統計情報の受信を設定する
端末からのApplication Controlイベントに関する情報の送信を有効にする
1.ネットワークツリーのアンチウイルスネットワークセクションで、アプリケーションの起動に関する情報をそこから受け取るApplication Controlがインストールされている端末と端末グループを選択します。
2.コントロールメニュー でWindows → Dr.Web Agentを選択します。
3.Application Controlによって検出された端末でのプロセスのアクティビティを追跡し、イベントをServerに送信するには全般タブでApplication Controlイベントを追跡フラグをセットします。Serverに接続されていない場合は、接続されると同時にイベントが収集されて送信されます。フラグがクリアされている場合、プロセスのアクティビティは無視されます。
4.保存 をクリックします。
ServerでApplication Controlイベントの情報収集を有効にする
5.管理 → Dr.Web Serverの設定セクションで、統計情報タブに移動します。
6.次のいずれかのオプションを設定します。
•Application Controlによって起動が許可または禁止されているかどうかに関係なく、すべてのプロセスのあらゆるアクティビティに関する情報を受信して書き込む、プロセスアクティビティに関するApplication Controlの統計情報 - このオプションでは、少なくとも1つの プロファイル が作成されて割り当てられており、1つ以上の機能分析基準 カテゴリが選択されている場合に限り、アプリケーションがカタログに書き込まれます。
プロファイルを作成し、それらをアンチウイルスネットワークの端末に割り当てる前は、すべてのアプリケーションの起動が許可されます。
•Application Controlによって起動が禁止されているすべてのプロセスのアクティビティに関する情報を受信して書き込む、プロセスのブロックに関するApplication Controlの統計情報 - このオプションでは、アプリケーションの起動をブロックする設定のプロファイルが作成され、それらのプロファイルがアンチウイルスネットワークの端末に割り当てられたた後でのみ、アプリケーションがカタログに書き込まれます。
|
プロセスアクティビティに関するApplication Controlの統計情報フラグをセットした場合、アンチウイルスネットワーク全体における統計収集のリソース使用率が大幅に増加する可能性があります。 |
7.保存 をクリックします。
8.Serverを再起動します。
9.再起動後、ServerはApplication Controlがインストールされているすべての端末から受信する、アプリケーションの起動に関する統計の収集を開始します。
統計情報の表示
Application Controlコンポーネントによって端末で検出されたイベントを確認する
1.階層的リスト内で端末またはグループを選択します。
2.コントロールメニューの統計セクションでApplication Controlイベントを選択します。
3.選択した端末での起動が禁止/許可されているアプリケーションのリストを含むウィンドウが開きます。
4.デフォルトでは、過去24時間の統計が表示されます。特定の時間範囲のデータを表示するには、ドロップダウンリストで今日を基準にした相対的期間を具体的に指定するか、ツールバーで任意の日付範囲を選択します。任意の日付範囲を選択する場合は、それぞれ必要な日付を入力するか、日付フィールドの隣にあるカレンダーアイコンをクリックします。データをロードするには、更新 をクリックします。統計情報を含む表がロードされます。
Application Controlテーブルの項目の説明
項目 |
説明 |
|---|---|
識別子 |
端末の識別子 |
端末 |
端末名 |
端末アドレス |
端末アドレス |
セキュリティID |
ユーザーアカウントのセキュリティID |
ユーザー |
端末ユーザー |
イベントタイプ |
端末で検出されたイベントのタイプ |
適用されたアクション |
端末で起動されたアプリケーションに対して適用されたアクション |
機能分析の基準 |
端末でのアプリケーションを許可またはブロックするための基準 |
機能分析のマスク |
機能分析基準のパラメータ。このパラメータは、端末でのアプリケーションの起動を許可するかどうかを決定します。 |
プロファイルID |
プロファイル識別子 |
プロファイル名 |
プロファイル名 |
ルールID |
ルール識別子 |
ルール名 |
ルール名 |
動作モード |
ルールの動作モード |
プロセスファイルパス |
プロセスファイルパス |
プロセス |
端末での起動が許可または禁止されているプロセス |
プロセスのハッシュを含んだBulletin |
起動されたプロセスファイルのハッシュが含まれているBulletin |
スクリプトファイルパス |
スクリプトファイルパス |
スクリプト |
スクリプトファイル |
スクリプトのハッシュを含んだBulletin |
起動されたスクリプトファイルのハッシュが含まれているBulletin |
イベント発生 |
イベントが発生した日付と時間 |
イベント通知 |
イベント通知の日付と時間 |
ファイルのハッシュ(SHA-256) |
ファイルのハッシュ値(SHA-256アルゴリズム) |
ファイルの説明 |
ファイルの説明 |
パブリッシャー |
ファイルのパブリッシャー |
証明書の発行者 |
証明書を発行した認証局 |
証明書のハッシュ(SHA-1) |
証明書のハッシュ値(SHA-1アルゴリズム) |
証明書の開始日 |
証明書の開始日 |
証明書の終了日 |
証明書の終了日 |
|
フィルターオプションは一定ではなく、指定された期間に受信したデータによって変動します。指定された期間に該当するデータを受信しなかった場合、そのオプションはフィルターには表示されません。 |
5.プリントアウトするため、または今後のプロセスのために表を保存するには次のいずれかをクリックします。
データをCSVで保存
データをHTMLで保存
データをXMLで保存
データをPDFで保存
|
プロファイルまたはルールがテストモードの場合、割り当てられたワークステーションで起動されたアプリケーションは、Application Controlスキーム全体の各ステップに対して上から下にチェックされます。表示される統計には、アプリケーションが機能分析設定、ルール、信頼されたアプリケーショングループなどの基準のいずれかに一致した全てのケースが含まれます。したがって、1つのアプリケーションが、適用されたアクション 列に複数のレコードを持ち、ある基準によって許可された、または別の基準によってブロックされた、またはその両方であることを示している場合があります。 |
ルールを作成する
Application Controlのイベント統計情報に基づいて新しいルールを作成する
1.統計 → Application Controlイベントセクションで、アプリケーション(起動を制御するためのルールを作成するアプリケーション)の起動を試みるイベントがある行を選択します。
2.テーブルの行をクリックすると、選択したイベントに関する情報を含んだウィンドウが開きます。
3.ルールを作成をクリックします。
4.新しいルールを作成するためのウィンドウが開きます。以下の設定を行ってください。
a)プロファイル名ドロップダウンリストから、ルールを作成するApplication Controlプロファイルを選択します。
b)ルール名フィールドで、作成するルールの名前を指定してください。
c)ルールのタイプオプションで、作成するルールの種類(拒否または許可)を選択します。
d)動作モードオプションで、作成するルールの動作モードを選択します(プロファイルのルール作成におけるルールをテストモードに切り替えるフラグに相当します)。
ルールの動作を確認する場合は、テスト オプションを選択します。アプリケーションは端末ではブロックされませんが、有効化された設定に関するアクティビティログが書き込まれます。テストモードのルールに基づくアプリケーションの起動とブロックの結果は、Application Controlイベント セクションに表示されます。
アクティブオプションを使用すると、ルールはアクティブモードで動作し、指定されたルール設定に従って端末でアプリケーションをブロックします(プロファイルの動作モード参照)。
e)次の基準でアプリケーションの起動を禁止する/次の基準でアプリケーションの起動を許可する(手順4bで選択したルールの種類によってどちらか)セクションでは、ルールを作成するアプリケーションに応じてフィールドが自動的に埋まります。必要に応じて設定を編集できます。
5.保存をクリックします。指定したApplication Controlプロファイル内にルールが作成されます。