ルール分析

このセクションの内容

ルール分析

標準監査を使用して、許可されていないアプリケーションの使用状況を追跡したり、ユーザがアプリケーションを上書き/名前変更するときを追跡したりすることができます。これは、シンプルなメカニズムであり、操作なしで機能します。標準監査メカニズムは、アプリケーションの実行が許可されていないときなどにユーザに通知ますが、その理由については通知しません。このため、リアルタイムでルールベースを解析し、アプリケーションの実行が許可またはブロックされている理由を正確に検査できるように、追加のツールが必要です。

ルール分析は、管理されたエンドポイントを検査し、Application Control ルールがどのように適用されるのかという情報を収集し、処理されるときに、不一致または不正確に関する詳細情報を提供します。ルール分析にはグラフィカル インターフェイスがあり、企業全体のあらゆる場所で、リアルタイムで、Application Control 構成を手動でトラブルシューティングおよび微調整することができます。必要なのは、リモート Application Control 管理されたエンドポイントへのネットワーク リンクです。これにより、ルール分析はエージェント ソフトウェアに接続し、ローカル エンドポイントでログを開始できます。

ログが完了すると、ルール分析を使用して、ネットワーク全体のログ ファイルを自動的に取得し、調査のための分析が行われるコンピュータに取り込むことができます。すべてのログ情報は XML 形式で格納されます。Application Control エージェントが処理した各実行要求は、プロセスの実行が許可されるかどうかや結果の理由など、処理中に発生した内容の詳細とともにリストに記録されます。

コンソール

ルール分析には、Application Control コンソール内のナビゲーション ペインからアクセスし、ログ ファイルの作成、取得、検査のために使用されます。

エンドポイント ノードでは、特定の管理されたエンドポイントへのログオンを制御し、ログ ファイルを取得できます。各ノードの下には、各 [取得されたログ ファイル] ノードのノードがあります。

概要ページを確認したり、すべての要求を表示したり、特定のユーザの要求を表示したりすることができます。拒否された要求または許可された要求にビューを制限できます。分析パネルで、特定の要求に移動し、Application Control によって適用されたルールを含め、要求の詳細を表示できます。

ルール分析を使用してログを生成する管理対象のエンドポイントのレジストリに対する読み取りおよび書き込みアクセス権と、コンソールが動作するコンピュータのローカル レジストリへの読み取りおよび書き込みアクセス権があるアカウントでログインする必要があります。

前提条件

次の項目が導入されていることをテストします。

  1. [スタート] メニューで、[コントロール パネル] を選択します。
  2. 管理ツールを選択します。
  3. サービスをダブルクリックします。
  4. Application Control エージェントを見つけます。
  1. 管理対象のエンドポイントでレジストリ エディタを起動します。
  2. HKLM\Software\AppSense Technologies\Licensing の下でライセンスを探します。
  1. 構成は次の場所に保存されます。

  2. C:\ProgramData\AppSense\ApplicationManager\Configuration に移動します。

    ProgramData は非表示のフォルダです。Windows エクスプローラを開き、アドレスバーに C:\ProgramData と入力します。フォルダを開くには、Enter を押します。

  1. Application Control コンソールがインストールされているコンピュータで、Windows エクスプローラを開きます。
  2. アドレス バーに、\\<computername>\c$ を入力し、Enter を押します。フォルダを参照できる場合は、アクセス権があります。できない場合は、アクセスを許可するユーザ認証資格情報を入力するように指示されます。
  1. Application Control コンソールがインストールされているコンピュータで、レジストリ エディタを開きます。
  2. [ファイル] > [ネットワーク レジストリに接続] を選択します。
  3. [コンピュータの選択] ダイアログが表示されます。
  4. コンピュータを検索し、[OK] をクリックします。レジストリ キーが表示される場合は、アクセスできます。

Windows 7以上を実行するリモート コンピュータでは、ファイル共有とリモート レジストリ サービスは既定で無効であるため、有効にして、ルール分析がログ ファイルにアクセスするか、作成できることを確実にする必要があります。

  1. [スタート] > [コントロール パネル] > [ネットワークと共有センター] で [ファイル共有] をオンにします。
  2. [スタート] > [コントロール パネル] > [管理ツール] > [サービス] で、リモート レジストリ サービスを起動します。

ルール分析ログの設定

最初の要件は、ルール分析が連携するエンドポイントのリストにエンドポイントを追加することです。ルール分析は、既定の C$ 共有を使用して、ターゲット コンピュータ上で実行されているエージェントと通信します。

エンドポイントの追加

ルールを分析する前に、エンドポイントを指定する必要があります。

  1. [ルール分析] ナビゲーション ボタンをクリックします。

    [ルール分析] ナビゲーション ツリーが表示されます。

  2. [ルール分析] リボンで、[エンドポイントの追加] をクリックし、次のいずれかを選択します。
    • 配布グループの参照 - [管理サーバの選択] ダイアログが表示されます。配布グループの場所に移動し、必要なエンドポイントを選択します。
    • ドメイン/ワークグループの参照 - [ルール分析エンドポイントの追加] ダイアログが表示されます。[コンピュータ] フィールドに名前または IP アドレスを入力するか、省略記号 (...) を使用して目的のエンドポイントを選択し、[追加] をクリックします。
  3. エンドポイントは、ルール分析ナビゲーション ツリーに表示されます。追加すると、ルール分析でエンドポイントを分析できます。
  4. エンドポイントを削除するには、エンドポイントをハイライトし、[ルール分析] リボンの [エンドポイントの削除] をクリックします。

ログの開始と停止

  1. ナビゲーション ツリーで、エンドポイントを選択します。
  2. [ルール分析] リボンで、[ログの開始] を選択します。

  3. エンドポイントで問題を再作成した後など、必要なときに、[ルール分析] リボンで [ログの停止] を選択します。

    [ファイル] ダイアログが表示されます。

  4. ログ ファイルの名前を入力し、[OK] をクリックします。
  5. ナビゲーション ツリーに XML ファイルが表示されます。

ルール分析ファイルが大きくなる可能性があるため、問題が明確であり、調査が必要なときにのみ使用してください。

ログ ファイルを作成した後、エクスポートまたは削除するには、ファイルを選択し、ルール分析リボンで [エクスポート] または [削除] ボタンを使用します。

XML 形式でログ ファイルをインポートする場合にも、エンドポイントを選択して、[ルール分析] リボンで [インポート] をクリックします。

ログ ファイル

特定のコンピュータのすべてのログ ファイルはログ中にローカル コンピュータに保存され、一時的に次の場所に保存されます。

 C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\RulesAnalyzerLog.xml.

特定のエンドポイントでログが停止すると、ログ ファイルが閉じ、ルール分析を実行しているコンピュータに転送され、そこで問題があるエンドポイントのキャッシュに保存されます。キャッシュは次の場所にあります。

C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\

ファイルの命名規則は ComputerName^enteredname です。
例:
C:\Documents および Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\APPUKTECHPUBS2^Regedit.xml

コンピュータ名は、ユーザ インターフェイスに入力されたエンドポイントの名前です。このため、IP アドレスである場合は、 IPAddress^enteredname.xml として保存されます。

入力された名前は、ルール分析で XML ファイルに付けられる名前です。

ルール分析コンソールには、さまざまな方法で実行要求に関する情報が表示され、簡単に詳細を確認できます。

ナビゲーション ツリーでログ ファイル ノードを選択すると、[エンドポイント概要] ページが表示されます。

Application Control (2020.3以降) には、上書きおよび名前変更要求を追加または除外するチェックボックスが導入されました。

多くの場合、これらの要求は Windows 内部のバックグラウンド アクティビティによって自動的に生成されます。

この概要には、Application Control によって処理された要求の数が示されます。表の最上位の行は、すべてのユーザの要求の合計数を示します。残りの行は、各ユーザの要求数を示します。[合計] 列は、許可と拒否の要求の合計数を示します。[許可/拒否] 列は、許可または拒否された要求の数を示します。

[合計] リンクをクリックすると、[ログ ファイルの内容要求] リストが表示されます。

XML 形式でログ ファイルをエクスポートするには、[ルール分析] リボンで [エクスポート] を選択します。

概要ページで [処理時間別に要求を表示する] を選択すると、[要求リスト] ページが表示され、要求の実行に最も時間がかかった要求から順に表示されます。

概要ページの [合計] リンクをクリックすると、[要求リスト] ページに Application Control 要求の一覧が表示されます。

要求は、Application Control によって処理された順序で一覧表示されます。

要求ごとに要求タイプ (v.2020.3以降) が示されます。また、許可された要求には緑のチェックマーク、拒否された要求には赤の十字が表示されます。

要求リンクをクリックすると、ログ ファイルの内容要求詳細が表示されます。

[要求リスト] ページで要求をクリックすると、[要求詳細] ページに特定の要求の詳細が表示されます。

[要求詳細] ページには、要求の処理で、Application Control によって適用される各ルールが表示されます。ルールは適用される順に一覧表示されます。リストの最後のルールは、最終結果の許可または拒否を決定します。ルール情報にはリンクが含まれます。ルール情報に含まれているリンクを選択すると、ポップアップ メッセージが表示され、ルール項目の説明が示されます。

ページの上部にある [戻る] リンクを使用すると、前のページに移動します。[概要] リンクは、概要ページに戻ります。コンソール ツールバーの [戻る] ボタンは、ナビゲーション ツリーの操作用です。

ルール分析タスク

一般的なルール分析タスク

  • ログ ファイルの分析 - ログ ファイルを分析するには、ログ ファイル ノードを選択します。分析作業領域に表示される最初のページは、概要ページです。次のリンクで、分析パネル内を移動します。ページの上部の [戻る] リンクを使用すると、前のページに戻ります。
  • 特定のユーザの要求を表示 - 特定のユーザの要求を表示するには、概要ページの表でリンクのいずれかをクリックします。[合計] 列をクリックし、ユーザのすべての要求を表示できます。[許可] 列または [拒否] 列をクリックすると、許可または拒否された要求のみを表示します。
  • 時間がかかる要求を検索する - 時間がかかる要求を検索するには、[概要ページに処理時間別に要求を表示する] をクリックします。最も長く実行されている要求から順に、要求が並べ替られて表示されます。示される処理時間は、Ivanti Application Control エージェントが要求を処理するのにかかった経過時間です。