2.1.6.1. 推奨検索の実行¶
不正プログラム対策、ファイアウォール機能以外を利用の環境では、作成したポリシーをコンピュータにあった内容に変更する必要があります。
Agentの導入とアクティベーションを行っただけでは、ポリシーに設定されているルールのみ適用されており、コンピュータにあったルールの内容になっていません。
ポリシー適用完了後に推奨検索を行うことで、各コンピュータに適したルールの割り当て(または推奨、解除を推奨)することが可能です。
通常は、タスク設定で行う『推奨設定の検索』を実行後に自動的に割り当てられますが、手動で推奨検索を行うことにより環境にあった設定を適用することが可能です。
推奨検索は、『侵入防御』『変更監視』『セキュリティログ監視』いずれの設定画面から実行しても、すべての機能でスキャンを行います。本ページでは、『侵入防御』設定の画面で説明しますが、『変更監視』『セキュリティログ監視』でも、基本的な仕様・操作は同じです。
- メニュータブの【コンピュータ】⇒【コンピュータ】ペインでコンピュータの詳細画面を表示し、コンピュータを選択してプロパティ画面を表示します。
- 【侵入防御】ペイン⇒【一般】タブをクリックして推奨設定の表示内容を確認します。
『推奨設定』の各項目の内容は以下のとおりです。- 現在適用されているルール数です。ポリシーで適用されているルールは、強制的に適用されています。図の状態は、ポリシーで提供されている初期状態を示しています。
- 推奨検索を行った直近の情報が記載されます。図のように『なし』と表示されている場合は、推奨検索が行われていない状態、またはクリアされた状態を示しています。
- 推奨検索後に、ルールを自動的に適用するかどうかの設定です。図の状態(継承(はい))は、ルールが自動的に適用されます。推奨値は『はい』になります。
- 手動で推奨検索を実施する場合にボタンをクリックします。
- c. 実行後や、タスクでの検索を実施中で、検索を中止したい場合にクリックします。
- 推奨検索の結果をクリアする場合にクリックします。
- 2. の d. をクリックして、手動での推奨スキャンを実施します。完了後は、以下の図が表示されます。
上図の例では、推奨スキャンの結果で16個のルールを追加で適用(手動)する事がわかります。24個のルールは、必要が無いルールとなります。ポリシーで適用している場合は、ポリシーで解除する必要があります。
- 適用されているルールの中から、推奨されないルールの適用を解除します。推奨されないルールを適用し続ける場合、コンピュータ自身は脆弱ではないが、攻撃をAgentで防ぐ事が可能となります。ただし、適用ルール数が増える程、コンピュータの処理(ネットワーク利用の通信)が遅延していきます。その為、脆弱な状態に対応できるルールの適用に絞る事をお勧めします。ルールの解除するには、推奨スキャンを行ったコンピュータが適用しているポリシーのプロパティを開きます。表示されたプロパティの【侵入防御】ペイン⇒【一般】タブをクリックします。『現在割り当てられている侵入防御ルール』の【割り当て/割り当て解除】をクリックします。
- 【割り当て/割り当て解除】をクリックするとルールの一覧を表示します。表示条件を『割り当て解除を推奨』に変更します。
- 『割り当て解除を推奨』されるルールの一覧が表示されます。
- 表示されているルールの左側にあるチェックボックスをオフにすることで、ルールの解除が出来ます。ただしチェックボックスが非活性の場合は、上位ポリシー(継承先)で設定されています。その為、このポリシーではルールの解除が出来ない状態です。上位のポリシーでは活性化された状態になっているので、その状態からルールを解除して下さい。
- 各ルールで 緑色の旗が表示されている場合は、推奨検索によって必要と判断されているルールです。この判断は、Agentがアプリケーションとして必要と判断している状態です。環境によっては、脆弱なアプリケーションを利用していないにもかかわらず表示される場合があります。この場合は、お客様の判断でルールの解除を行ってください。
- 各ルールによっては、環境に合わせた閾値やポート番号、ログの保存場所などを設定する必要があります。各ルールのプロパティから設定を行ってください。