別のルールを定義します。 [カスタム ルールの定義] 1 [ルールをクリアして定義する] を選択します。 2 表示された要求の詳細を確認します。 3 関連するルールを定義します。 5 6 7 ルールのルール グループを指定します。 • ルールを既存ルール グループに追加するには、[既存を選択] を選択し、リストからルール グループを選択し ます。 • ルール グループを作成するには、[新規作成] を選択し、ルール グループ名を入力します。 (任意) 変更または作成されたルール グループをポリシーに追加します。 a [ルール グループを既存ポリシーに追加] を選択します。 b ルール グループを追加するポリシーを選択します。 [保存] をクリックします。 グループ化されたすべての要求が承認されます。 168 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 承認リクエストの管理 要求を処理する 11 特定のエンドポイントのホワイトリストに追加して許可する エンドポイントのホワイトリストに 1 つ以上のバイナリ ファイルを追加して、エンドポイントでのファイルの実行 を許可します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 行をクリックして [要求の詳細] ページを開き、要求の詳細を確認します。 [企業レベルのアクティビティ] ペインの各行に、バイナリ ファイルとエンドポイントの組み合わせが表示されま す。 3 行の [ローカルで許可] をクリックします。 [ローカルで許可] ダイアログ ボックスが開き、ホワイトリストに追加するパスが表示されます。 [ローカルで許可] アクションは、ホワイトリスト (アプリケーション実行アクティビティ) にないアプリケーショ ンの実行時に生成された要求でのみ使用できます。 4 表示されたパスを確認して、カスタマイズします。 たとえば、エンドポイントで proc.exe を実行すると、次のパスが表示されます。 C:\Program Files\<アプリ名>\proc.exe C:\Program Files\<アプリ名>\a.dll C:\Program Files\<アプリ名>\b.dll 冗長性を回避するため、C:\Program Files\App Name だけを追加します。 5 [OK] をクリックします。 指定したパスがホワイトリストに追加され、エンドポイントでの実行が許可されます。 ファイル レピュテーションを変更する [TIE レピュテーション] ページで、ファイルのレピュテーションを確認または編集します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 次のいずれかの操作を実行します。 • [Solidcore イベント] ページで、イベントに移動します。 • [ポリシー検出] ページで要求を選択し、[アクション] 、 [詳細]の順にクリックします。 2 [ファイル レピュテーション (TIE) を変更する] を選択して、[TIE レピュテーション] ページを開きます。 3 ファイルの情報を確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 169 11 承認リクエストの管理 要求を処理する 4 (任意) ファイル レピュテーションを編集します。 a [アクション] をクリックします。 b アクションを選択します。 使用可能なアクションの詳細については、ご使用のバージョンの『Threat Intelligence Exchange 製品ガイ ド』を参照してください。 ファイルの詳細を表示する ファイルの詳細を確認します。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 タスク 1 次のいずれかの操作を実行します。 • [Solidcore イベント] ページで、イベントに移動します。 • [ポリシー検出] ページで要求を選択し、[アクション] 、 [詳細]の順にクリックします。 2 [ファイルの詳細を表示する] を選択して、[バイナリの詳細] ページを開きます。 3 ファイルの情報を確認します。 詳細については、『インベントリを確認する』を参照してください。 イベントの表示 要求に関連するイベントを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択して、[ポリシ ー検出] ページを開きます。 2 関連イベントを表示する要求を選択します。 3 [アクション] 、 [詳細] 、 [関連イベントを表示する] の順にクリックして、[Solidcore イベント] ページを開き ます。 4 イベント情報を確認します。 詳細については、『イベントを確認する』と『ルールを定義する』を参照してください。 要求を削除する 選択した要求を [ポリシー検出] ページとデータベースから削除します。 最適なパフォーマンスを維持するため、[Solidcore: ポリシー検出結果の自動削除] サーバー タスクが毎週実行され、 生成されて 3 か月を過ぎたポリシー検出要求が完全に削除されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 170 1 McAfee ePO コンソールで、 [メニュー] 、 [Application Control] 、 [ポリシー検出] の順に選択し、[ポリシ ー検出] ページを開きます。 2 削除する要求を選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 承認リクエストの管理 作成したルールの確認 3 [アクション] 、 [要求の削除]の順にクリックします。 4 確認のプロンプトが表示されたら [OK] をクリックします。 11 選択された照合要求と含まれる個別要求すべてがページおよびデータベースから削除されます。 作成したルールの確認 処理済みの要求に作成されたグループ ルールを確認して管理します。 開始する前に このタスクを実行できるには、McAfee ePO の管理者または [グローバル ルール] ルール タスクの所有 者でなければなりません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [Solidcore ルール]の順に選択します。 2 [ルール グループ] タブで、次のオプションを選択します。 • タイプ に [Application Control]。 • プラットフォームに [Windows]。 3 [グローバル ルール] ルール グループを選択します。 4 ルール グループの [編集] をクリックします。 5 含まれるルールを確認します。 6 必要に応じて、定義されたルールを編集します。 7 [ルール グループを保存] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 171 11 承認リクエストの管理 作成したルールの確認 172 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 12 ダッシュボードとクエリの使用 ダッシュボードを使用してエンドポイントとクエリーのステータスを表示し、McAfee ePO データベースに保存され たデータに基づいてレポートを確認します。 目次 ダッシュボード クエリー クエリーを表示する ダッシュボード ダッシュボードとはモニタの集合です。これを使用すると、ユーザが環境に注目する際に役立ちます。 Application Control には、次のデフォルト ダッシュボードがあります。 • [Solidcore: インベントリ]ダッシュボードを使用すると、エンドポイントのインベントリを監視できます。 • [Solidcore: Application Control] ダッシュボードを使用すると、保護対象エンドポイントに関するチェックを 継続する際に役立ちます。 • [Solidcore: 正常性モニタリング] ダッシュボードでは、企業内の保護対象エンドポイントの正常性をモニタリン グできます。 ダッシュボードは、作成、複製、エクスポートできます。 ダッシュボードの操作方法については、 『McAfee ePolicy Orchestrator 製品ガイド』を参照してください。 クエリー 使用可能なクエリーを使用して、McAfee ePO データベースに保存されたデータに基づき、エンドポイントの情報を 確認します。 これらの Application Control と正常性モニタリングのクエリーは、McAfee ePO コンソールから使用できます。 表 12-1 Application Control クエリー クエリ 説明 [アラート] 過去 3 か月間に生成されたすべてのアラートを表示します。 [Application Control エー McAfee ePO サーバーで管理される Application Control ライセンスを持つすべて ジェント ステータス] のエンドポイントのステータスを表示します。 円グラフにはクライアント ステータ スに基づいた情報が分類されます。 セグメントをクリックしてエンドポイント情報 を確認します。 [過去 24 時間の違反] 過去 24 時間に検出された違反要求イベントを表示します。 折れ線グラフには、1 時 間ごとのデータが表示されます。 グラフ上の値をクリックし、イベントの詳細を確認 します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 173 12 ダッシュボードとクエリの使用 クエリー 表 12-1 Application Control クエリー (続き) クエリ 説明 [過去 7 日間の違反] 過去 7 日間に検出された違反要求イベントを表示します。 折れ線グラフには、1 日 ごとのデータが表示されます。 グラフ上の値をクリックし、イベントの詳細を確認し ます。 [非対応の Solidcore エー ジェント] 現在対応していないエンドポイントを表示します。 リストは、非対応の理由に基づい てソートされます。 次の場合、エンドポイントは非対応になる可能性があります。 • 無効、監視または更新モードの場合 • 限定的機能の有効モードで動作している場合 • ローカルのコマンドライン インターフェース (CLI) のアクセスが復旧した場合 [ポリシー割り当て (システ 管理対象エンドポイント上で適用されるポリシーの数を表示します。 システムをク ム別)] リックし、適用されるポリシーに関する情報を確認します。 [自動承認インストールのポ エンドポイントでインストーラーとして識別され、過去 1 か月以内にインストーラー リシー検出要求] 権限で自動的に実行されたすべてのファイルが表示されます。 [自己承認監査レポート] 前月にエンドポイントから受信した承認要求がすべて表示されます。 [Solidcore エージェント ライセンス レポート] McAfee ePO サーバーで管理される Solidcore Agent の数を示します。 この情報 はライセンス情報に基づいて分類され、エンドポイント上のオペレーティング システ ムに基づいてさらにソートされます。 [Solidcore エージェント ステータス レポート] McAfee ePO サーバーで管理されるすべてのエンドポイントのステータスを表示し ます。 このレポートでは、Application Control と Change Control のライセンス 情報が表示されます。 円グラフにはクライアント ステータスに基づいた情報が分類 されます。 セグメントをクリックして詳細情報を確認します。 [サーバー再起動ログのサマ システム名ごとにグループ化された再起動ログを表示します。 リー - 30 日間] [現在インベントリを取得で 企業内で現在インベントリ情報を取得できないシステムが表示されます インベント きないシステム] リの連続実行に指定した間隔に達していない場合、システムのインベントリを取得で きません。 この間隔は必要に応じて変更できます。 [過去 1 か月間インベント リ情報が取得されていない システム] 企業内で過去 1 か月間インベントリが取得されていないシステムが表示されます。 インベントリは毎週取得することをお勧めします。 [アプリケーション ベンダ ーのトップ 10] 企業内でユーザー数の多い上位 10 個のアプリケーション ベンダーを表示します。 ベンダーとアプリケーションが棒グラフで表示されます。 棒グラフではデータが降 順にソートされます。 グラフの棒の部分をクリックすると、関連するアプリケーショ ンの詳細情報を確認できます。 [過去 24 時間で違反が多い 過去 24 時間に違反が最も多く検出された上位 10 個のシステムを表示します。 グ 上位 10 個のシステム] ラフは各システムのバーを記載し、各システムの違反数を示します。 グラフ上のバー をクリックし、詳細情報を確認します。 [過去 7 日間で違反が多い 上位 10 個のシステム] 過去 7 日間に違反が最も多く検出された上位 10 個のシステムを表示します。 グラ フは各システムのバーを記載し、各システムの違反数を示します。 グラフ上のバーを クリックし、詳細情報を確認します。 [過去 7 日間で違反が多い 上位 10 人のユーザー] 過去 7 日間に、ポリシー違反の要求が最も多く検出された上位 10 名のユーザーを表 示します。 グラフは各ユーザーのバーを記載し、各ユーザーのポリシー違反の要求数 を示します。 棒グラフではデータが降順にソートされます。 グラフ上のバーをクリ ックし、詳細情報を確認します。 [過去 24 時間で違反が多い 過去 24 時間に、ポリシー違反の要求が最も多く検出された上位 10 名のユーザーを 上位 10 人のユーザー] 表示します。 グラフは各ユーザーのバーを記載し、各ユーザーのポリシー違反の要求 数を示します。 棒グラフではデータが降順にソートされます。 グラフ上のバーをク リックし、詳細情報を確認します。 174 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド ダッシュボードとクエリの使用 クエリーを表示する 12 表 12-2 正常性モニタリング クエリー クエリ 説明 [過去 7 日間にクライアント タ 過去 7 日間にクライアント タスク ログで発生したデータ輻輳の傾向が表示さ スク ログで発生したデータ輻輳 れます。 折れ線グラフには、1 日ごとのデータが表示されます。 グラフ上の値 の傾向][] をクリックし、詳細を確認します。 [過去 7 日間にインベントリで 発生したデータ輻輳の傾向] 過去 7 日間にインベントリで発生したデータ輻輳の傾向が表示されます。 折れ 線グラフには、1 日ごとのデータが表示されます。 グラフ上の値をクリックし、 詳細を確認します。 [過去 7 日間でスロットルが開 始したシステム数] 過去 7 日間でイベント、インベントリ更新またはポリシー検出 (監視) のスロッ トルが開始したシステムの数が表示さます。 サマリー テーブルではデータが降 順にソートされます。 [過去 7 日間に監視結果で発生 したデータ輻輳の傾向] 過去 7 日間に監視結果で発生したデータ輻輳の傾向が表示されます。 折れ線グ ラフには、1 日ごとのデータが表示されます。 グラフ上の値をクリックし、詳細 を確認します。 [過去 7 日間に自己承認で発生 したデータ輻輳の傾向] 過去 7 日間に自己承認要求で発生したデータ輻輳の傾向が表示されます。 折れ 線グラフには、1 日ごとのデータが表示されます。 グラフ上の値をクリックし、 詳細を確認します。 [監視モードで保留中の要求数が 監視モードで実行され、ポリシー検出要求が保留中のシステムが表示されます。 サマリー テーブルではデータが降順にソートされます。 最も多いシステム] [過去 7 日間でイベント数の最 過去 7 日間でイベント数の最も多いシステムで発生数の多い上位 10 件のイベ も多い上位 10 件のシステムで ントが表示されます。 棒グラフではデータが降順にソートされます。 グラフ上 発生数の多いイベントの上位 10 のバーをクリックし、詳細情報を確認します。 件] クエリーを表示する Application Control または [Solidcore 正常性モニタリング] クエリーを表示する タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [クエリーとレポート]の順に選択します。 2 [McAfee グループ] で、[Application Control] または [Solidcore 正常性モニタリング] グループを選択しま す。 3 リストのクエリーを確認します。 4 必要なクエリーに移動して、[実行] をクリックします。 選択したクエリーの結果が表示されます。 5 [閉じる] をクリックして、前のページに戻ります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 175 12 ダッシュボードとクエリの使用 クエリーを表示する 176 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 13 システムのメンテナンス Change Control または Application Control が配備されると、各種タスクを実行してエンドポイントをメンテナン スできます。 メンテナンス タスクの詳細については、次のトピックを確認してください。 目次 企業の正常性をモニタリングする 緊急時の変更 企業のスロットルを管理する CLI パスワードの変更 デバッグ情報の収集 無効モードにおけるエンドポイントの配置 McAfee GTI フィードバックを送信する データの削除 企業の正常性をモニタリングする 企業内で保護されたエンドポイントの正常性をモニタリングします。 [Solidcore: 正常性モニタリング] ダッシュ ボードでは、正常性ステータスを一目で確認できます。 McAfee ePO の [Solidcore: 正常性モニタリング] ダッシュボード モニターには、インベントリ項目の輻輳レベル や監視要求が表示されます。 モニターを追加して、自己承認要求やクライアント タスク ログの輻輳を確認すること もできます。 各モニターの輻輳レベルは、[輻輳なし]、[低]、[中]、[高]、[データ削除] で表示されます。 輻輳 レベ ル値 傾向 モニ ター の対 応値 説明 輻輳 なし 0 McAfee ePO データベースで輻輳は発生していません。 低 1 McAfee ePO データベースに、作成後 6 日以上経過しているデータが解析対象として残っていま す。 通常、レベルが [低] の輻輳は自動的に解決されます。 輻輳が開始すると、[データ輻輳の検 出] イベントが生成され、ユーザーに通知されます。 中 2 McAfee ePO データベースに、作成後 6 日以上経過しているデータが解析対象として残っていま す。 この段階では、ユーザー インターフェースの反応が遅くなる場合があります。 輻輳レベルが [中] に達すると、[データ輻輳の検出] イベントが生成され、ユーザーに通知されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 177 13 システムのメンテナンス 企業の正常性をモニタリングする 輻輳 レベ ル値 傾向 モニ ター の対 応値 説明 高 3 生成後 6 日以上経過した未解析のデータが存在し、McAfee ePO データベースが停止します。 輻 輳レベルが [高] に達すると、輻輳を解決するため、古いデータが McAfee ePO データベースから 削除されます。 輻輳レベルが [高] に達すると、[データ輻輳の検出] イベントが生成され、ユーザ ーに通知されます。 デー タ削 除 3 輻輳を解決するため、機能で解析待ちのデータがエンドポイントから削除されます。 データが McAfee ePO データベースから削除されると、[通信を妨げているデータの削除] イベントが発生 し、ユーザーに通知されます。 タスク • 178 ページの「輻輳の状態と傾向を確認する」 [Solidcore: 正常性モニタリング] ダッシュボードのモニターでは、企業の正常性と傾向を評価できま す。 • 179 ページの「通知を設定する」 環境でデータ輻輳が始まったときに通知を受信するように、アラートまたは自動応答を設定します。 輻輳の状態と傾向を確認する [Solidcore: 正常性モニタリング] ダッシュボードのモニターでは、企業の正常性と傾向を評価できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [ダッシュボード] の順に選択します。 2 [ダッシュボード] リストから [Solidcore: 正常性モニタリング] ダッシュボードを選択します。 3 企業全体の正常性を確認します。 4 インベントリの項目と監視結果の輻輳レベルを確認します。 機能 手順 インベ ントリ 1 [インベントリのデータ輻輳レベル] モニターで、McAfee ePO データベースのインベントリ項目で 輻輳が発生しているかどうかを確認します。 2 [過去 7 日間にインベントリで発生したデータ輻輳の傾向] モニターで一週間の傾向を確認します。 監視結 果 1 [監視のデータ輻輳レベル] モニターで、McAfee ePO データベースの監視要求で輻輳が発生してい るかどうかを確認します。 2 [過去 7 日間に監視結果で発生したデータ輻輳の傾向] モニターで一週間の傾向を確認します。 5 178 (任意) 自己承認要求とクライアント タスク ログの輻輳レベルも確認できます。 a McAfee ePO コンソールの [Solidcore: 正常性モニタリング] ダッシュボードで、[ダッシュボード アクショ ン] 、 [複製] の順に選択し、[ダッシュボードの複製] ダイアログ ボックスで [OK] をクリックして [モニタ ーの追加] をクリックします。 b [カテゴリ] リストから [Solidcore] を選択します。 c [自己承認のデータ輻輳レベル] モニターと [クライアント タスク ログのデータ輻輳レベル] モニターをクリ ックしてドラッグします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド システムのメンテナンス 企業の正常性をモニタリングする 13 d [カテゴリ] リストから [クエリー] を選択します。 e [クエリー] モニターをクリックして、ドラッグします。 f [新しいモニター] ダイアログ ボックスで [モニター コンテンツ] ドロップダウン リストをクリックします。 g McAfee ePO コンソールで [McAfee グループ - Solidcore 正常性モニタリング] セクションに移動し、[過 去 7 日間に自己承認で発生したデータ輻輳の傾向] クエリーを選択して [OK] をクリックします。 h [過去 7 日間にクライアント タスク ログで発生したデータ輻輳の傾向] クエリーに手順 d から手順 g を繰 り返します。 i レベルと傾向の情報を確認します。 機能 手順 自己承 認 1 [自己承認のデータ輻輳レベル] モニターで、McAfee ePO データベースの自己承認要求で輻輳 が発生しているかどうかを確認します。 2 [過去 7 日間に自己承認で発生したデータ輻輳の傾向] モニターで一週間の傾向を確認します。 クライ アント タスク ログ 1 [クライアント タスク ログのデータ輻輳レベル] モニターで、McAfee ePO データベースのク ライアント タスク ログで輻輳が発生しているかどうかを確認します。 2 [過去 7 日間にクライアント タスク ログで発生したデータ輻輳の傾向] モニターで一週間の傾 向を確認します。 通知を設定する 環境でデータ輻輳が始まったときに通知を受信するように、アラートまたは自動応答を設定します。 環境で輻輳が始まったときに通知を受信するには、[データ輻輳検出] イベントにアラートを設定します。 同様に、 McAfee ePO データベースからデータを削除して輻輳を解決したときに通知を受信するには、[通信を妨げているデ ータの削除] イベントにアラートを設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [自動応答]の順に選択します。 2 [アクション] 、 [新しい応答]の順にクリックします。 3 アラート名を入力します。 4 [ePO 通知イベント] グループと [脅威] イベント タイプを選択します。 5 [有効] を選択して [次へ] をクリックし、[フィルター] ページを表示します。 6 [定義場所] プロパティで [ユーザーの組織] を選択します。 7 [使用可能なプロパティ] ペインで [脅威名] を選択します。 8 [値] フィールドに DATA_CONGESTION_DETECTED と入力します。 9 [+] をクリックします。 10 [値] フィールドに CLOGGED_DATA_DELETED と入力して、[次へ] をクリックします。 11 集計の詳細を指定して [次へ] をクリックし、[アクション] ページを表示します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 179 13 システムのメンテナンス 緊急時の変更 12 [電子メールの送信] を選択して電子メールの詳細を指定し、[次へ] をクリックして [サマリー] ページを開きま す。 13 詳細を確認し、[保存] をクリックします。 緊急時の変更 緊急時の変更を実行するため、現在有効な不正防止機能に優先する変更ウィンドウを作成することができます。 メモ リー保護 (Application Control のみ) は、更新モードでも有効のまま維持されます。 変更ウィンドウは、他に使用 できるメカニズムがない場合にのみ使用してください。 次の手順を完了して緊急時の変更を実行します。 タスク 1 エンドポイントを更新モードで配置します。 2 必要な緊急時の変更を完了します。 3 エンドポイントを有効モードで配置します。 タスク • 180 ページの「更新モードでのエンドポイントの配置」 エンドポイントを更新モードに切り替えて、緊急時の変更を加えることができます。 • 181 ページの「有効モードにおけるエンドポイントの配置」 更新モードで必要な変更を完了した後に、エンドポイントを有効モードに戻します。 更新モードでのエンドポイントの配置 エンドポイントを更新モードに切り替えて、緊急時の変更を加えることができます。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブに切り 替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: 更新モードの開始] を選択します。[タスクの新規作 成] をクリックして、[クライアント タスク カタログ] ページを開きます。 5 タスク名を指定し、任意の詳細情報を追加します。 6 ワークフロー ID と任意のコメントを入力します。 ワークフロー ID は更新ウィンドウの内容説明です。 180 7 [保存] をクリックします。 8 [次へ] をクリックし、[スケジュール] ページを開きます。 9 スケジュールの詳細を指定し、[次へ] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド システムのメンテナンス 企業のスロットルを管理する 13 10 タスクの詳細を確認して、[保存] をクリックします。 11 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 有効モードにおけるエンドポイントの配置 更新モードで必要な変更を完了した後に、エンドポイントを有効モードに戻します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • クライアント タスクをグループに適用するには、[システム ツリー] 内のグループを選択して [割り当て済み のクライアント タスク] タブにスイッチします。 • エンドポイントにクライアント タスクを適用するには、[システム] ページでエンドポイントを選択して、 [ア クション] 、 [エージェント] 、 [単一システムでのタスクの変更]の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: 更新モードの終了] を選択します。[タスクの新規作 成] をクリックして、[クライアント タスク カタログ] ページを開きます。 5 タスク名を指定し、任意の情報を追加します。 6 [保存] をクリックします。 7 [次へ] をクリックして、[タスク名の指定] を開き、情報を追加します。 8 スケジュールの詳細を指定し、[次へ] をクリックします。 9 タスクの詳細を確認して、[保存] をクリックします。 10 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 企業のスロットルを管理する エンドポイントで生成された複数のイベント、ポリシー検出要求 (監視要求) またはインベントリ更新を McAfee ePO サーバーが受信すると、McAfee ePO インターフェースが応答不能になったり、停止する場合があります。 ス ロットル機能を使用すると、このような状況を回避できます。 エンドポイントから McAfee ePO サーバーに送信されるイベント、ポリシー検出要求、インベントリ更新のフロー を制御できます。 McAfee ePO サーバーに送信されたデータがエンドポイントで定義されたしきい値に達すると、 スロットルが開始し、次のアクションが実行されます。 1 エンドポイントから McAfee ePO サーバーへのデータ送信を停止します。 2 データをエンドポイントのキャッシュに保存します。 キャッシュがいっぱいになると、古いデータから順番にド ロップします。 キャッシュにデータが保存されるのは、イベントとポリシー検出要求の場合だけです。 インベントリ データはキ ャッシュに保存されません。このデータは、エンドポイントのローカルで更新されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 181 13 システムのメンテナンス 企業のスロットルを管理する 3 最初のイベント、ポリシー検出要求またはインベントリ更新が発生してから 24 時間後にスロットルをリセット します。 ただし、インベント更新のスロットル リセットの間隔が 24 時間を超える場合があります。 詳細につ いては、KB84044 を参照してください。 4 キャッシュに保存したデータを McAfee ePO サーバーにバッチで送信します。最も古いデータから順番に送信 します。 イベントとポリシー検出要求のスロットルがリセットされると、その後に生成されたデータはキャッシュに保存され、 キャッシュが空になるまで McAfee ePO サーバーには送信されません。 スロットル機能は、対応するすべての Windows プラットフォームで使用できますが、UNIX プラットフォームでは 使用できません。 環境でスロットルを管理するには、スロットルが開始しているエンドポイントを特定し、修復アク ションを実行します。 企業のスロットルは必要に応じて設定できます。 タスク • 182 ページの「機能をセットアップする」 デフォルトでは、イベント、インベントリ更新、ポリシー検出要求でスロットル機能が有効になってい ます。 • 182 ページの「スロットル値を設定する」 大半の企業では、スロットル機能をデフォルトの設定で使用できます。 この機能のデフォルトの設定を 必要に応じて変更することができます。 • 183 ページの「スロットルを管理する」 環境内のエンドポイントでスロットルを開始するかどうかを決めて修復アクションを実行し、組織のス ロットルを管理します。 機能をセットアップする デフォルトでは、イベント、インベントリ更新、ポリシー検出要求でスロットル機能が有効になっています。 この機能を有効または無効にすると、そのすべてのサブ機能も有効または無効になります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: 全般] を選択します。 3 [設定 (クライアント)] カテゴリで、[McAfee Default] ポリシーの [複製] をクリックします。 4 ポリシー名を指定して、[OK] をクリックします。 5 ポリシーを開き、[スロットル] タブに切り替えます。 6 [スロットルを有効にする] チェックボックスをクリックして、スロットルを有効または無効にします。 これにより、イベント、インベントリ更新、ポリシー検出要求でスロットル機能が有効または無効になります。 7 (任意) [イベント]、[インベントリ更新]、[ポリシー検出 (監視)] でスロットル機能を個別に無効にします。 スロットル機能を有効にした場合、スロットル タイプのチェックボックスの選択を解除すると、1 つまたは複数 のスロットル タイプを無効にできます。 8 ポリシーを保存し、関連するエンドポイントに適用します。 スロットル値を設定する 大半の企業では、スロットル機能をデフォルトの設定で使用できます。 この機能のデフォルトの設定を必要に応じて 変更することができます。 182 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド システムのメンテナンス 企業のスロットルを管理する 13 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: 全般] を選択します。 3 [設定 (クライアント)] カテゴリで、[McAfee Default] ポリシーの [複製] をクリックします。 4 ポリシー名を指定して、[OK] をクリックします。 5 ポリシーを開き、[スロットル] タブに切り替えます。 6 必要に応じて、イベント、インベントリ更新、ポリシー検出要求の値を編集します。 値 説明 [イベント] しきい値とキャッシュ サイズをイベント XML ファイルの数で定義します。 デフォルトでは、24 時間に 1 つのエンドポイントで 2000 個の XML ファイルを処理します。 また、デフォルトのイ ベント キャッシュ サイズは、エンドポイントあたり 7000 個の XML ファイルに設定されていま す。 7 [インベン トリ更新] しきい値をインベントリ更新に含まれるファイル要素の数で定義します。 デフォルトでは、24 時 間に 1 つのエンドポイントで 15000 個の XML ファイル要素を処理します。 [ポリシー 検出 (監 視)] しきい値とキャッシュ サイズを要求 XML ファイルの数で定義します。 デフォルトでは、24 時間 に 1 つのエンドポイントで 100 個の XML ファイルを処理します。 また、デフォルトのイベント キャッシュ サイズは、エンドポイントあたり 700 個の XML ファイルに設定されています。 ポリシーを保存し、関連するエンドポイントに適用します。 スロットルを管理する 環境内のエンドポイントでスロットルを開始するかどうかを決めて修復アクションを実行し、組織のスロットルを管 理します。 [Solidcore: 正常性モニタリング] ダッシュボードの [過去 7 日間でスロットルが開始したシステム数] モニター で、すぐにアクションが必要なシステムを確認します。 [Solidcore: 正常性モニタリング] ダッシュボードの詳細については、 『企業の正常性をモニタリングする』を参照し てください。 タスク 1 スロットルを開始するかどうかを決めて、影響を受けるエンドポイントを識別します。 イベント 説明 [データ スロ エンドポイントでイベントまたはポリシー検出要求のスロットルが開始すると生成されます。 スロットルのリセット後、このイベントはキャッシュが空になるまで毎日生成されます。 ットル] [データ ドロ エンドポイントの 2 つのシナリオで生成されます。 ップ] • キャッシュがいっぱいになり、イベント キャッシュまたは要求キャッシュから最も古いデータ がドロップされた場合。 • インベントリ更新のスロットルがエンドポイントで開始した場合。 2 影響を受けるエンドポイントのスロットル ステータスを確認します。 3 影響を受けるエンドポイントで生成されたデータを処理し、関連ルールを作成します。 データがドロップされな いように、データを迅速に処理する必要があります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 183 13 システムのメンテナンス 企業のスロットルを管理する タスク • 184 ページの「影響を受けるエンドポイントを特定する」 企業内でスロットルが開始しているエンドポイントを特定します。 • 184 ページの「スロットル ステータスを確認する」 エンドポイントでスロットルが開始している場合にスロットルのステータスを確認します。 • 185 ページの「データを処理する」 スロットルを開始したエンドポイントで、関連するルールまたはフィルターを作成してデータを処理し ます。 これにより、受信するデータの量を段階的に減らし、データ フローを制御できます。 影響を受けるエンドポイントを特定する 企業内でスロットルが開始しているエンドポイントを特定します。 [データ スロットル] イベントや [データ ドロップ] イベントが発生しているエンドポイントを特定します。 企業内 で発生するこれらのイベントに自動応答を作成します。 自動応答の作成方法については、『McAfee ePolicy Orchestrator 製品ガイド』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 2 イベント リストを確認して、次のイベントが生成されているエンドポイントを検索します。 イベント アクション [データ スロット ル] エンドポイントのイベントまたはポリシー検出 (監視) 要求のスロットルに関する情報を [オブジェ クト名] 列で確認します。 スロットルの種類によっては、データの消失を防ぐため、スロットルの ステータスをすぐに確認し、エンドポイントのデータを処理する必要があります。 [データ インベントリ更新のスロットルに関する情報を [オブジェクト名] 列で確認します。 イベントとポ ドロップ] リシー検出要求 (監視) でデータ ドロップが開始している場合、この列にも情報が表示されます。 通常、エンドポイントでデータがすぐに処理されない場合に、この状況が発生します。 スロットル の種類によっては、データの処理やインベントリ更新の管理をすぐに行う必要があります。 スロットル ステータスを確認する エンドポイントでスロットルが開始している場合にスロットルのステータスを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 184 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 [システム] ページで、スロットルが開始しているエンドポイントをクリックします。 3 [製品] タブをクリックします。 4 [Solidcore] 行をクリックして、製品の詳細を表示します。 5 表示されたスロットル プロパティの値を確認します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド システムのメンテナンス CLI パスワードの変更 13 プロパティ 説明 [スロットル ステータス: イベント] 次の情報が表示されます。 [スロットル ステータス: ポリシー検出 (監視)] • ドロップされたイベントまたは要求の数 キャッシュの使用状況が 100% になると、イベントまたは要求のドロップが開始します。 [データ ドロップ] イベントが生成され、[脅威イベント ログ] と [Solidcore イベント] ペー ジに表示されます。 • キャッシュの使用状況 イベントまたは要求の保存に使用されているキャッシュの比率を表します。 • しきい値に達した時間 イベントまたは要求のスロットルが開始した時間が表示されます。 [インベントリ インベントリを最後に取得した時間が表示されます。 インベントリ更新のスロットルが開始す 取得時間 (前 ると、[インベントリ プル] クライアント タスクが無効になり、スロットルがリセットされる 回)] までインベントリの取得ができなくなります。 [インベントリ エンドポイントのインベントリを取得できる時間が表示されます。 インベントリ更新のスロッ 取得時間 (次 トルがリセットされると (最初のインベントリ更新が生成されたら 24 時間後)、[インベントリ 回)] プル] クライアント タスクが有効になり、インベントリの取得が可能になります。 このプロパ ティには、スロットルがリセットされる時間が表示されます。 インベントリ取得の詳細につい ては、『インベントリを取得する』を参照してください。 データを処理する スロットルを開始したエンドポイントで、関連するルールまたはフィルターを作成してデータを処理します。 これに より、受信するデータの量を段階的に減らし、データ フローを制御できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 • データの種類に応じて関連アクションを実行します。 データ アクション イベン 1 McAfee ePO コンソールで、 [メニュー] 、 [レポート] 、 [Solidcore イベント]の順に選択します。 ト 2 スロットルの開始を確認したイベントで、イベント タイプ、生成時間、発生数などの詳細に基づいて イベントを確認し、イベントに関連するルールを作成します。 詳細については、『イベントを確認する』と『ルールを定義する』を参照してください。 3 詳細除外フィルターを定義して、意味のないイベント データをエンドポイントから除外します。 詳細については、『監視とイベントにフィルターを指定する』を参照してください。 要求 1 要求を処理する関連ルールを作成します。 ルールの作成方法については、『要求を管理する』を参照します。 2 詳細除外フィルターを定義して、意味のないイベント要求をエンドポイントから除外します。 詳細については、『監視とイベントにフィルターを指定する』を参照してください。 インベ 詳細除外フィルターを定義して、意味のないインベントリ更新をエンドポイントから除外します。 ントリ 詳細については、『インベントリ データにフィルターを指定する』を参照してください。 更新 CLI パスワードの変更 コマンドライン インターフェース (CLI) のデフォルト パスワードを変更する McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 185 13 システムのメンテナンス デバッグ情報の収集 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: 全般] を選択します。 3 [設定 (クライアント)] カテゴリで、[McAfee Default] ポリシーの [複製] をクリックします。 [既存のポリシーの複製] ダイアログ ボックスが表示されます。 4 ポリシー名を指定して、[OK] をクリックします。 ポリシーが作成され、[ポリシー カタログ] ページに表示されます。 5 ポリシーをクリックして開きます。 6 [CLI] タブに新しいパスワードを入力します。 7 同じパスワードを確認入力します。 8 [保存] をクリックします。 9 エンドポイントにポリシーを適用します。 デバッグ情報の収集 Solidcore クライアントの問題に関して McAfee サポートに連絡する前に、環境の設定情報やデバッグ情報を収集し ます。 これらの情報は、McAfee サポートが問題を素早く特定し、解決するために必要となります。 [デバッグ情報の収集] クライアント タスクを実行し、エンドポイントの設定情報と Solidcore クライアントのログ ファイルを含むアーカ イブを作成します。 エンドポイントで .zip ファイルが生成され、その場所が [クライアント タスク ログ] ページに リストで表示されます (クライアント タスクに関連付けられたレコードをクリック)。 発生した問題の詳細と一緒 に .zip ファイルを McAfee サポートに送信します。 設定情報とデバッグ情報を含む .zip ファイルを作成します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 186 1 McAfee ePO コンソールで、 [メニュー] 、 [システム] 、 [システム ツリー]の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブに切り 替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: デバッグ情報の収集] を選択します。[タスクの新規 作成] をクリックして、[クライアント タスク カタログ] ページを開きます。 5 タスク名を指定し、任意の詳細情報を追加します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド システムのメンテナンス 無効モードにおけるエンドポイントの配置 6 [保存] をクリックします。 7 [次へ] をクリックし、[スケジュール] ページを開きます。 8 スケジュールの詳細を指定し、[次へ] をクリックします。 9 タスクの詳細を確認して、[保存] をクリックします。 13 10 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 無効モードにおけるエンドポイントの配置 エンドポイントを無効モードに切り替えると、ソフトウェアは無効になります。 ソフトウェアがインストールされて いても、関連付けられた機能は有効になりません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 [メニュー] 、 [システム] 、 [システム ツリー] の順に選択します。 2 次のいずれかのアクションを実行します。 • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのクライアント タスク] タブに切り 替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: 無効] を選択します。[タスクの新規作成] をクリッ クして、[クライアント タスク カタログ] ページを開きます。 5 タスク名を指定し、任意の詳細情報を追加します。 6 次の手順を完了します。 ライセンス Solidcore クライアント 手順 のバージョン Application Control • 5.1.2 以前(UNIX およ [エンドポイントを再起動] を選択し、エンドポイントを再起動しま す。 び Windows) • 6.0.0 以降(Windows) • 6.1.0 以降(UNIX) 保守管理またはトラブルシューティングでクライアント保護を一 時的に無効にしている場合には、[エンドポイントを再起動] の選択 を解除します。 タスクが適用されると、ソフトウェアが無効にな ります。 削除する前にソフトウェアを無効にするには、[エンドポイントを 再起動] を選択します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 187 13 システムのメンテナンス McAfee GTI フィードバックを送信する ライセンス Solidcore クライアント 手順 のバージョン Change Control • 6.0.1 以前(UNIX) • 6.0.0 以降(Windows) • 6.1.0 以降(UNIX) [エンドポイントを再起動] を選択し、エンドポイントを再起動しま す。 保守管理またはトラブルシューティングでクライアント保護を一 時的に無効にしている場合には、[エンドポイントを再起動] の選択 を解除します。 タスクが適用されると、ソフトウェアが無効にな ります。 削除する前にソフトウェアを無効にするには、[エンドポイントを 再起動] を選択します。 7 [保存] をクリックします。 8 [次へ] をクリックし、[スケジュール] ページを開きます。 9 スケジュールの詳細を指定し、[次へ] をクリックします。 10 タスクの詳細を確認して、[保存] をクリックします。 11 (任意) エージェントをウェークアップし、クライアント タスクをすぐにエンドポイントに送信します。 McAfee GTI フィードバックを送信する Application Control のサーバー タスクを使用すると、McAfee GTI と Application Control の使用状況について McAfee にフィードバックを送信できます。 • [Solidcore: イベントのフィードバックを McAfee GTI サーバーに送信する] (デフォルトは無効) • [Solidcore: McAfee GTI サーバーにポリシーとインベントリのフィードバックを送信] (デフォルトは有効で、 毎日実行) • [Solidcore: McAfee GTI サーバーにポリシー検出要求のフィードバックを送信] (デフォルトは有効で、毎日実 行) 個別のコンピューターまたはユーザーに関する情報を McAfee に送信しないでください。 McAfee は、特定の顧客や 組織に対するフィードバック情報の追跡に使用できるデータを保存しません。 タスク 188 • 189 ページの「サーバー タスクの設定」 これらのパラメーターを 1 つまたは全部使用している現在の状況について、情報を送信するようにサー バー タスクを設定できます。 • 189 ページの「サーバー タスクを設定する」 必要に応じて、フィードバックを送信するサーバー タスクを設定します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド システムのメンテナンス データの削除 13 サーバー タスクの設定 これらのパラメーターを 1 つまたは全部使用している現在の状況について、情報を送信するようにサーバー タスク を設定できます。 イベント バイナリ名などの情報や、[実行の拒否]、[プロセス ハイジャックの試行]、[Nx 違反の検出] の各イベ ントに関する SHA-1 値を送信します。 また、バイナリ ファイルのフルパスを使用して、イベントが発 生するエンドポイントの数に関する情報を送信することもできます。 この情報は、McAfee によるアクションのブロックに関する頻度と効果を Application Control が判定す る際に役立ち、最終的には製品の機能と効率性の向上に役立ちます。 ポリシー Change Control、Application Control、全般ポリシーでユーザーが編集可能な項目に関する情報を送 信します。 この情報は、グローバル ルールとグローバル監視ルール (廃止) ルール グループにも送信さ れます。 この情報は、ユーザーのポリシーの使用状況とルールの適用状況を McAfee が把握し、デフォルトのポ リシーやルールを改善する際に役立ちます。 インベン ベース名、アプリケーション名、アプリケーションのバージョン、バイナリのバージョン、エンタープ トリ ライズ信用レベルなど、バイナリ ファイルの詳細情報を送信します。 また、バイナリ ファイルが存在 するエンドポイントの数、実行ステータス、バイナリ ファイルのフルパスに関する情報も送信できます。 フィードバックにはシステム名や IP アドレスなどのエンドポイントを識別するための情報は一切含ま れません。 この情報により、McAfee はバイナリ ファイルに割り当てられたファイル ハッシュの信用スコア (GTI) とファイル ハッシュ レピュテーション (GTI) 値の使用または変更方法を確認します。 McAfee GTI ファイル レピュテーション サービスの改善にも役立ちます。 ポリシー ポリシー検出要求に関する情報を送信します。バイナリ ファイルに関連付けられている証明書の詳細も 検出要求 送信します。 この情報は、McAfee が環境で生成された要求の種類を判断し、よく利用されているアプリケーションの 証明書を識別する際に役立ちます。 ePO ベ McAfee ePO が管理するノード数と Application Control がインストールされているノード数に関す ース情報 る情報を送信します。 サーバー タスクを設定する 必要に応じて、フィードバックを送信するサーバー タスクを設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、[メニュー] 、 [自動処理] 、 [サーバー タスク] の順に選択します。 2 サーバー タスクの [編集] を選択して、サーバー タスク ビルダー ウィザードを開きます。 3 タスクのスケジュール ステータスを変更します。 4 [保存] をクリックします。 データの削除 Solidcore レポート データを日付またはその他のパラメーターに基づいて完全に削除します。 データを削除する と、レコードは完全に削除されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 189 13 システムのメンテナンス データの削除 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [自動処理] 、 [サーバー タスク]の順に選択します。 2 [新しいタスク] をクリックして、[サーバー タスク ビルダー] ウィザードを開きます。 3 タスク名を入力して、[次へ] をクリックします。 4 [アクション] リストから [Solidcore: 削除] を選択します。 5 必要に応じて、これらのオプションを設定します。 • [機能の選択] - レコードを削除する対象となるレポート機能を選択します。 • [次の日付よりも古いレコードを削除] - このオプションを選択すると、指定した日付より前のエントリを削 除できます。 このオプションは、インベントリ レコードなどの日付による条件を持たない機能には適用でき ません。 • [クエリーでパージ] - このオプションを選択すると、選択した機能のうちクエリー条件を満たす機能のレコ ードを削除できます。 このオプションを使用できるのは、McAfee ePO でクエリーをサポートするレポート 機能のみです。 また、このオプションは、表形式のクエリー結果についてのみサポートされています。 シードされたクエリーは削除に使用できません。 レコードを完全に削除する前に、クエリーを作成する必要が あります。この操作を行うには、 [メニュー] 、 [レポート] 、 [クエリーとレポート] の順に移動します。 190 6 [次へ] をクリックし、[スケジュール] ページを開きます。 7 スケジュールの詳細を指定して [次へ] をクリックし、[サマリー] ページを表示します。 8 詳細を確認して、[保存] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 14 設定の微調整 詳細設定タスクを実行し、設定を微調整します。 目次 Syslog サーバの設定 Solidcore の権限セット エンドユーザ通知のカスタマイズ Syslog サーバの設定 サーバーを McAfee ePO サーバーに登録すると、複数のサーバーにアクセスできます。 登録済みのサーバーを使用 すると、他の外部サーバーにソフトウェアを統合できます。 Syslog サーバーを登録済みのサーバーとして追加し、Syslog サーバーに情報 (応答または Solidcore イベント) を 送信します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 Syslog サーバーを登録済みのサーバーとして追加します。 a McAfee ePO コンソールで、 [メニュー] 、 [設定] 、 [登録済みサーバー]の順に選択し、[新しいタスク] を クリックして [登録済みのサーバー ビルダー] ウィザードを開きます。 b [サーバの種類] リストから [Solidcore Syslog サーバ] を選択します。 c サーバー名を指定して説明を追加し、[次へ] をクリックします。 d (任意) Syslog サーバーのポートを変更します。 e サーバ アドレスを入力します。 DNS 名、IPv4 アドレス、または IPv6 アドレスを指定することもできます。 f [Syslog ファシリティ] リストから値を選択し、サーバが受信するように設定されているログの種類を選択し ます。 g [Syslog 送信を試行] をクリックし、サーバへの接続状態を確認します。 h [保存] をクリックします。 特定の応答を Syslog サーバーに送信 (手順 2) したり、シード処理された応答を使用してすべての Solidcore イベントを Syslog サーバーに送信 (手順 3) するように選択できます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 191 14 設定の微調整 Solidcore の権限セット 2 応答を Syslog サーバーに送信します。 a [メニュー] 、 [自動処理] 、 [自動応答] の順に選択します。 b [アクション] 、 [新しい応答] の順にクリックします。 c アラート名を入力します。 d [ePO 通知イベント] グループと [脅威] イベント タイプを選択します。 e [有効] を選択して [次へ] をクリックし、[フィルター] ページを表示します。 f 関連フィルターを定義して [次へ] をクリックし、[集計] ページを表示します。 g 集計の詳細を指定して [次へ] をクリックし、[アクション] ページを表示します。 h [Solidcore Syslog にイベントを送信] アクションを選択します。 i 重大度とメッセージを指定します。 リストにある変数を使用してメッセージの文字列を作成できます。 3 j 適切な Syslog サーバー (1 台以上) を選択し、[次へ] をクリックします。 k 応答の詳細を確認し、[保存] をクリックします。 すべての Solidcore イベントを Syslog サーバーに送信します。 Application Control と Change Control には、シード処理された応答が含まれます。これにより、すべての Solidcore イベントを Syslog サーバーに自動的に送信するように設定できます。 a [メニュー]、[自動処理]、[自動応答] の順に選択します。 b [Solidcore イベントを Syslog サーバーに送信] 応答を編集し、次のオプションを設定します。 • ステータスを [有効] に設定します。 • 適切な Syslog サーバが選択されていることを確認します。 • メッセージの文字列を確認します。 メッセージの文字列は、共通交換フォーマットに基づいています。 メッセージの文字列についてサポート が必要な場合は、McAfee サポートにお問い合わせください。 c 応答を保存します。 Solidcore の権限セット 権限セットとは、ユーザーのアカウントに割り当てることで任意のユーザーに付与できる権限の集合です。 権限セッ トを使用すると、ソフトウェアの機能に対するアクセス権を制御できます。 ユーザー アカウントは、ソフトウェアへのアクセス手段ト使用手段を提供します。各ユーザー アカウントには、ソ フトウェアでユーザーに許可されている動作を定義する権限セットが 1 つまたは複数関連付けられています。 権限セットは、権限やアクセス権の付与のみを行い、権限やアクセス権の解除は行いません。 1 つのユーザー アカ ウントに複数の権限セットを適用すると、これらの権限セットは集約されます。 たとえば、ある権限セットではサーバー タスクへの権限がなく、別の権限セットでサーバー タスクに対するすべて の権限が付与されている場合、そのユーザー アカウントはサーバー タスクに対するすべての権限を持つことになり ます。 環境内のユーザーに権限を付与する際は、この点について考慮してください。 グローバル管理者には、すべての製品と機能に対するすべての権限が自動的に割り当てられます。 192 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 設定の微調整 Solidcore の権限セット 14 新しい製品の拡張ファイルがインストールされると、McAfee ePO に製品特有の権限セットが付与されます。 Change Control と Application Control の Solidcore 拡張ファイルにより、[Solidcore 管理者] と [Solidcore レビューアー] 権限セットが追加されます。これらの権限セットを確認するには、 [メニュー] 、 [ユーザー管理] 、 [権限セット] の順に移動します。 Solidcore 権限セットで提供される権限 Solidcore 権限セットで付与される権限は次のとおりです。 機能 Solidcore 管理者権限セッ ト Solidcore 全般 表示権限と変更権限を付与し 表示権限を付与します。 ます。 • クエリー、ダッシュ ボード • 監視 (廃止) • イベント • 内容変更の追跡 • 応答 • ポリシー検出 • アラート • 証明書 • クライアント タス ク ログ • インストーラー • インベントリ • ルール グループ Solidcore ポリシー権限 • Application Control ポリシー Solidcore レビューアー 権限セット 表示権限と変更権限を付与し 表示権限を付与します。 ます。 • Change Control ポリシー • Integrity Monitor ポリシー • 全般ポリシー Solidcore 権限セットの制限 デフォルトでは、Solidcore 管理者権限セットと Solidcore レビューアー権限セットは、[システム ツリー] ページ の [ユーザーの組織] グループへのアクセス権を付与しません。 ユーザーに [ユーザーの組織] グループに対するアクセス権がありません。以下のコンポーネントにアクセスするに は追加の権限が必要になります。 ダッシュ ボード [Solidcore: Application Control] ダッシュボードの [重要な監視] モニター ページ • [アプリケーション別] ページ [Solidcore: インベントリ] ダッシュボードの[レピュテーションに基づいたアプリケーション]、[不良 アプリケーション トップ 5]、[実行状態での不良なバイナリ トップ 5] モニター • [重要な監視 (廃止)] ページ • [サーバー設定] ページの [Solidcore] カテゴリ このカテゴリを表示して編集できるのは、McAfee ePO 管理者だけです。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 193 14 設定の微調整 Solidcore の権限セット アクショ ン [Application Control] 、 [インベントリ] の順に選択して設定できるアクション。 • [オフライン GTI ツール用にインベントリをエクスポート] • [GTI の評価をインポート] • [Application Control でレピュテーションを設定する] サーバー タスク すべての Solidcore サーバー タスク Solidcore 管理者権限セットの作成、編集、表示、実行、終了権限が割り当てられたユーザーは、 [Solidcore: 内容変更追跡レポートの生成] サーバー タスクを作成して実行できます。 他のすべての Solidcore サーバー タスクを作成して実行できるのは、McAfee ePO 管理者だけです。 Solidcore と McAfee ePO の権限セット McAfee ePO には、McAfee ePO 機能に対する権限を付与するデフォルトの権限セットが 4 つあります。 McAfee ePO 権限セットが提供する権限は次のとおりです。 McAfee ePO 権限セット Solidcore の機能に対する権限 エグゼクティブ レビュワー 権限なし グローバル レビュー担当者 Solidcore ポリシーに対する表示のみの権限 グループ管理者 権限なし グループのレビュー担当者 権限なし Solidcore 関連の McAfee ePO 機能への権限の割り当て グローバル管理者は、Change Control と Application Control で使用可能な権限セット (Solidcore 管理者または Solidcore レビューアー) を使用できます。また、必要に応じて権限セットを作成することもできます。 グローバル管理者は、ユーザー アカウントや権限セットの作成または編集時に権限セットを割り当てることができま す。 Solidcore 管理者または Solidcore レビューアー権限セットで作成されたユーザーが Solidcore 関連の McAfee ePO 機能を使用するには、追加の権限が必要になります。 割り当てが必要な権限は次のとおりです。 194 1 [システム ツリー]で必要な製品とグループへのアクセスを許可する 1 つ以上の権限セットを割り当てます。 [システム ツリー] ページの [ユーザーの組織] グループにアクセスを許可し、Solidcore 権限セットの制約を解 除するには、Solidcore 管理者または Solidcore レビューアー権限セットを編集します。 Solidcore 管理者権限 セットを複製し、必要に応じて編集します。 権限セットの使用方法については、 『McAfee ePolicy Orchestrator 製品ガイド』を参照してください。 権限セットを編集したら、編集後の権限セットをユーザーを割り当てます。 2 特定の Solidcore 機能に権限を割り当てるには、[メニュー] 、 [ユーザー管理] 、 [権限セット] の順に移動しま す。 Solidcore の機能 追加で割り当てる権限 Solidcore ダッシュ ボード Solidcore 権限セットを選択して、[ダッシュボード] の [編集] をクリックし、[公開ダ ッシュボードの編集; プライベート ダッシュボードの作成と編集; プライベート ダッシ ュボードの公開] を選択して [保存] をクリックします。 Solidcore クエリー Solidcore 権限セットを選択して、[クエリーとレポート] の [編集] をクリックし、[公 開グループの編集; プライベート クエリーとレポートの作成と編集; プライベート クエ リーとレポートの公開] を選択して [保存] をクリックします。 Solidcore クライア ント タスク Solidcore 権限セットを選択して、[McAfee Agent] の [編集] をクリックし、[設定を 表示して変更] を選択して [保存] をクリックします。 Solidcore ポリシー Solidcore 権限セットを選択して、[McAfee Agent] の [編集] をクリックし、[設定を 表示して変更] を選択して [保存] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 設定の微調整 エンドユーザ通知のカスタマイズ 14 エンドユーザ通知のカスタマイズ Application Control 保護機能がエンドポイント上のアクションを禁止する場合、エンドポイント上のイベントに関 するカスタマイズされた通知メッセージを表示するよう選択できます。 次のイベントの発生時にエンドポイントに表示される通知を設定できます。 • [実行拒否] • [Nx 違反検出] • [ファイルの書き込み拒否] • [ActiveX のインストール禁止] • [ファイル読み取り拒否] • [インストール拒否] • [プロセス ハイジャックの試行] • [VASR 違反の検出] タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO コンソールで、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [Application Control オプション (Windows)] カテゴリを選択します。 4 [My Default] ポリシーをクリックして、ポリシーの編集を開始します。 5 [エンドユーザ通知]タブにスイッチします。 6 [イベントが検出されたときにメッセージのダイアログ ボックスを表示し、メッセージに指定されたテキストを表 示します] を選択すると、前述のイベントが生成されるたびに、エンドポイントでメッセージ ボックスが表示さ れます。 7 ヘルプデスクの情報を入力します。 8 [宛先] エンドポイントからの承認要求の宛先となるメール アドレスが表示されます。 [メール件名] エンドポイントからの承認要求に対して送信されるメール メッセージの件名が表示 されます。 [Web サイトへのリン ク] エンドポイント上の [Application および Change Control のイベント] ウィンドウ に表示される Web サイトを示します。 [McAfee ePO IP アド レスとポート] McAfee ePO サーバーのアドレスとポートを指定します。 イベントの種類ごとに通知をカスタマイズします。 a 通知メッセージを入力します。 リストにある変数を使用してメッセージの文字列を作成できます。 b 9 [ダイアログにイベントを表示] を選択し、選択したすべてのイベントの種類 ([実行が拒否されました] など) がエンドポイント上の [Application および Change Control のイベント] ウィンドウに表示されているこ とを確認します。 ポリシーを保存し、関連エンドポイントに適用します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 195 14 設定の微調整 エンドユーザ通知のカスタマイズ 10 ユーザーはエンドポイントからイベントの通知を確認したり、特定のイベントに関して承認を求めたりすること ができます。 a エンドポイントの通知領域にある McAfee Agent アイコンを右クリックします。 b [クイック設定] 、 [Application および Change Control イベント]の順に選択します。 [Application および Change Control のイベント] ウィンドウが表示されます。 196 c イベントを確認します。 d イベントを選択して[承認をリクエスト] をクリックし、特定のアクションに関して承認を求めます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド A FAQ この項では、よくある質問に対する回答を記載しています。 代替データ ストリーム (ADS) とは何ですか? Change Control は、ADS に対する変更をモニタリ ングしますか? Microsoft NTFS ファイル システムでは、1 つのファイルは複数のデータ ストリームから構成されます。ストリー ムにはファイル コンテンツを保持するものや、セキュリティ情報を保持するものがあります。ファイルの代替データ ストリーム(ADS)を作成すると、情報や他のファイルを既存ファイルに関連付けることができます。実際に、代替 データ ストリームを使用すると、情報やファイルを既存ファイルに埋め込むことができます。ファイルに関連付けら れた ADS は、コンテンツや属性に影響を及ぼすことはなく、Windows エクスプローラーに表示されません。その ため、実際にはファイルに関連付けられた ADS は非表示になります。悪意のあるユーザが ADS の機能を悪用する と、悪質なファイルを他のファイルに関連付け、悪質なファイルを検出されないようにすることができます。 Change Control は、ファイルに関連付けられた ADS への変更を Windows プラットフォーム上でモニタリングし ます。 モニタリング対象ファイルに関して、ストリームの作成、変更、更新、削除など、ADS に関連する変更と属 性の変更がイベントとして報告されます。 Application Control も使用している場合、ADS の起動時にベース ファ イル名が取得され、ベース ファイルの権限が確認されます。 ベース ファイルの権限と Application Control の現在 のモードに応じて ADS の実行が許可または拒否されます。 また、ADS として既存ファイルに関連付けられている 任意の実行ファイルは実行できなくなります。 ADS モニタリングを無効にするには、エンドポイントで [SC: コマ ンドの実行] クライアント タスクを実行して、sadmin features disable mon-ads コマンドを実行します。 エンドポイントのユーザ アカウント アクティビティに関するイベントが受信されないのはなぜですか? ユーザー アカウント アクティビティーは、エンドポイントに対してデフォルトで追跡されません。 ユーザー アカウ ントに対する操作を追跡する場合、特に Change Control が配備され、有効になっているエンドポイントでこの機能 を有効にする必要があります。 この機能を無効にするには、エンドポイントで [SC: コマンドの実行] クライアント タスクを実行して、sadmin features enable mon‑uat コマンドを実行します。 さらに、Windows オペレーティング システムでユーザー アクティビティー イベントの生成を許可するように監査 ポリシーを設定する必要があります。 エンドポイントのユーザ アカウント アクティビティを正常に追跡するには、エンドポイントの監査ポリシーの設定 を確認してください。 1 [コントロール パネル] 、 [管理ツール]の順に移動します。 2 [ローカル セキュリティ ポリシー] をダブルクリックします。 3 [ローカル ポリシー] 、 [監査ポリシー]の順に選択します。 4 [監査アカウント ログオン イベント] ポリシーをダブルクリックします。 5 [成功] と [失敗] を選択し、[OK] をクリックします。 6 手順 4 と 5 を [監査アカウント管理] ポリシーと [監査ログオン イベント] ポリシーにも繰り返します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 197 A FAQ エンドポイントのローカル CLI アクセスを復旧させた場合の影響 トラブルシューティングまたはデバッグを実行するため、エンドポイントでローカル CLI アクセスの復旧が必要にな る場合があります。 エンドポイントでローカル CLI を復旧すると、McAfee ePO がエンドポイントにポリシーを施 行できなくなります。 つまり、エンドポイントで CLI を復旧すると、 McAfee ePO サーバーで作成された既存また は新規のポリシーがエンドポイントに適用されなくなります。 個新プログラム プロセス、インストーラー、ユーザーを設定するときに、ポリシーに指定するラベルの 重要性を教えてください。 指定したラベルは、信頼できるリソースによって実行されたアクションに関する生成イベントを関連付ける際に役立 ちます。例えば、信頼できるユーザによって実行されたアクションに関するイベントが生成されると、イベントの [ワークフロー ID] 属性には信頼できるユーザに指定されたラベルが含まれます。 ファイル、ディレクトリ、またはボリュームの固定化を解除するにはどうしたらよいですか? ファイル、ディレクトリ、またはボリュームの固定化を解除する場合、[SC:Run Commands] クライアント タスク を sadmin unso <resource name> コマンドを使用して実行します。 ベスト プラクティスとして、システム ドライブまたはボリュームの固定化を解除しないでください。 最近、エンドポイントのインベントリを取得しましたが、インベントリの項目に対する GTI の評価を確 認できません。 どうしたら良いですか? インベントリの取得後に GTI の評価を使用できない場合には、[サーバー タスク ログ] ページを開き、[McAfee GTI からバイナリの詳細を取得する] サーバー タスクと [McAfee GTI サーバーから証明書のレピュテーションを取得 する] サーバー タスクで生成されたログを確認してください。 [McAfee GTI からバイナリの詳細を取得する] サー バー タスクのログ エントリが [サーバー タスク ログ] ページに不規則に追加されます。 • 成功したタスクで前回の実行が成功していない場合、ログ エントリが追加されます。 • タスクが失敗した場合には、エラーの原因を表す新しいログ エントリが追加されます。 ただし、サーバーとの接 続が継続的に失敗している場合には、1 日分のイベントが 1 つのエントリで追加されます。 タイムスタンプはエ ラーの発生時間です。ログ メッセージのエラーの原因が示されます。 [サーバー タスク ログ] ページで、タスクの成功を表すエントリが少なく、このタスクのエラーを表すエントリが複 数存在している場合があります。 ネットワーク アドレス変換 (NAT) 環境で Change Control と Application Control は機能しま すか? McAfee ePO サーバーが McAfee Agent と通信可能な NAT 環境であれば、Change Control と Application Control は機能します。 組織内部用に開発されたアプリケーションに信頼性を付与するにはどうしたらよいですか? 自己生成証明書を使用してアプリケーションに署名した後、証明書に信用性を付与します。 1 198 次のいずれかのアクションを実行します。 • 既存の証明書がある場合は、証明書を検索します。 • makecert.exe (https://msdn.microsoft.com/en-us/library/bfsktky3%28VS.80%29.aspx を参照) などのツールを使用して、X.509 証明書を生成します。 2 PEM(Base-64 エンコード X.509 - .CER)形式で証明書をエクスポートします。 3 証明書をアップロードし、信用できる証明書として Application Control ポリシーに追加します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド FAQ A 4 エンドポイントにポリシーを適用します。 5 証明書を使用して署名し、すべての社内アプリケーションを検証します。 この作業は、SignTool.exe などの ツールで実行できます。 スクリプトを使用する場合には、スクリプトを自己解凍型のファイルに変換し、ファイルに署名します。 6 内部の証明書を信用できる証明書として定義します。 sadmin コマンドを記述することはできますか? はい、sadmin コマンドを記述できます。 CLI の復旧中にパスワードの入力が必要になります。 スクリプト内でこ れを実行するには、sadmin recover コマンドの末尾に -z <password> を追加します。 Solidcore 拡張ファイルをアップグレード後、Solidicore ルール グループで差異と不一致を解決する にはどうすればよいでしょうか?[ルール グループ] ページにアクセスすると、内部サーバ エラーが表示 されます。 McAfee ePO コンソールから [ルール グループ整合性検査] サーバー タスクを実行し、ルール グループ内の不一致 を修正します。 このサーバー タスクによって、Solidcore ルール グループとポリシーに存在する差異と不一致が報 告され、可能であれば修正されます。 1 [メニュー] 、 [自動処理] 、 [サーバ タスク] の順に選択します。 2 [新規タスク] をクリックします。 [サーバ タスク ビルダ] ウィザードが開きます。 3 タスク名を入力して、[次へ] をクリックします。 4 [アクション] ドロップダウン リストから [Solidcore: ルール グループ健全確認] を選択します。 5 [次へ] をクリックします。 6 タスクのスケジュールを指定します。 7 [次へ] をクリックします。 [サマリ] ページが表示されます。 8 タスク サマリを確認し、[保存] をクリックします。 9 サーバ タスクによって生成されたログを([サーバ タスク ログ] ページで)確認し、必要に応じて警告メッセー ジを表示します。 Change Control と Application Control で使用可能な事前定義ルールを管理する方法を教えてく ださい。 Solidcore 拡張ファイルをインストールまたはアップグレードするときに、Change Control と Application Control で使用可能な事前定義ルールを確認してください。 企業内のエンドポイントにインストールされているソ フトウェアは変更 (追加または削除) される場合があるため、定期的にルールを修正する必要があります。 環境内の エンドポイントにインストールされているソフトウェアに応じてルールを修正し、不要なルールや関係のないルール を削除してください。 エンドポイントで選択した機能を McAfee ePO コンソールで有効または無効にする方法を教えてくだ さい。 エンドポイントで選択した機能を Application Control コンソールから有効または無効にするには、McAfee ePO オ プション (Windows) ポリシーを使用します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 199 A FAQ 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ]の順に選択します。 2 製品に [Solidcore 7.0.0: Application Control] を選択します。 3 [Application Control オプション (Windows)] カテゴリを選択します。 4 [My Default] ポリシーをクリックします。 5 [機能] タブにスイッチします。 6 [ePO からの機能制御を施行する] を選択します。 次の機能の詳細を確認します。 • ActiveX - 『ActiveX コントロール』を参照 • メモリー保護 - 『メモリー保護技術』を参照 • パッケージ コントロール - 『パッケージ コントロール』を参照してください。 7 有効または無効にする機能を選択します。 8 ポリシーを保存し、関連エンドポイントに適用します。 環境に変更調整とチケットによる施行を実装したいのですが、どうしたら良いですか? 変更調整は、モニタリング対象のシステムから収集したイベントと、変更管理システム (CMS) のチケットを関連付 けます。 この関連付けで、更新期間に行われた更新かどうかによってイベントを承認または未承認に分類します。 この情報が変更チケットとコンプライアンス レポートで使用されます。 CMS と統合し、チケット ベースの施行を 使用すると、Application Control と Change Control で保護されたシステムで更新ウィンドウを自動的に開くこと ができます。 CMS で作成されたチケットに従って、保護対象システムで更新ウィンドウが開き、保護対象のファイ ルとレジストリ キーを変更できます。 チケット ベースの施行を実装すると、承認された変更だがシステムに実行さ れます。これにより、システムの停止時間が減少し、稼働時間が向上します。 変更調整とチケットベースの施行を設定して実装するには、次の手順を行います。 1 データベースの reconAutoReconcileEvents 設定を true に設定します。 手順については、McAfee サポートに 確認してください。 2 必要な権限を設定します。 3 200 • タスクのスケジュールを設定するシステムの [システム ツリー] にアクセスする権限が必要です。 • エージェント ウェークアップ コールの送信権限が必要です。 • 複数のシステムでタスクを実行するには、タグの作成権限と編集権限が必要です。 • McAfee Agent 5.0 以降を使用する場合には、McAfee ePO でタスク設定を表示/変更権限が必要です。 Application Control と Change Control が提供する Web サービス API の機能を確認して使用します。 Web サービス API 説明 begin-update (systemNames/ systemIds, workflowId, time, wakeupAgent) 更新ウィンドウを開き、チケット関連の変更を実行します。 このサービスでは、次のパ ラメーターが必要です。 systemNames/systemIds (必須) システム名、IP アドレス、システム ID から構成 されるカンマ区切りのリスト (McAfee ePO データベー スから取得します)。 システム ID とシステム名を指定す ると、指定されたシステム ID だけが評価されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド FAQ Web サービス API A 説明 workflowId (必須) チケッティング システムから取得した更新ウィン ドウのチケット ID。 指定したチケット ID が更新された レコードに関連付けられます。 time (必須) エンドポイントで更新ウィンドウを開く時間。 yyyy-mm-dd hh:mm:ss の形式で指定します。 wakeupAgent (任意) タスクのスケジュールを設定した後にエージェン トをウェークアップするかどうかのフラグ。 このパラメ ーターのデフォルト値は true です。 このサービスは、指定したエンドポイントで更新ウィンドウを開くクライアント タスク の ID を戻します。 end-update (systemNames/ systemIds, workflowId, time, wakeupAgent) チケット関連の変更を実行した後で更新ウィンドウを終了します。 このサービスでは、 次のパラメーターが必要です。 systemNames/systemIds (必須) システム名、IP アドレス、システム ID から構成 されるカンマ区切りのリスト (McAfee ePO データベー スから取得します)。 システム ID とシステム名を指定す ると、指定されたシステム ID だけが評価されます。 workflowId (必須) チケッティング システムから取得した更新ウィン ドウのチケット ID。 time (必須) エンドポイントで更新ウィンドウを閉じる時間。 yyyy-mm-dd hh:mm:ss の形式で指定します。 wakeupAgent (任意) タスクのスケジュールを設定した後にエージェン トをウェークアップするかどうかのフラグ。 このパラメ ーターのデフォルト値は true です。 このサービスは、指定したエンドポイントで更新ウィンドウを終了するクライアント タ スクの ID を戻します。 delete-task (taskIds) チケットの更新ウィンドウを開始または終了するために作成されたクライアント タス クを削除します。 このサービスで必要なパラメーターは 1 つだけです。 taskIds (必須) 指定したエンドポイントで更新ウィンドウを開始 または終了するクライアント タスクの ID。カンマ区切 りのリストで指定します。 この ID に関連するクライア ント タスクが削除されます。 このサービスは、指定した各クライアント タスク ID の値 (true または false) のリス トを戻します。 True は、指定した ID に関連するクライアント タスクが正常に削除さ れたことを表します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 201 A FAQ これらの Web サービス API は URL からアクセスできます。 以下では、Web サービス API の呼び出し例を示 します。 4 • begin-update — https://<epo-server>:<port>/remote/ scor.updatewindow.updateWindowCommand.do?:output=json&action=begin-update&systemN ames=<カンマ区切りの IP アドレスまたは名前 >&time=2013-12-19%2011:05:00&workflowId=ticket1&wakeupAgent=true • end-update — https://<epo-server>:<port>/remote/ scor.updatewindow.updateWindowCommand.do?:output=json&action=end-update&systemNam es=<カンマ区切りの IP アドレスまたは名前 >&time=2013-12-19%2012:05:00&workflowId=ticket1&wakeupAgent=true • delete-task — https://<epo-server>:<port>/remote/ scor.updatewindow.updateWindowCommand.do?:output=json&action=delete-task&taskIds= 123,234 Solidcore 拡張ファイルに付属の Java サンプル コネクターを確認してください。 SampleConnector.zip フ ァイルは、McAfee ダウンロード サイトからダウンロードできます。 このファイルを参考にして、環境内に Web サービス API を統合する方法を確認してください。 Application Control の配備後に、データ実行防止 (DEP)、アドレス空間配置のランダム化など Windows OS が提供するメモリー保護技術のステータスを確認する方法を教えてください。 1 つのエ ンドポイ ントで技 術のスタ ータスを 確認する 1 [システム] ページでエンドポイントをクリックし、選択したエンドポイントの詳細を表示します。 複数のエ ンドポイ ントで技 術のスタ ータスを 確認する 1 McAfee ePO コンソールで、[メニュー] 、 [レポート] 、 [クエリーとレポート] の順にクリックし ます。 2 [製品] タブをクリックします。 3 [Solidcore] 行をクリックして、製品の詳細を表示します。 4 [メモリー保護 (ASLR)] プロパティと [メモリー保護 (DEP)] プロパティの値を確認します。 2 McAfee ePO コンソールで、[McAfee グループ] の下にある Application Control グループを選択 します。 3 [新規作成] をクリックします。 4 [結果タイプ] で [Solidcore クライアント プロパティ] を選択し、[次へ] をクリックします。 5 [結果を表示する形式] リストで [テーブル] を選択し、[ソート条件] リストで [システム名] を選択 して [次へ] をクリックします。 6 [メモリー保護 (ASLR)] プロパティと [メモリー保護 (DEP)] プロパティを追加し、[次へ] をクリッ クします。 7 [実行] をクリックして、環境内のエンドポイントの詳細を確認します。 DEP と ASLR で可能な値は次のとおりです。 技術 可能な値 説明 DEP 有効 (常に有効) すべてのプロセスで DEP が有効になっています。 無効 (常に無効) すべてのプロセスで DEP が無効になっています。 無効 (オプトイン) DEP は、Windows システム コンポーネントとサービスでのみ有効になっています。 有効 (オプトアウト) すべてのプロセスで DEP が有効になっています。 DEP 技術からプロセスを削除す ることもできます。 202 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド FAQ 技術 可能な値 説明 未対応 このハードウェアは DEP 技術に対応していません。 ASLR 有効 すべてのプロセスで ASLR が有効になっています。 無効 すべてのプロセスで ASLR が無効になっています。 有効 (部分的) ASLR が有効ですが、VASR バイパス ルールが存在する可能性があります。 A 禁止ファイルの実行を許可しています。 何が原因ですか? 定義済みのルールを適用するときに、ファイルに定義されたルールが統合または集約されます。 このルールを適用す ると、以下の順番でファイルの実行を許可するかどうか判断されます。 リスト内の順番は、それぞれの方法が適用さ れる優先順位を表します。 1 更新プログラムまたは信用されたユーザーによる 実行 5 名前で禁止 2 SHA-1 による禁止 6 名前で許可 3 SHA-1 による許可 7 信用できるディレクトリから除外 4 証明書によって許可 8 ホワイトリストに追加 上記のいずれにも該当しない場合、ファイルの実行がブロックされます。 たとえば、SHA-1 でバイナリ ファイルを 禁止している場合、このファイルが更新プログラムまたは信用できるユーザーによって実行されると、実行が許可さ れます。 他のシナリオの場合、バイナリ ファイルはブロックされます。 同様に、プログラムが SHA-1 値に基づい て許可されていても、名前によっては禁止されている場合、このプログラムは実行を許可されます。 UNIX で変数を定義しました。 この変数を使用して、Application Control または Change Control でルールを定義できますか? McAfee ePO で管理を行っている場合、ユーザー定義の変数は使用できません。 McAfee ePO インターフェースの反応が遅く、応答しない場合があります。[重要な監視] ページのカ ウントが非常に高くなっています。 この問題の原因は何ですか。また、解決方法を教えてください。 Application Control では、関連のない不要な監視要求をエンドポイントから受信しないようにするため、事前定義 のルールが用意されています。 このルールは、製品に付属の [監視フィルター ルール (廃止)] ルール グループに含 まれています。 デフォルトでは、このルールは [システム ツリー] のグローバル ルートに適用されているので、す べての McAfee ePO 管理対象エンドポイントがルールを継承します。 このルール グループを削除すると、多くの監視結果を受信し、McAfee ePO インターフェースのパフォーマンスが 低下したり、応答不能になる可能性があります。 このルール グループが環境内のエンドポイントに適用されている かどうか確認してください。 有効モードで実行中の Ubuntu プラットフォームに新しいアプリケーションやシステム更新をインスト ールする方法を教えてください。 保護対象の Ubuntu システムにアプリケーションをインストールしたり、システム更新を実行するには、インストー ラー固有のルールを定義する必要があります。 このルールは事前に定義され、使用可能な状態になっています。 事 前定義ルールの詳細については、KB82745 を参照してください。また、新しいルールの定義方法については、 KB82744 を参照してください。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 203 A FAQ 保護対象の Ubuntu システムにデスクトップ アプリケーションをインストールしましたが、実行できま せん。 解決方法を教えてください。 保護対象のシステムでアプリケーションを実行するには、アプリケーション固有のルールを定義する必要があります。 次のいずれかの方法で問題を解決できます。 • アプリケーションで使用可能であれば、事前定義のルールを使用します。 事前定義ルールの使用方法については、 KB82745 を参照してください。 • アプリケーションに使用可能な事前定義ルールがない場合には、新しいルールを定義します。 アプリケーション 固有のルールを定義する方法については、KB82744 を参照してください。 最近、Ubuntu システムにシステム更新をインストールしましたが、Application Control や Change Control が機能しなくなりました。 解決方法を教えてください。 適用した更新でカーネルがアップグレードされる場合があります。 カーネルが変更されている場合には、 Application Control または Change Control が新しいカーネルに対応しているかどうか確認する必要があります。 詳細については、『McAfee Change Control および McAfee Application Control インストール ガイド』の FAQ で Change Control または Application Control がインストールされている Linux システムのカーネルをア ップグレードする方法を教えてください を参照してください。 有効モードの Ubuntu プラットフォームに新しいアプリケーションをインストールしました。 処理に 失敗したため、関連するルール定義したり、システムを更新モードに切り替えてアプリケーションのイン ストールに成功しました。 現在、このアプリケーションを使用することも、開くこともできません。 何 が原因ですか? この問題は、新規インストールでない場合に発生します。 最初のインストールが失敗したときに、システムに内に不 要なファイルが残っている可能性があります。 この問題を解決するには、更新モードでアプリケーションを削除して から、更新モードまたは有効モードで関連ルールを使用してアプリケーションを再インストールする必要があります。 インストールに成功したら、保護対象のエンドポイントでアプリケーションの実行を許可するルールを定義してくだ さい。 アプリケーション固有のルールを定義する方法については、KB82744 を参照してください。 エンドポイントのソリディフィケーションまたはホワイトリストのステータスを確認する方法を教えて ください。 エンドポイントのソリディフィケーションまたはホワイトリストのステータスを確認するには、次の手順に従ってく ださい。 1 McAfee ePO コンソールで、[メニュー]、[システム]、[システム ツリー] の順に選択します。 2 [システム ツリー] ペインでエンドポイントに関連するグループを選択します。 グループ内のエンドポイントが [システム] タブに表示されます。 3 [アクション]、[列を選択] の順にクリックします。 4 [Solidcore クライアント プロパティ] リストに移動し、[ソリディフィケーション ステータス] プロパティを選 択します。 5 [保存] をクリックして、[システム] タブに戻ります。 6 エンドポイントに対応する行に移動して、[ソリディフィケーション ステータス] 列の値を確認します。 [システム ツリー] の 1 つのノードに複数のポリシーを適用できますか? 1 つのグループまたは特定のエンドポイントにマルチスロット ポリシーを適用するには、次の手順に従ってくださ い。 204 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド FAQ 1 McAfee ePO コンソールで、[メニュー]、[システム]、[システム ツリー] の順に選択します。 2 次のいずれかのアクションを実行します。 A • グループ - [システム ツリー] 内のグループを選択して [割り当て済みのポリシー] タブに切り替えます。 • エンドポイント - [システム] ページでエンドポイントを選択し、[アクション] 、 [エージェント] 、 [単一 システムでのポリシーの変更] の順にクリックします。 3 複数のポリシーを割り当てるマルチスロット ポリシーの [割り当ての編集] をクリックします。 4 [新しいポリシー インスタンス] をクリックします。 5 [割り当て済みポリシー] フィールドから割り当てるポリシーを選択します。 6 [保存] をクリックします。 エンドポイントのソフトウェア インベントリを取得しようとしましたが、[SC: インベントリのプル] ク ライアント タスクが失敗し、インベントリが取得できないというメッセージを受信しました。 この問題 の原因は何ですか。インベントリを取得する方法を教えてください。 デフォルトでは、エンドポイントのインベントリを取得できるのは 7 日間に 1 回だけです。 この値は、インベント リの取得を連続して行う場合の最小間隔として設定されています。 ただし、この値は企業の必要に応じて変更できま す。 『インベントリ取得を設定する』を参照してください。 カスタム アクションとグローバル アクションの違いは何ですか? 選択したエンドポイントに、アプリケーションまたはバイナリ ファイルを許可/禁止するカスタム ルールや、証明書 が許可するカスタム ルールを定義するには、[カスタム ポリシーの作成] アクションを使用します。 このページで は、選択したエンドポイントでネットワーク パスを許可するカスタム ルールも定義できます。 ただし、組織全体 (企業内のすべてのエンドポイント) でアプリケーションまたはバイナリ ファイルを許可/禁止したり、証明書による 許可やネットワーク パスを全体で許可する場合には、グローバル アクションを実行します。 [正常性モニタリング] ダッシュボードで [過去 7 日間でスロットルが開始したシステム数] モニターを 使用しています。 [スロットルを開始したイベント リスト] のリンクをクリックしてもデータが表示さ れません。なぜですか? [システムでスロットルを開始したイベントを表示する] リンクを選択すると、[イベント] ページが非空き、[データ スロットル] イベントまたは [データ ドロップ] イベントで生成されたイベントの一覧が表示されます。 このリス トには、[データ スロットル] イベントまたは [データ ドロップ] イベントを受信する前の 7 日間に発生したイベン トが表示されます。 [イベント] ページにデータが表示されない原因としては、次の 2 つが考えられます。 • 同じシステムで [データ スロットル] イベントと [データ ドロップ] イベントを連続して受信した場合。 • McAfee ePO コンソールでイベントを受信中の場合。 スロットルを開始したエンドポイントが古いデータの解 析中で、新しいイベントを McAfee ePO サーバーに送信している可能性があります。 また、ポリシー検出要求 (監視) とインベントリ更新でも同じ状況が発生する場合があります。 管理対象エンドポイントの設定パラメーターの値を変更したいのですが、 McAfee ePO コンソールで この操作を行うポリシーまたはメソッドが見つかりません。 McAfee ePO コンソールでメソッドが使 用できないタスクを実行する方法を教えてください。 McAfee ePO コンソールで、[SC: コマンドの実行] クライアント タスクを実行し、1 つ以上のエンドポイントにリ モートから CLI コマンドを実行します。 このコマンドでは、McAfee ePO で完了できないタスクも実行できます。 たとえば、製品を有効または無効にしたり、設定パラメーターの値を変更できます。ソフトウェア インベントリの取 得もできます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 205 A FAQ 1 McAfee ePO コンソールで、[メニュー]、[システム]、[システム ツリー] の順に選択します。 2 次のいずれかのアクションを実行します。 • クライアント タスクをグループに適用するには、[システム ツリー] 内のグループを選択して [割り当て済み のクライアント タスク] タブにスイッチします。 • クライアント タスクをエンドポイントに適用するには、[システム] ページでエンドポイントを選択し、[アク ション] 、 [エージェント] 、 [単一システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: コマンドの実行] を選択します。[タスクの新規作 成] をクリックして、[クライアント タスク カタログ] ページを開きます。 5 タスク名を指定し、任意の情報を追加します。 6 エンドポイント上で実行するコマンドを指定します。 たとえば、設定パラメーターの値を変更するには、sadmin config set <ParameterName>=<ParameterValue> コマンドを指定します。 7 (任意) コマンドの結果を受信するオプションを指定するには、[応答が必要] チェックボックスをクリックしま す。 コマンドの出力を確認するには、[メニュー] 、 [自動処理] 、 [Solidcore クライアント タスク ログ] の順に選 択します。 8 [保存] をクリックします。 管理対象エンドポイントでローカル CLI をロックまたは復旧する方法を教えてください。 デフォルトでは、McAfee ePO 管理対象エンドポイントでローカル CLI はロックされています。 必要であれば、1 つ以上のエンドポイントで CLI を復旧することもできます。 CLI を復旧すると、McAfee ePO サーバーからプッシュされた設定、ポリシー、タスクの変更内容はエンドポイント に施行されません。 エンドポイントに変更を施行するには、CLI のステータスが [制限] に設定されている必要があり ます。 206 1 McAfee ePO コンソールで、[メニュー]、[システム]、[システム ツリー] の順に選択します。 2 次のいずれかのアクションを実行します。 • クライアント タスクをグループに適用するには、[システム ツリー] 内のグループを選択して [割り当て済み のクライアント タスク] タブにスイッチします。 • クライアント タスクをエンドポイントに適用するには、[システム] ページでエンドポイントを選択し、[アク ション] 、 [エージェント] 、 [単一システムでのタスクの変更] の順にクリックします。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックして、[クライアント タスク割り当て ビルダー] ページを開きます。 4 製品に [Solidcore 7.0.0] を選択し、タスクの種類に [SC: ローカル CLI アクセスの変更] を選択します。[タス クの新規作成] をクリックして、[クライアント タスク カタログ] ページを開きます。 5 CLI のステータスを [制限] または [許可] に変更します。 6 [保存] をクリックします。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド FAQ A エンドポイントの特定のファイルのレピュテーションを表示したいのですが、方法を教えてください。 エンドポイントの特定のファイルのレピュテーションを表示するには、ソース (TIE サーバー、McAfee GTI または Advanced Threat Defense) からファイル レピュテーションを取得します。 ただし、エンドポイントに適用されて いる [Application Control (オプション)] ポリシーでレピュテーションの設定が有効になっている必要があります。 レピュテーションの設定を有効にする方法については、『レピュテーションの設定を行う』を参照してください。 [SC: コマンドの実行] クライアント タスクを使用して、エンドポイントで次のコマンドを実行します。 sadmin getreputation [ -v | -b ] -f <filename> -m <md5> -h <sha-1> -s <reputation-source> レピュテーションを取得するファイルの MD5 と SHA-1 を指定する必要があります。 ファイル名と一緒に MD5 と SHA-1 を指定すると、ファイル名がレピュテーションの取得対象として認識されます。 使用可能な引数は次のとおりです。 引数 説明 -v すべてのソースと保存されているファイル レピュテーションを表示する場合に指定します。 -b 内部キャッシュを参照せずに、指定されたソースからレピュテーションを取得する場合に指定します。 -f レピュテーションを取得するファイルの名前を指定します。 -m レピュテーションを取得するファイルの MD5 値を指定します。 -h レピュテーションを取得するファイルの SHA-1 値を指定します。 -s ファイル レピュテーションの取得元を指定します。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 207 A FAQ 208 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド B Change Control と Application Control の イベント 以下の表では、Change Control と Application Control のすべてのイベントを示します。 名前の末尾に (_UPDATE) が付いているイベントは、更新モードで生成されています。 [イベント タイプ] 列に、適用可能なタイプを表す次の略号が表示されます。 • SC - Solidcore クライアント関連イベント • CC - Change Control イベント • CC - Application Control イベント イベ ント ID (エン ドポ イン ト) 脅威イベン イベント名 ト ID (McAfee ePO) イベント表文字列 Solidcore クライアント の重大度 McAfee ePO の重 大度 1 20700 BOOTING_DISABLED [無効モードで起 動] 警告 警告 SC 2 20701 BOOTING_ENABLED [有効モードで起 動] 情報 情報 SC 3 20702 BOOTING_UPDATE [更新モードで起 動] 情報 情報 _MODE イベ ント タイ プ SC 4 20703 ENABLED_DEFERRED [再起動時に有効 化] 情報 情報 SC 5 20704 DISABLED_DEFERRED [再起動時に無効 化] 警告 警告 SC 6 20705 BEGIN_UPDATE [更新モードの開 始] 情報 情報 SC 7 20706 END_UPDATE [更新モードの終 了] 情報 情報 SC 8 20707 COMMAND_EXECUTED [コマンドの実行] 情報 情報 SC 15 20714 REG_KEY_CREATED [レジストリの作 成] 情報 情報 CC 16 20715 REG_KEY_DELETED [レジストリの削 除] 情報 情報 CC 18 20717 REG_VALUE_DELETED [レジストリの削 除] 情報 情報 CC McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 209 B Change Control と Application Control のイベント イベ ント ID (エン ドポ イン ト) 脅威イベン イベント名 ト ID (McAfee ePO) イベント表文字列 Solidcore クライアント の重大度 McAfee ePO の重 大度 19 20718 PROCESS_TERMINATED [プロセスの終了] メジャー エラー AC 20 20719 WRITE_DENIED [ファイルの書き 込み拒否] メジャー エラー CC 21 20720 EXECUTION_DENIED [実行拒否] メジャー エラー AC 29 20728 PROCESS_TERMINATED [プロセスの終了] メジャー エラー [プロセスの終了] メジャー エラー [モジュール読み 込み失敗] メジャー エラー _UNAUTH_SYSCALL 30 20729 PROCESS_TERMINATED _UNAUTH_API 31 20730 MODULE_LOADING _FAILED AC AC SC 41 20740 FILE_ATTR_SET [ファイル属性の 設定] 情報 情報 CC 42 20741 FILE_ATTR_CLEAR [ファイル属性の 消去] 情報 情報 CC 43 20742 FILE_ATTR [ファイル属性の 設定] 情報 情報 [ファイル属性の 消去] 情報 情報 [レジストリ書き 込み拒否] メジャー エラー [レジストリ書き 込み拒否] メジャー エラー [レジストリの作 成] 情報 情報 [レジストリの削 除] 情報 情報 [レジストリの削 除] 情報 情報 _SET_UPDATE 44 20743 FILE_ATTR _CLEAR_UPDATE 49 20748 REG_VALUE _WRITE_DENIED 50 20749 REG_KEY _WRITE_DENIED 51 20750 REG_KEY _CREATED_UPDATE 52 20751 REG_KEY _DELETED_UPDATE 54 20753 REG_VALUE _DELETED_UPDATE 56 20755 OWNER_MODIFIED [ファイル所有権 の変更] 情報 情報 57 20756 OWNER_MODIFIED [ファイル所有権 の変更] 情報 情報 _UPDATE 210 イベ ント タイ プ CC CC CC CC CC CC CC CC CC 61 20760 PROCESS_HIJACKED [プロセス ハイジ ャックの試行] メジャー エラー AC 62 20761 INVENTORY_CORRUPT [インベントリの 破損] 重大 重大 AC McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Change Control と Application Control のイベント イベ ント ID (エン ドポ イン ト) 脅威イベン イベント名 ト ID (McAfee ePO) イベント表文字列 Solidcore クライアント の重大度 McAfee ePO の重 大度 63 20762 [無効モードで起 動] 警告 警告 [無効モードで起 動] 重大 重大 BOOTING_DISABLED _SAFEMODE 64 20763 BOOTING_DISABLED _INTERNAL_ERROR B イベ ント タイ プ SC SC 70 20769 FILE_CREATED [ファイルの作成] 情報 情報 CC 71 20770 FILE_DELETED [ファイルの削除] 情報 情報 CC 72 20771 FILE_MODIFIED [ファイルの変更] 情報 情報 CC 73 20772 FILE_ATTR_MODIFIED [ファイル属性の 変更] 情報 情報 CC 74 20773 FILE_RENAMED [ファイル名の変 更] 情報 情報 CC 75 20774 FILE_CREATED [ファイルの作成] 情報 情報 [ファイルの削除] 情報 情報 [ファイルの変更] 情報 情報 [ファイル属性の 変更] 情報 情報 [ファイル名の変 更] 情報 情報 _UPDATE 76 20775 FILE_DELETED _UPDATE 77 20776 FILE_MODIFIED _UPDATE 78 20777 FILE_ATTR _MODIFIED_UPDATE 79 20778 FILE_RENAMED _UPDATE CC CC CC CC CC 80 20779 FILE_SOLIDIFIED [ファイルの固定 化] 情報 情報 AC 82 20781 FILE_UNSOLIDIFIED [ファイルの固定 化解除] 情報 情報 AC 84 20783 ACL_MODIFIED [ファイル ACL の 変更] 情報 情報 CC 85 20784 ACL_MODIFIED_UPDATE [ファイル ACL の 変更] 情報 情報 CC 86 20785 PROCESS_STARTED [プロセスの開始] 情報 情報 CC 87 20786 PROCESS_EXITED [プロセスの終了] 情報 情報 CC 88 20787 TRIAL_EXPIRED [トライアル ライ センスの期限切 れ] メジャー エラー 89 20788 READ_DENIED [ファイル読み取 り拒否] メジャー エラー McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド SC CC 211 B Change Control と Application Control のイベント イベ ント ID (エン ドポ イン ト) 脅威イベン イベント名 ト ID (McAfee ePO) イベント表文字列 Solidcore クライアント の重大度 McAfee ePO の重 大度 90 20789 [ユーザー ログオ ン] 情報 情報 USER_LOGON _SUCCESS CC 91 20790 USER_LOGON_FAIL [ユーザー ログオ ン失敗] 情報 情報 CC 92 20791 USER_LOGOFF [ユーザー ログオ フ] 情報 情報 CC 93 20792 USER_ACCOUNT [ユーザー アカウ ントの作成] 情報 情報 [ユーザー アカウ ントの削除] 情報 情報 [ユーザー アカウ ントの変更] 情報 情報 [インストール拒 否] 重大 重大 [インストール許 可] 情報 情報 [インストール拒 否] 重大 重大 [Nx 違反の検出] 重大 重大 [レジストリの変 更] 情報 情報 [レジストリの変 更] 情報 情報 [再起動時の更新 モードの開始] 情報 情報 _CREATED 94 20793 USER_ACCOUNT _DELETED 95 20794 USER_ACCOUNT _MODIFIED 96 20795 PKG_MODIFICATION _PREVENTED 97 20796 PKG_MODIFICATION _ALLOWED_UPDATE 98 20797 PKG_MODIFICATION _PREVENTED_2 99 20798 NX_VIOLATION _DETECTED 100 20799 REG_VALUE _MODIFIED 101 20800 REG_VALUE _MODIFIED_UPDATE 102 20801 UPDATE_MODE _DEFERRED 212 イベ ント タイ プ CC CC CC AC AC AC AC CC CC SC 103 20802 FILE_READ_UPDATE [更新モードでの ファイル読み取 り] 情報 情報 106 20805 STREAM_CREATED [代替データ スト リームの作成] 情報 情報 CC 107 20806 STREAM_DELETED [代替データ スト リームの削除] 情報 情報 CC 108 20807 STREAM_MODIFIED [代替データ スト リームの変更] 情報 情報 CC McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド CC Change Control と Application Control のイベント イベ ント ID (エン ドポ イン ト) 脅威イベン イベント名 ト ID (McAfee ePO) イベント表文字列 Solidcore クライアント の重大度 McAfee ePO の重 大度 109 20808 [データ ストリー ムの属性変更] 情報 情報 [代替データ スト リームの作成] 情報 情報 [代替データ スト リームの削除] 情報 情報 [代替データ スト リームの変更] 情報 情報 [データ ストリー ムの属性変更] 情報 情報 STREAM_ATTR _MODIFIED 110 20809 STREAM_CREATED _UPDATE 111 20810 STREAM_DELETED _UPDATE 112 20811 STREAM_MODIFIED _UPDATE 113 20812 STREAM_ATTR _MODIFIED_UPDATE B イベ ント タイ プ CC CC CC CC CC 114 20813 STREAM_ATTR_SET [データ ストリー ムの属性追加] 情報 情報 CC 115 20814 STREAM_ATTR_CLEAR [データ ストリー ムの属性クリア] 情報 情報 CC 116 20815 STREAM_ATTR [データ ストリー ムの属性追加] 情報 情報 [データ ストリー ムの属性クリア] 情報 情報 _SET_UPDATE 117 20816 STREAM_ATTR _CLEAR_UPDATE 118 20817 STREAM_RENAMED [代替データ スト リーム名の変更] 情報 情報 119 20818 STREAM_RENAMED [代替データ スト リーム名の変更] 情報 情報 _UPDATE 120 20819 BEGIN_OBSERVE [監視モードの開 始] 情報 情報 121 20820 BEGIN_OBSERVE [再起動時の監視 モードの開始] 情報 情報 _DEFERRED 122 20821 END_OBSERVE [監視モードの終 了] 情報 情報 123 20822 END_OBSERVE [再起動時の監視 モードの終了] 情報 情報 [初期スキャンの 完了] 情報 情報 _DEFERRED 124 20823 INITIAL_SCAN _TASK_COMPLETED CC CC CC CC AC AC AC AC AC 125 20824 BOOTING_OBSERVE [監視モードで起 動] 情報 情報 AC 126 20825 ACTX_ALLOW_INSTALL [ActiveX のイン ストール許可] 情報 情報 AC McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 213 B Change Control と Application Control のイベント イベ ント ID (エン ドポ イン ト) 脅威イベン イベント名 ト ID (McAfee ePO) イベント表文字列 Solidcore クライアント の重大度 McAfee ePO の重 大度 127 20826 [ActiveX のイン ストール禁止] メジャー エラー [VASR 違反の検 出] 重大 重大 メジャー 警告 ACTX_INSTALL _PREVENTED 129 20828 VASR_VIOLATION _DETECTED 131 20830 THROTTLING_STARTED [データ スロット ル] 132 20831 THROTTLING_CACHE [データ ドロップ] メジャー エラー 完全 なし (サー バー 側の イベ ント) 20950 なし (サー バー 側の イベ ント) 20951 なし (サー バー 側の イベ ント) 20952 なし (サー バー 側の イベ ント) 20953 なし (サー バー 側の イベ ント) 20954 なし (サー バー 側の イベ ント) 20955 * ‡ 214 THREAT_DETECTED * [不正なファイル の検出] - [不正なファイル が信頼されまし た] - [監視しきい値超 過] - [監視しきい値超 過] - DATA_CONGESTION_DETECTED [データ輻輳の検 出] - CLOGGED_DATA_DELETED - ASSUMED_THREAT _NOT_PRESENT § OBSERVATION_THRESHOLD _EXCEEDED レピュテー ションに基 づく。 ‡ レピュテー ションに基 づく。** _THRESHOLD_EXCEEDED AC SC SC CC、 AC CC、 AC CC、 AC 警告 CC、 AC §§ [通信を妨げてい るデータの削除] AC 警告 ‡‡ OBSERVATION_REQUEST イベ ント タイ プ 警告 CC、 AC 警告 CC、 AC このイベントは、[脅威イベント ログ] ページにのみ表示されます。 このイベントの McAfee ePO での重大度はレピュテーション値に基づきます。 レピュテーション値が「不正なことが確認されている」、 「不 正な可能性が非常に高い」、「不正な可能性がある」の場合、重大度はそれぞれ「アラート」、「重大」、「エラー」になります。 レピュテーシ ョン値が「不明」の場合、重大度は「警告」になります。 また、レピュテーション値が「信頼できることが確認されている」、「信頼できる 可能性が非常に高い」、「信頼できる可能性がある」の場合、重大度はそれぞれ「警告」、「通知」、「情報」になります。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド Change Control と Application Control のイベント § ** ‡‡ §§ B このイベントは、[脅威イベント ログ] ページにのみ表示されます。 このイベントの McAfee ePO での重大度はレピュテーション値に基づきます。 レピュテーション値が「不正なことが確認されている」、 「不 正な可能性が非常に高い」、「不正な可能性がある」の場合、重大度はそれぞれ「アラート」、「重大」、「エラー」になります。 レピュテーシ ョン値が「不明」の場合、重大度は「警告」になります。 また、レピュテーション値が「信頼できることが確認されている」 、「信頼できる 可能性が非常に高い」、「信頼できる可能性がある」の場合、重大度はそれぞれ「警告」、「通知」、「情報」になります。 このイベントは、[脅威イベント ログ] ページにのみ表示されます。 このイベントは、[脅威イベント ログ] ページにのみ表示されます。 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 215 B Change Control と Application Control のイベント 216 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 索引 A ePolicy Orchestrator (続き) ActiveX コントロール 139 インストール 13 Application Control 確認、GTI 評価のインポート 147 値の変更、設定パラメーター 197 監視結果のスロットル 123 概要と使用 13 管理、イベント 53 クエリー、Application Control 173 概要と使用方法 13 クエリー、Change Control 56 監視モードでの配備 109 クエリーの表示、Application Control 175 検査、ファイルの実行 93, 94 事前定義のルール 129 クエリーの表示、Change Control 58 信用レベル 67 証明書の追加 87 ダッシュボード、Application Control 173 調整、設定 191 デフォルト ポリシー 97 ダッシュボード、Change Control 55 ドライラン 60 レピュテーション ベースのワークフロー 64 配備、監視モード 107, 108 ホワイトリスト 93 I 無効 187 Integrity Monitor モード 60 ダッシュボード 55 有効 127, 181 モニタリング ルール 34, 35 有効化オプション 109 ルール グループの管理 22 リモートからのコマンドの実行 197 ルール グループの作成 23 レピュテーションの変更通知 64 ルール グループの割り当ての表示 27 C M Change Control 値の変更、設定パラメーター 197 イベントの除外 55 概要と使用方法 16 クエリー 56 McAfee Advanced Threat Defence レピュテーション ソース 63, 72 レピュテーション値 67 McAfee Data Exchange Layer (DXL) 72 McAfee Global Threat Intelligence (McAfee GTI) ダッシュボード 55 GTI 結果ファイルのインポート 147 調整、設定 191 確認、GTI 評価のインポート 147 追跡、コンテンツの変更 38 クラウドとフィードバック サーバーのアドレス 197 モード 19 実行、オフライン GTI ツール 146 有効 27 取得、評価 145 リモートからのコマンドの実行 197 ファイル レピュテーション サービス 146 フィードバックの送信 188 E プロキシ サーバー 197 ePolicy Orchestrator 分類 67 GTI 結果ファイルのインポート 147 GTI の評価の取得、隔離された環境 145 アクセス、複数のサーバー 191 レピュテーション ソース 63, 72 レピュテーション値 67 McAfee ServicePortal、アクセス 10 インストーラーの追加 90 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 217 索引 McAfee Threat Intelligence Exchange (TIE) インストーラー (続き) サーバー 63 追加 90 レピュテーション ソース 63, 72 割り当て 102 レピュテーション値 67 レピュテーションの変更通知 64 McAfee Threat Intelligence Services (MITS) 74 割り当ての表示 91 インベントリ GTI 結果ファイルのインポート 147 McAfee サポート エクスポート、SHA-1 145 GTI 評価の設定 147 ガイドライン、取得 142 情報の収集、設定とデバッグ 186 確認 148 管理 141, 148 N 更新の設定 142 No eXecute (NX) 更新方法 141 削除 189 説明 74 取得 143, 144 定義、バイパス ルール 135 取得、GTI の評価 145, 146 詳細除外フィルターの指定 155 R スロットルの更新 181–185 Return-Oriented Programming (ROP) 74 設定 143 S 設定、ベース イメージ 156 ServicePortal、製品マニュアルの検索 10 SHA-1 比較 156, 157 承認、プログラムまたはファイル 93 skiplist ファイル カテゴリ 153 データの輻輳レベル 178 バイパス、書き込み保護ルール 135 バイパス、ファイル操作 135 ビューの最適化 151 え バイパス、ボリューム 135 エージェント/サーバー間通信間隔 (ASCI) 107 バイパス、ホワイトリスト 135 エンドユーザー通知 195 Syslog サーバー 191 お オフライン GTI ツール 146 あ アドレス空間配置のランダム化 74 アラート、削除 189 か 書き込み保護機能 い 上書き 47 イベント 概要 16 確認と管理 53, 130 詳細 130 ルール 45, 47 仮想アドレス空間ランダム化 (VASR) 説明 74 除外 55, 135 定義、バイパス ルール 135 スロットル 181–185 データの削除 189 表示、コンテンツの変更 54 ユーザー アカウント アクティビティ 197 生成の再開 125 監視結果 しきい値の定義 124 リスト 209 スロットル 123, 124 イメージ比較 削除 189 説明 107 比較結果の確認 157 データの輻輳レベル 178 方法 156 インストーラー 218 監視 ルールの確認、スロットル 124 監視モード 管理 89 概要 60 検索 90 監視結果のスロットル 123 実行 91 切り替え 107–109 説明 98 終了 125 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 索引 監視モード (続き) 更新モード 概要、Application Control 60 説明 107 概要、Change Control 19 監視要求 切り替え 180 管理 112 緊急時の変更 180 管理プラットフォーム、対応バージョン 10 このガイドで使用している表記規則とアイコン 9 き このガイドについて 9 機能、有効または無効 197 このガイドの内容 10 強制 DLL 再配置 コマンドライン インターフェース (CLI) 説明 74 パスワード 185, 197 定義、バイパス ルール 135 復旧 197 リモートからのコマンドの実行 197 緊急時の変更 60, 180 ロックダウン 197 く コンテンツの変更 イベント 54 クエリー Application Control 173 Change Control 56 設定 38 追跡 38 ファイルの比較 41 表示、Application Control 175 表示、Change Control 58 クライアント タスク ログ、削除 189 し クリティカル アドレス空間保護 (CASP) 自己承認機能 定義、バイパス ルール 135 グレーリスト 153 設定 109, 162 説明 159 有効 159, 160 け システム変数 32, 46 重要なアドレス空間保護 (CASP) 権限 Solidcore 管理者 192 Solidcore レビューアー 192 インストーラー 80, 83 管理 22, 83 管理、企業全体の要求 111, 163 説明 74 詳細除外フィルター (AEF) 概要 29 追加 155 詳細設定タスク 許可、グローバル管理者以外 111, 163 エンドユーザー通知 195 更新プログラム 21, 22, 80, 83 権限セット 192 証明書 80, 83 信用できるディレクトリ 80, 83 設定、Syslog サーバー 191 証明書 信用できるユーザー 21, 22, 80, 83 エクスポート、パブリック キーの SHA-1 145 バイナリ 80, 83 管理 87 フィルター 21, 22, 80, 83 計算、レピュテーション 67 ポリシー検出 111, 162, 163 検索 89 ルール グループ 21, 80 サポート 87 ルール グループ タブ 80, 83 承認、プログラムまたはファイル 93, 116, 166 ルール グループのタブ 21, 22 使用、レピュテーション 74 例外 80, 83 信用 87 権限セット 192 設定、組織のレピュテーション 147 限定的機能の有効化 109, 127 説明 98 対象 197 こ 追加 87, 197 更新プログラム ポリシーまたはルール グループの割り当て 102 上書き、読み取り保護と書き込み保護 47 レピュテーション 63–65, 67, 72 説明 77, 98 レピュテーション値 67 追加 100 割り当ての表示 89 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 219 索引 処理、コンテキスト ファイル操作 定義、バイパス ルール 135 ち チェックサム 信用できるディレクトリ プログラムまたはファイルの禁止 117, 167 説明 98 プログラムまたはファイルの承認 115, 165 追加 103 信用できるユーザー 上書き、読み取り保護と書き込み保護 47 て ディレクトリ 説明 98, 104 書き込み保護 45, 47 追加 104 固定化の解除 197 信用モデル インストーラー 98 追加、信用 103 インストーラーの追加 90 追跡、コンテンツの変更 38 監視モード 98, 107, 108 追跡、内容変更 37 検査、ファイルの実行 93, 94 内容変更の追跡 39 更新プログラム 98 パス、考慮事項 33 更新モード 98 ホワイトリストから削除 197 モニター 32–36 承認、証明書による 116, 166 読み取り保護 45, 47 証明書 98 証明書の追加 87, 197 データ 信用できるディレクトリ 98 削除、アラート 189 信用できるユーザー 98 削除、イベント 189 設計方法 93 削除、イメージ比較 189 チェックサムで禁止 117, 167 削除、インベントリ 189 チェックサムで承認 115, 165 削除、クライアント タスク ログ 189 追加、ホワイトリスト 119, 169 削除、内容変更追跡データ 189 ルールの定義 118, 168 削除、ポリシー検出 189 輻輳状態 177–179 輻輳レベルの確認 178 す データ実行防止 (DEP) 74 推奨事項 テクニカル サポート、製品情報の検索 10 許可されたバイナリと更新プログラムの設定 98 クエリーの複製、内容変更追跡レポートの生成 43 自己承認機能、全機能の有効化 159 変換、スクリプトから自己解凍型の実行ファイル 197 と ドキュメント このガイドの対象読者 9 保持、デフォルト ポリシー 129 表記規則とアイコン 9 ホワイトリストのドライブとボリューム 197 な せ 制限付き証明書名 109, 162 内容変更 管理、ファイルのバージョン 40 全機能の有効化 109, 127 削除 189 前提条件 13 生成、レポート 43 設定 38 た 追跡 37, 39 対応管理プラットフォームのバージョン 10 モニタリング、ファイルの変更 42 代替データ ストリーム (ADS) 197 ダッシュボード Application Control 173 Change Control 55 企業の正常性 177, 178 ね ネットワーク アドレス変換 (NAT) 環境 197 は 廃止 [管理要求] ページ 112 [自己承認] ページ 112 220 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 索引 ファイル (続き) バイナリ インベントリ、確認 148 ネットワーク、許可 116 エクスポート、SHA-1 145 バイパス ルール 120, 135 許可、証明書による 116, 166 パス、考慮事項 33 許可または禁止 101 パスに関する考慮事項 47 計算、レピュテーション 67 ホワイトリアウトから削除 197 検査、実行 93, 94 モニター 29, 32–36 取得、GTI の評価 145 読み取り保護 45, 47 使用、レピュテーション 74 レピュテーション 63–65, 67, 72 設定、組織のレピュテーション 147 チェックサムで許可 115, 165 レピュテーション値 67 フィルター チェックサムで禁止 117, 167 インベントリの更新 155, 185 追加、ホワイトリスト 119, 169 概要 16 バイパス ルール 120 監視とイベント 185 レピュテーション 64, 65, 67, 72 シードの使用 148 レピュテーション値 67 指定、監視とイベント 122 パス プログラム システム変数と考慮事項 32, 33, 46 更新プログラム 98 追加、ホワイトリスト 119, 169 承認 93 パッケージ コントロール 許可、アンインストール 91 設定 91 バイパス 91 へ 変更ウィンドウ 60, 180 汎用ランチャー プロセス 109, 162 ほ ふ ポリシー インストーラーの割り当て 102 ファイル イベントの表示と管理、Change Control 53 インベントリ、確認 148 エクスポート、SHA-1 145 書き込み保護 45, 47 管理、内容変更 37, 40 許可または禁止、バイナリ ファイル 101 計算、レピュテーション 67 検査、実行 93, 94 固定化の解除 197 コンテンツの変更の表示、イベント 54 自己承認 159, 160 取得、GTI の評価 145 承認、証明書による 116, 166 承認済みとホワイトリスト 93 承認方法 93 使用、レピュテーション 74 設定、組織のレピュテーション 147 設定、内容変更追跡 38 代替データ ストリーム (ADS) 197 チェックサムで禁止 117, 167 チェックサムで承認 115, 165 追加、ホワイトリスト 119, 169 追跡、コンテンツの変更 38 追跡、変更内容追跡レポート 43 内容変更の管理 38, 39 McAfee Change Control および McAfee Application Control 7.0.0 インストーラーの割り当ての表示 91 作成 132, 134 指定されたラベル 197 証明書の割り当て 102 証明書の割り当ての表示 89 除外ルール 114 スロットル 124 デフォルト、Application Control 97 変更、CLI パスワード 185 保護 50 保護を上書きするルールの定義 132 モニタリング 36 ルール グループの定義 19, 20, 76 ボリューム 書き込み保護 45 固定化の解除 197 ホワイトリストから削除 197 読み取り保護 45 ホワイトリスト GTI 結果ファイルのインポート 147 エクスポート、SHA-1 145 ガイドライン、取得 142 概要 93 確認 148 管理 141, 148 取得 144 製品ガイド 221 索引 ホワイトリスト (続き) 取得、GTI の評価 145, 146 ゆ 有効モード 設定、ベース イメージ 156 概要、Application Control 60 追加 119, 169 概要、Change Control 19 比較 156 切り替え、Application Control 127, 181 ファイル カテゴリ 153 切り替え、Change Control 27 ユーザー ま アカウント アクティビティ 197 マニュアル エンドユーザー通知 195 権限セット 192 製品固有、検索 10 承認要求 159 モニター 29 む 要求の確認 163 無効モード 要求の承認 160 概要、Application Control 60 概要、Change Control 19 切り替え 187 よ 要求 確認 112 め カスタム ルールの定義 118, 168 メモリー保護技術 管理 112 mp-casp (重要なアドレス空間保護) 74 mp-nx (No eXecute) 74 管理、企業全体 111, 163 管理、集約 125 mp-vasr-randomization (VASR ランダム化) 74 許可、グローバル管理者以外 111, 163 mp-vasr-rebase (VASR リベース) 74 権限 111, 162 mp-vasr-reloc (VASR 再配置、64 ビット) 74 削除 122, 170, 189 mp-vasr-relocation (VASR 再配置、32 ビット) 74 自己承認の確認 159, 160, 163 mp-vasr (仮想アドレス空間ランダム化) 74 No eXecute (NX) 74 スロットル 181–185 追加、ホワイトリスト 119, 169 仮想アドレス空間ランダム化 (VASR) 74 データの輻輳レベル 178 強制 DLL 再配置 74 バイパス ルール 120 重要なアドレス空間保護 (CASP) 74 プロセス 114 除外対象の追加 103 バイパス 120, 135 ルールの確認 122, 171 よくある質問 (FAQ) 197 読み取り保護機能 も 上書き 47 モード 概要 16 概要、Application Control 60 有効 51 概要、Change Control 19 ルール 45, 47 監視 107, 125 更新 180 無効、Application Control 187 無効、Change Control 187 有効、Application Control 127, 181 有効、Change Control 27, 181 モニタリング ルール アクション 34 確認、事前定義のルール 35 ら ライセンス 13 り リアルタイム モニタリング 16 る ルール 機能 29 代替データ ストリーム (ADS) に対する変更 197 管理、事前定義 197 定義 32 定義、ガイドライン 99 ポリシー 36 定義、カスタム 118, 133, 168 保護 45–47 222 McAfee Change Control および McAfee Application Control 7.0.0 製品ガイド 索引 ルール (続き) ルール グループ (続き) 割り当ての表示、Integrity Monitor と Change Control 27 モニタリング 29 ルール グループ Application Control の割り当ての表示 87 インストーラーの割り当て 102 インストーラーの割り当ての表示 91 インポートとエクスポート 24, 25, 84, 85 インポートの確認 26, 86 概要、Application Control 19, 76 概要、Change Control 20 グローバル ルール 122, 171 権限の管理、Application Control 83 権限の管理、Change Control 22 権限の割り当て、Application Control 80 権限の割り当て、Change Control 21 差異と不一致の解決 197 作成と管理、Application Control 82, 83 作成と管理、Integrity Monitor と Change Control 22 れ レジストリ キー 書き込み保護 45, 47 パス、考慮事項 33 パスに関する考慮事項 47 モニター 29, 32–36 レピュテーション McAfee Advanced Threat Defence 63 McAfee ePO ワークフロー 64 McAfee Global Threat Intelligence (McAfee GTI) 63 McAfee Threat Intelligence Exchange (TIE) サーバー 63 値 67 エンドポイントのワークフロー 65 計算 67 計算方法 67 証明書の割り当て 102 使用 74 証明書の割り当ての表示 89 証明書 63, 64 所有権 20, 76 所有権の変更 22, 82 定義、バイパス ルール 135 保護を上書きするルールの定義 132 例、Application Control 76 例、Change Control 20 McAfee Change Control および McAfee Application Control 7.0.0 設定 147 ソース 63, 67, 72 ソース、設定 72 ファイル 63, 64 変更通知 64 ワークフロー 64, 65 製品ガイド 223 0-16
© Copyright 2024 Paperzz