エンドポイント分析

このセクションの内容

• エンドポイント分析
• エンドポイント分析準備
• エンドポイント分析の操作
• インストールされたアプリケーション スキャン
• アプリケーション使用状況スキャン
• アプリケーション データ
• エンドポイント分析データ ファイルのエクスポート
• ファイルを構成に追加

エンドポイント分析

エンドポイント分析 (EPA) は、単一または複数のエンドポイントをスキャンし、特定のコンピュータに存在するか、実行されたアプリケーションの一覧を表示します。エンドポイント分析では、適切な Application Control 構成の作成を簡素化することができます。この機能はオンデマンドで使用され、既定では無効です。Application Control エージェントがインストールされたエンドポイントで、データを分析する方法は2つあります。

• エンドポイント スキャン - 特定のエンドポイントのエンドポイント分析ファイルは、次の場所にインストールされた Application Control コンピュータに保存されます。

  C:\ProgramData\AppSense\Application Manager\EndpointAnalysis.

  エンドポイント スキャンは、エンドポイントに存在するアプリケーションを検索します。これらのアプリケーションは管理者によって正式にインストールされている場合も、疑いを持たないエンドユーザがインストールしたウイルスを含むフリーウェアの隠された部分である場合もあります。

  次のディレクトリとレジストの場所がスキャンされます。

  • HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  • Program Files

• アプリケーション使用状況スキャン - アプリケーション使用状況スキャンは、エンドポイントで使用中のすべてのアプリケーションを検出するために使用されます。アプリケーション使用状況スキャンが実行中のときには、標準の Application Control ルール チェックが要求で実行された後に、エンドポイント分析処理用のすべての実行要求が渡されます。要求の詳細はメモリに格納されます。スキャンが停止するときに、すべての要求データがファイルに保存されます。

  ユーザが職場からノートブックを持ち帰り、家でオンにする場合など、スキャンが実行中のときにエンドポイントが再起動される場合、エンドポイント分析ランタイムは、アプリケーション使用状況が記録中であることを検出し、記録を再開します。これはエージェントの起動時に実行されます。

  エンドポイント スキャンには数分かかることがあります。Application Control は Program Files フォルダとレジストリ キーをスキャンするだけではなく、各依存ファイルとデジタル署名もスキャンするためです。Application Control はこの情報をすべて記録します。

  エンドポイント スキャン中には、エンドポイントで100%の CPU が使用されることがあります。ただし、ユーザ タスクを実行する必要がある場合、Application Control エージェントはビルトインのスマート スケジューリング技術を使用して、タスクをスキャンよりも優先的に実行することができるため、実行に関するエンドユーザの認識は影響を受けません。

一般的に、エンドポイント スキャンが最初に実行され、エンドポイントにインストールされるアプリケーションを決定します。この後に、アプリケーション使用状況スキャンが続き、一定期間にエンドポイントで実行されたアプリケーションを追跡できます。使用されているアプリケーションと使用されていないアプリケーションをハイライトすることで、ライセンスがないソフトウェアを特定して制限することができます。ライセンスがないソフトウェアは削除できます。スキャンが実行される前に、エンドポイント分析ツリーでエンドポイントを指定する必要があります。

エンドポイント分析の準備

エンドポイント分析が機能するには、次の項目をインストールする必要があります。

• Application Control エージェントがにエンドポイントにインストールされていること。
• ライセンスがエンドポイントにインストールされていること。
• Application Control 構成がエンドポイントにインストールされていること。
• エンドポイントへの管理共有権限。
• エンドポイントへのリモート レジストリ アクセス。

エージェントがエンドポイントにインストールされていることをテストする

1. [スタート] メニューで、[コントロール パネル] を選択します。
2. [管理ツール]を選択します。
3. [サービス]をダブルクリックします。
4. Application Control エージェントを見つけます。

ライセンスがエンドポイントにインストールされていることをテストする

1. 管理対象のエンドポイントでレジストリ エディタを起動します。
2. HKLM\Software\AppSense Technologies\Licensing の下でライセンスを探します。

構成がエンドポイントにインストールされていることをテストする

構成は次の場所に保存されます。C:\ProgramData\AppSense\ApplicationManager\Configuration

ProgramData は非表示のフォルダです。エクスプローラを開き、アドレスバーに C:\ProgramData と入力します。フォルダを開くには、Enter を押します。

エンドポイントに管理共有権限があることをテストする

1. Application Control コンソールがインストールされているコンピュータで、Windows エクスプローラを開きます。
2. アドレス バーに、\\<computername>\c$ を入力し、Enter を押します。フォルダを参照できる場合は、アクセス権があります。できない場合は、アクセスを許可するユーザ認証資格情報を入力するように指示されます。

リモート レジストリ アクセスが使用可能であることをテストする

1. Application Control コンソールがインストールされているコンピュータで、レジストリ エディタを開きます。
2. [ファイル] > [ネットワーク レジストリに接続] を選択します。
3. [コンピュータの選択] ダイアログが表示されます。

4. コンピュータを検索し、[OK] をクリックします。レジストリ キーが表示される場合は、アクセスできます。

   Windows 7以上を実行するリモート コンピュータでは、ファイル共有とリモート レジストリ サービスは既定で無効であるため、有効にする必要があります。

5. [スタート] > [コントロール パネル] > [ネットワークと共有センター] で [ファイル共有] をオンにします。
6. [スタート] > [コントロール パネル] > [管理ツール] > [サービス] で、リモート レジストリ サービスを起動します。

エンドポイント分析の操作

この機能では、エンドポイントおよびアプリケーション使用状況スキャンを実行し、スキャンされたアプリケーションのすべての読み込まれたファイル (子プロセス) と、検出されたアプリケーションのデジタル証明書を表示することができます。

アクセス可能な項目の構成にすべての読み込まれたファイルを含め、アプリケーションを正常に機能させることをお勧めします。構成でデジタル証明書を信頼できるベンダに追加することも有用です。

エンドポイントの追加

エンドポイントをスキャンする前に、追加する必要があります。

1. [エンドポイント分析] ナビゲーション ボタンをクリックします。
2. [エンドポイント分析] ナビゲーション ツリーが表示されます。
3. [エンドポイント分析] リボンで、[エンドポイントの追加] をクリックし、次のいずれかを選択します。
   • 配布グループの参照 - [管理サーバの選択] ダイアログが表示されます。配布グループの場所に移動し、必要なエンドポイントを選択します。
   • ドメイン/ワークグループの参照 - [分析するエンドポイントの追加] ダイアログが表示されます。[コンピュータ] フィールドに名前または IP アドレスを入力するか、省略記号 (...) を使用して目的のエンドポイントを選択し、[追加] をクリックします。

エンドポイントは、エンドポイント分析ナビゲーション ツリーに表示されます。追加すると、エンドポイント分析でエンドポイントを使用できます。

エンドポイントを削除するには、エンドポイントをハイライトし、[エンドポイント分析] リボンの [エンドポイントの削除] をクリックします。

インストールされたアプリケーション スキャン

指定されたドメイン内の選択したエンドポイントでスキャンを実行します。スキャンは次のディレクトリとレジストリを確認します。

• HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• Program Files

スキャンが完了すると、スキャンされたエンドポイントにインストールされたアプリケーションとファイルの詳細を示すレポートが生成されます。アプリケーション実行ファイルを実行した結果として生成される DLL やデジタル署名ファイルなどの他の情報も取り込まれます。

エンドポイント スキャンの実行

Application Control エージェントがインストールされているエンドポイントでエンドポイント スキャンを実行します。

1. [エンドポイント分析] ナビゲーション ボタンをクリックします。

   エンドポイント スキャンを実行するには、まずエンドポイントを追加する必要があります。詳細については、「エンドポイントの追加」をご参照ください。

2. エンドポイントを選択し、[エンドポイント スキャンの実行] をクリックします。選択したドメイン内のすべてのエンドポイントをスキャンするには、 [すべてのエンドポイントのスキャンを実行する] をクリックします。
3. エンドポイント スキャンは次のディレクトリとレジストリを確認します。
   • HKLM\SOFTWARE\Microsoft\Windows\Current\CurrentVersion\Installer\Folders
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
   • Program Files

エンドポイント スキャンの結果は、関連するエンドポイントの下でネストされ、インストールされたアプリケーション ノードに表示されます。アプリケーション名、アプリケーション説明、所有者などの詳細も表示されます。追加のファイル情報については、次のエンドポイント分析リボン ボタンを使用します。

• 読み込まれたファイルを表示 - アプリケーションによって読み込まれる他のファイルの詳細を表示します。
• デジタル証明書を表示 - アプリケーションに割り当てられた証明書の詳細を表示します。

アプリケーション使用状況スキャン

アプリケーション使用状況スキャンは、スキャン期間中に、ZIP ファイルの展開中に実行される実行ファイル、社内ソフトウェア、または Firefox など、Windows インストーラ技術 (MSI および MSP) を使用してインストールされていない、実行中のすべてのアプリケーションを検出します。任意の時点でアプリケーション使用状況スキャンを開始し、ユーザがエンドポイントにログオンしているときに、アクティブに使用されているアプリケーションを監視します。任意の時点で使用状況スキャンを停止し、レポートを生成して、XML データファイルとして保存します。データ ファイルには、スキャンされたエンドポイントで使用されるアプリケーションの詳細が格納されます。

アーカイブ目的で XML データ ファイルをエクスポートするか、ファイルを他のエンドポイントにインポートします。たとえば、スキャンのデータは、スキャンを実行しつぁエンドポイントでのみ使用できます。別の管理者はエクスポートされたデータ ファイルをインポートし、そのデータを使用して Application Control 構成を作成できます。

あるいは、データ ファイルをルール分析にインポートし、データ ファイルに含まれる情報を使用して、Application Control の動作をトラブルシューティングできます。

ルールの構成と分析については、「ルール分析」をご参照ください。

アプリケーション使用状況スキャンの実行

ユーザがログインしているときに、管理された遠戸ポイントでアプリケーション使用状況スキャンを実行します。

1. [エンドポイント分析] ナビゲーション ボタンをクリックします。

   [エンドポイント分析] ナビゲーション ツリーが表示されます。

   アプリケーション使用状況スキャンを実行するには、まずエンドポイントを追加する必要があります。詳細については、「エンドポイントの追加」をご参照ください。

2. ナビゲーション ツリーで、スキャンするエンドポイントを選択します。

   [エンドポイント概要] 作業領域が表示されます。

3. [エンドポイント分析] リボンで、[アプリケーション使用状況スキャンの開始] をクリックします。

   アプリケーション スキャンが開始します。必要なデータの収集にかかる時間に関係なく、その間中スキャンを実行し、十分なデータが収集されたときに停止することができます。

4. [アプリケーション使用状況スキャンの停止] をクリックすると、スキャンを停止し、レポートを生成します。

   [レポートの保存] ダイアログが表示されます。

5. レポートの名前を入力し、[OK] をクリックして、データ ファイルを保存します。

ファイルは XML 形式で保存され、選択したエンドポイントの記録されたデータ ノードの下に作成されます。

アプリケーション データ

インストールされたアプリケーション スキャンとアプリケーション使用状況スキャンのアプリケーション データの詳細を確認できます。

関連付けられた読み込まれたファイルまたはデジタル証明書を表示することを選択できます。

• 読み込まれたファイルを表示 - [読み込まれたファイル] ダイアログを表示します。ファイルをドラッグして、構成に追加します。
• デジタル証明書を表示 - [証明書] ダイアログを表示します。任意の証明書をドラッグし、構成の信頼できるベンダ ノードに追加します。

場合によっては、次のように、重複する証明書が存在することがあります。Calc.exe は Msvcrt.dll、Ntdll.dll、および Msutil.dll を読み込みます。Calc.exe は「Microsoft Certificate A」で署名され、Ntdll.dll も「Microsoft Certificate A」で署名されます。[署名されたファイル] 列を参照し、どのファイルがどの証明書で署名されたかを明確に特定します。

エンドポイント分析データ ファイルのエクスポート

他のエンドポイントまたはルール分析にインポートされるデータ ファイルをエクスポートします。

1. データ ファイルがエクスポートされるエンドポイントを選択します。

2. [エンドポイント分析] リボンで、[エクスポート] をクリックします。

   [エクスポート] ブラウザ ダイアログが表示されます。

3. ファイルを保存する場所を選択します。
4. [保存] をクリックします。

データ ファイルは選択した場所に保存され、他の Application Control コンソールまたはルール分析にインポートできます。

ファイルを構成に追加

エンドポイント分析の結果を使用して、アプリケーションおよびファイルのルールを Application Control 構成ファイルに追加します。アプリケーション、ファイル、DLL、または証明書を、ルール ノードの使用可能なグループ ルールにドラッグします。ルール ノードにアクセスするには、構成ナビゲーション ボタンを使用します。

アクセス可能な項目または禁止された項目リストにファイルをドラッグする場合は、ファイルとしてドロップされます。

• ファイルがアクセス可能な項目に配置されると、関連付けられた読み込まれたファイルが自動的に含まれます。
• ファイルが禁止可能な項目に配置されると、関連付けられた読み込まれたファイルは含まれず、メイン アプリケーション実行ファイルのみが含まれます。

証明書を信頼できるベンダに追加するには、ファイルを信頼できるベンダ ノードにドラッグする (そのファイルの証明書が存在する場合は、証明書が追加されます) か、[エンドポイント分析] リボンで [デジタル証明書を表示] を選択して、[証明書] ダイアログを表示することができます。そのダイアログから構成にドラッグすることができます。

ファイルを構成にドラッグするときには、ファイルのデジタル証明書が常にコピーされます。これは、アプリケーションを認証するための最も安全な方法です。

関連トピック

ルール分析