監査
このセクションの内容
監査
Application Control 監査機能では、監査情報のキャプチャ ルールを定義したり、イベントを発生させたりすることができ、ログに取り込むイベントを指定するためのフィルタが含まれます。監査には、[管理] リボンからアクセスできます。
一般監査動作の制御
次のオプションを使用して、一般的な監査動作を制御し、発生するイベントを選択します。
- イベントをアプリケーション イベント ログに送信する: イベントをアプリケーション イベント ログに送信するかどうかを選択します。
- イベントを AppSense イベント ログに送信する: イベントを AppSense イベント ログに送信するかどうかを選択します。イベントはアプリケーション イベント ログまたは AppSense イベント ログにのみ送信できます。
- イベントを匿名にする: イベントが匿名かどうかを指定します。[はい] の場合、コンピュータ名とユーザ名がすべてのイベントから省略されます。匿名ログはファイル パスを検索し、ディレクトリがユーザ名と一致するインスタンスを見つけ、そのディレクトリ名を文字列で置換します
- イベントをローカル ファイル ログに送信する: イベントをローカル ファイル ログに送信するかどうかを選択します。[はい] の場合、イベントはテキストボックスで指定されたローカル ログ ファイルに送信されます。既定の場所:%SYSTEMDRIVE%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- ローカル ファイル ログ形式: イベント ログが XML 形式で保存されるか、CSV 形式で保存されるかどうかを指定します。
エンタープライズ インストールでは、配布エージェント (CCA) 経由でイベントを Management Center に転送できます。監査でこの方法を使用するときには、イベント データ保存とフィルタリングが Management Center コンソールから構成されます。
詳細については、 「Management Center ヘルプ」をご参照ください。
発生するイベントを選択
ダイアログのこのセクションには、すべての Application Control イベントが一覧表示されます。選択した監査動作オプションに従い、ローカルで発生させるイベントの [ローカル ログ] チェックボックスを選択します。
イベント フィルタリングを条件とするイベントもあります。したがって、そのようなイベントについては、[ローカル ログ] チェックボックスで有効にするだけでなく、必要に応じて [イベント フィルタリング] が構成されているのを確認することも必要になります。
使用可能なイベント
| イベント ID | イベント名 | イベント説明 |
|---|---|---|
| 9000 | 拒否された実行 | 拒否された実行要求。 |
| 9001 | 許可された実行 | 許可された実行要求。 アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。 |
| 9002 | 変更された所有者の上書き | 許可された実行ファイルの上書き。 |
| 9003 | 変更された所有者名の変更 | 拒否された実行ファイル名の変更。 |
| 9004 | アプリケーション制限の拒否 | アプリケーション制限の拒否。 |
| 9005 | 時刻制限の拒否 | 時刻制限の拒否。 |
| 9006 | 自己承認 | ユーザによる自己承認の決定。 |
| 9007 | 自己承認の許可 | 自己承認の実行要求。 |
| 9009 | スクリプト化されたルール タイムアウト | スクリプト実行がタイムアウトしました。 |
| 9010 | スクリプト化されたルール失敗 | スクリプトを完了できませんでした。 このイベントは VB Script 機能でのみ発生します。 |
| 9011 | スクリプト化されたルール成功 | スクリプトが正常に終了しました。 |
| 9012 | 信頼できるベンダ拒否 | デジタル証明書は信頼できるベンダ確認で失敗しました。 |
| 9013 | ネットワーク項目拒否 | 拒否されたネットワーク項目要求。 |
| 9014 | ネットワーク項目許可 | 許可されたネットワーク項目要求。 |
| 9015 | アプリケーション開始 | 許可されたアプリケーション実行が開始しました。 アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。 |
| 9016 | 所有権を変更できません | ファイルの所有権を変更できませんでした。 |
| 9017 | アプリケーションの終了 | 拒否されたアプリケーションが Application Control によって終了しました。 |
| 9018 | アプリケーション ユーザ権限変更 | アプリケーションのユーザ権限が変更されました。 9023もご参照ください。 |
| 9019 | Web インストール許可 | 許可された Web インストール要求。 |
| 9020 | 制限された Web インストール | 制限された Web インストール要求。 |
| 9021 | 制限された Web インストール | Windowsが Web インストール要求を制限しました。 |
| 9022 | Web インストール失敗 | Web インストールを完了できませんでした。 |
| 9023 | 自己昇格許可 | 自己昇格要求 昇格前にユーザに確認するようルール項目ユーザ権限アプリケーションが構成されている場合に、9018イベントの代わりとしても使用されます。 |
| 9024 | URL リダイレクト | URL リダイレクトが発生しました。 |
| 9051 | ポリシー変更付与 | [ポリシー変更要求] が付与されています。 |
| 9052 | ポリシー変更無効な応答コード | ポリシー変更要求に対して無効な応答コードが入力されました。 |
| 9053 | ユーザ要求許可 | 許可されているポリシー変更アプリケーションが開始されました。 |
| 9054 | ユーザ要求昇格 | 昇格されたポリシー変更アプリケーションが開始されました。 |
| 9055 | サービス開始/停止 | サービスが開始または停止しました。 |
| 9056 | メタデータ一致がある信頼できないファイル | メタデータを突き合わせる際に、署名されたファイルの証明書を検証できませんでした。 |
| 9060 | 拒否された実行 (信頼できる所有権) | 拒否された実行要求 (信頼できる所有権) |
| 9061 | 拒否された実行 (ルール ポリシー) | 拒否された実行要求 (ルール ポリシー) |
| 9062 | 管理者プロセス開始イベント | 昇格された (完全な管理者) 権限でアプリケーションが開始されました。 |
| 9063 | UAC 置換 - 監査 | 昇格された権限の要件に関するユーザが入力した理由。 |
| 9096 | 構成マージ成功 | 構成マージが正常に完了しました。 |
| 9097 | 構成マージ失敗 | 構成マージが失敗しました。 |
| 9098 | 構成マージ タイムアウト | 構成マージの想定されたファイルの待機がタイムアウトしました。 |
| 9099 | エージェントのライセンスがありません | Application Control のライセンスがありません。 |
メモ
•アプリケーションに対する1回の要求では、Windows が実行要求に対応する方法により、複数の9001イベントが生成されることがあります。このため、イベント9015を使用して、ユーザがアプリケーションを実行した回数を正確に監査することをお勧めします。
9001、9007、9014、9015イベントは、エンドポイントで過剰なイベント データが生成される可能性があるため、既定では無効です。これらのイベントはトラブルシューティング目的でのみ、短期間のみ使用することをお勧めします。
•Application Control の2020.2リリースで、9060および9061というイベント ID が導入されました。既定では、どちらのイベントも無効になっています。必要に応じて、これらのイベント ID を使用することで、「信頼できる所有権」によってブロックされている実行要求と、「ルール ポリシー」によって明示的にブロックされている実行要求とを区別できます。
この区別を行うには、必要に応じてイベント ID 9060または9061、またはその両方を有効にします。通知の重複を避けるため、これらの設定のどちらか (または両方) を有効にした場合は、イベント ID 9000は無効にしてください。
•2020.2リリースでは、イベント ID 9062も導入されました。このイベント ID は、完全な管理者権限を使用して開始されたプロセスを識別するので、昇格された権限が何のために必要とされたかを評価する際に有用である可能性があります。メモ: Windows UAC が無効になっている場合や、ビルトインの管理者アカウントが使用されている場合は、すべてのプロセスが完全な管理者権限を使用して実行されるため、通知の数が多くなります。
イベント フィルタリング
イベント フィルタリングでは、監査するファイル タイプをフィルタリングできます。これは、特に、大量のイベントを選択するときに役立ちます。イベント フィルタ テーブルにアクセスするには、[監査] ダイアログの [イベント フィルタリング] をクリックします。[イベント フィルタリングを有効にする] は既定でオンであり、推奨ファイル フィルタと連動します。必要に応じて設定を更新し、各リストのイベントを監査するファイル タイプを選択します。[追加] をクリックして、必要なイベント タイプの新しいファイル タイプを指定します。
Application Control の前のリリースからアップグレードした構成の場合に、イベント フィルタリングを有効にするには、上述のようにイベント ID のイベント フィルタリングを有効にするだけでなく、目的のファイル タイプの [イベント フィルタリングを有効にする] チェックボックスを手動で選択することも必要になります。
システム イベント
次に、構成可能ではないシステム イベントを示します。
| イベント ID | イベント名 | イベント説明 |
|---|---|---|
| 8000 | サービス開始 | Application Control エージェント:サービスが開始しました。 |
| 8001 | サービス停止 | Application Control エージェント:サービスが停止しました。 |
| 8095 | 構成が見つかりません | Application Control は有効な構成を検出できません。 |
| 8099 | 無効なライセンス | Application Control ソフトウェアのライセンスがありません。 |