統計情報の受信を設定する
端末からのApplication Controlイベントに関する情報の送信を有効にする
1.ネットワークツリーの アンチウイルスネットワーク セクションで、Application Control(アプリケーションの起動に関する情報をそこから受信したいApplication Control)がインストールされている端末または端末グループを選択します。
2.コントロールメニューで、グループを選択した場合は Windows → Dr.Web Agent を、端末を選択した場合は Dr.Web Agent を選択します。
3.Application Controlによって検出された端末でのプロセスのアクティビティを追跡し、イベントをDr.Web Serverに送信するには 全般 タブで Application Controlイベントを追跡 にチェックを入れます。Dr.Web Serverに接続されていない場合は、接続されると同時にイベントが収集されて送信されます。チェックが入っていない場合、プロセスのアクティビティは無視されます。
4.保存 をクリックします。
Dr.Web ServerでApplication Controlイベントの情報収集を有効にする
1.管理 → Dr.Web Serverの設定 セクションで、統計情報 タブに移動します。
2.次のいずれかのオプションを設定します。
•Application Controlによって起動が許可または禁止されているかどうかに関係なく、すべてのプロセスのあらゆるアクティビティに関する情報を受信して書き込む、プロセスアクティビティに関するApplication Controlの統計情報 - このオプションでは、少なくとも1つの プロファイル が作成されて割り当てられており、1つ以上の 機能分析基準 カテゴリーが選択されている場合に限り、アプリケーションがカタログに書き込まれます。
プロファイルを作成し、それらをアンチウイルスネットワークの端末に割り当てる前は、すべのアプリケーションの起動が許可されます。
•Application Controlによって起動が禁止されているのプロセスのアクティビティに関する情報を受信して書き込む、プロセスのブロックに関するApplication Controlの統計情報 - このオプションでは、アプリケーションの起動をブロックする設定の プロファイル が作成され、それらのプロファイルがアンチウイルスネットワークの端末に割り当てられた後でのみ、アプリケーションがカタログに書き込まれます。
|
プロセスアクティビティに関するApplication Controlの統計情報 にチェックを入れた場合、アンチウイルスネットワーク全体における統計収集のリソース使用率が大幅に増加する可能性があります。 |
3.保存 をクリックします。
4.Dr.Web Serverを再起動します。
5.再起動後、Dr.Web ServerはApplication Controlがインストールされているすべての端末から受信する、アプリケーションの起動に関する統計の収集を開始します。
統計情報の表示
Application Controlコンポーネントによって端末で検出されたイベントを確認する
1.階層的リスト内で端末またはグループを選択します。
2.コントロールメニュー の 統計 セクションで Application Controlイベント を選択します。
3.選択した端末での起動が禁止/許可されているアプリケーションのリストを含むウィンドウが開きます。
4.デフォルトでは、過去24時間の統計が表示されます。特定の時間範囲のデータを表示するには、ドロップダウンリストで今日を基準にした相対的期間を具体的に指定するか、ツールバーで任意の日付範囲を選択します。任意の日付範囲を選択する場合は、それぞれ必要な日付を入力するか、日付フィールドの隣にあるカレンダーアイコンをクリックします。データをロードするには、更新 をクリックします。統計情報を含む表がロードされます。以下の表は、テーブル項目の説明です。
Application Controlテーブルの項目の説明
項目 |
説明 |
|---|---|
識別子 |
端末の識別子 |
端末 |
端末名 |
端末アドレス |
端末アドレス |
セキュリティID |
ユーザーアカウントのセキュリティID |
User |
端末ユーザー |
イベントタイプ |
端末で検出されたイベントのタイプ |
適用されたアクション |
端末で起動されたアプリケーションに対して適用されたアクション |
機能分析の基準 |
端末でのアプリケーションを許可またはブロックするための基準 |
機能分析のマスク |
機能分析基準のパラメータ。このパラメータは、端末でのアプリケーションの起動を許可するかどうかを決定します。 |
プロファイルID |
プロファイル識別子 |
プロファイル名 |
プロファイル名 |
ルールID |
ルール識別子 |
ルール名 |
ルール名 |
動作モード |
ルールの動作モード |
プロセスファイルパス |
プロセスファイルパス |
プロセス |
端末での起動が許可または禁止されているプロセス |
プロセスのハッシュを含んだBulletin |
起動されたプロセスファイルのハッシュが含まれているBulletin |
スクリプトファイルパス |
スクリプトファイルパス |
スクリプト |
スクリプトファイル |
スクリプトのハッシュを含んだBulletin |
起動されたスクリプトファイルのハッシュが含まれているBulletin |
イベント発生 |
イベントが発生した日付と時間 |
イベント通知 |
イベント通知の日付と時間 |
ファイルのハッシュ(SHA-256) |
ファイルのハッシュ値(SHA-256アルゴリズム) |
ファイルの説明 |
ファイルの説明 |
パブリッシャー |
ファイルのパブリッシャー |
証明書の発行者 |
証明書を発行した認証局 |
証明書のサムプリント(SHA-1) |
証明書のハッシュ値(SHA-1アルゴリズム) |
証明書の開始日 |
証明書の開始日 |
証明書の終了日 |
証明書の終了日 |
5.プリントアウトするため、または今後のプロセスのために表を保存するには次のいずれかをクリックします。
データをCSVで保存
データをHTMLで保存
データをXMLで保存
データをPDFで保存
|
プロファイルまたはルールが テストモード の場合、割り当てられたワークステーションで起動されたアプリケーションは、Application Controlスキーム 全体の各ステップに対して上から下にチェックされます。表示される統計には、アプリケーションが機能分析設定、ルール、信頼されたアプリケーショングループなどの基準のいずれかに一致したすべてのケースが含まれます。そのため、1つのアプリケーションが、適用されたアクション 列に複数のレコードを持つ場合があります(ある基準によって許可された、または別の基準によってブロックされた、またはその両方)。 |
ルールを作成する
Application Controlのイベント統計情報に基づいて新しいルールを作成する
1.統計 → Application Controlイベント セクションで、アプリケーション(起動を制御するためのルールを作成するアプリケーション)の起動を試みるイベントがある行を選択します。
2.テーブルの行をクリックすると、選択したイベントに関する情報を含んだウィンドウが開きます。
3.ルールを作成 (オブジェクトデータまたはプロセスデータに基づいて)をクリックします。
4.新しいルールを作成するためのウィンドウが開きます。以下の設定を行ってください。
a)プロファイル名 ドロップダウンリストから、ルールを作成するApplication Controlプロファイル を選択します。
b)ルール名 フィールドで、作成するルールの名前を指定してください。
c)ルールのタイプ オプションで、作成するルールの種類(拒否 または 許可)を選択します。
d)動作モード オプションで、作成するルールの動作モードを選択します(プロファイルのルール作成における ルールをテストモードに切り替える フラグに相当します)。
ルールの動作を確認する場合は、テスト オプションを選択します。アプリケーションは端末ではブロックされませんが、有効化された設定に関するアクティビティログが書き込まれます。テストモードのルールに基づくアプリケーションの起動とブロックの結果は、Application Controlイベント セクションに表示されます。
アクティブ オプションを使用すると、ルールはアクティブモードで動作し、指定されたルール設定に従って端末でアプリケーションをブロックします(プロファイルの動作モード 参照)。
e)次の基準でアプリケーションの起動を禁止する/次の基準でアプリケーションの起動を許可する(手順4bで選択したルールの種類によってどちらか)セクションでは、ルールを作成するアプリケーションに応じてフィールドが自動的に埋まります。必要に応じて設定を編集できます。
5.保存 をクリックします。指定したApplication Controlプロファイル内にルールが作成されます。