アプリ コントロール

Ivanti Neurons App Control は、不正なアプリケーション実行によるマルウェアの拡散を防止するとともに、信頼できる所有権モデルとユーザ権限により、複雑な許可リストや拒否リストを必要とせずに、管理権限の必要性を低減します。
アプリ コントロールは、権限コントロールとアプリケーションコントロールを通じて、エンドポイント セキュリティに必要なゼロデイ マルウェアからの保護を提供することで、ユーザ生産性ニーズとのバランスを保ちながら IT セキュリティ要件を維持します。 企業コンプライアンス、プラットフォームの安定性と一貫性の向上、ならびに IT サポート コストとソフトウェア ライセンス管理コストの大幅な削減を実現できます。
資産を監視し、何が起きているのかを把握してから、実装するポリシー変更を決定できるように、監査のみのモードでアプリ コントロールを実行するためのオプションがあります。

信頼できる所有権についての関連動画を見る (4:39)

昇格された権限についての関連動画を見る (2:00)

アプリ コントロールの基本操作

アプリ コントールを使い始めるための最初のステップは、構成を作成することです。 作成後、その構成を Neurons エージェント ポリシーに割り当て、そのポリシーを管理対象エンドポイントに配布できます。 24時間後、アプリ コントロールはエンドポイントからデータを受信しています。 このデータが使用されて、[概要] ページのグラフに自動入力されることで、管理対象エンドポイント上でのアプリケーション アクティビティについてのインサイトを得ることができます。 このデータを使用して、構成の構築および編集を行えます。 構成ルールは、ニーズに合ったさまざまなレベルのコントロール、すなわち、信頼できる所有権、許可ルール、拒否ルール、および昇格ルールを使用して構築できます。 構成は、エンドポイントをコントロールし管理する上で必要なだけ簡素にあるいは複雑にすることができます。 構成にはセキュリティ レベル (制限なし、監査のみ、制限) を割り当てます。 セキュリティ レベルによって、ユーザ、グループ、デバイスに対して構成ルールが持つ制限のレベルが決まります。

管理者は、ルールの対象外であるため、常に制限なしとなります。 ルールは、構成ルールの定義のとおりに、標準ユーザのみに適用されます。

「信頼できる所有権」がアプリ コントール構成の既定の設定であるため、ホワイト リストや許可ルールを設定する必要なく、エンドポイントが保護されます。 信頼できる所有者によってユーザ デバイスにインストールされたものはすべて実行が許可され、ユーザによってインストールされたもの、たとえば、ダウンロードされたゲーム、悪意のある添付文書が付いた電子メール、ライセンスがないソフトウェアなどはすべてブロックされます。 「信頼できる所有権」は、アプリケーションの実行を試行したときにファイルの所有権をチェックし、所有者が信頼できる所有者のいずれとも一致しない場合は、アプリケーションの実行が拒否されます。 ファイル所有者は、ファイルの作成を担っているユーザです。たとえば、msi からのインストール、インターネットからのダウンロード、USB スティックからコピー、電子メールの添付ファイルとしての受け取りなどで、ファイルは作成されます。 アプリ コントロールは、信頼できる所有者によって所有されているファイルのみを「信頼」し、実行を許可します。

アプリ コントロールが信頼する所有者は、次のとおりです。

  • システム
  • BUILTIN/Administrators
  • %ComputerName%\Administrator
  • NT Service\TrustedInstaller

許可ルールを要求するアクセスを許可するため、ネットワーク フォルダとネットワーク共有は既定で拒否されます。

構成の作成

  1. アプリ コントロールを使い始めるには、最初に構成を作成する必要があります。[アプリ コントロール] > [構成] > [構成を作成] に移動します。
  2. 構成に [名前] を付けます。
  3. [作成] をクリックします。
    構成の詳細については、「アプリ コントロール構成」をご参照ください。
  4. 構成を、既定の [セキュリティ レベル] である [監査のみ] に設定されたままにすることを選択できます。これにより、構成を受け取るエンドポイント上の信頼できる所有権が有効になります。
    または、[セキュリティ レベル][制限] に設定し、「許可」、「拒否」、「昇格」、および「信頼できるベンダ」ルールを使用してエンドポイント上でのアプリケーションの使用をコントロールするためのルールを作成し、さらに任意で、アプリ コントロールがアプリケーションをインターセプトした場合にエンドユーザに対して表示するアプリ コントロール メッセージの設定をカスタマイズできます。 構成ルールの作成の詳細については、「構成ルール」をご参照ください。
  5. 構成が、エンドポイントに配布するためにエージェント ポリシーに割り当てることができる状態になっている場合は、[保存して公開] を選択します。これにより、構成バージョンが作成されます。 構成を下書きとして保存する場合は、[保存] を選択します。
    構成をポリシーに割り当てるには、その前に構成を公開する必要があります。

構成の配布

構成は、Neurons エージェント ポリシーを使用して配布します。 ポリシーは、Ivanti Neurons エージェントがインストールされているすべてのエンドポイントに配布できます。

  1. 構成を作成した後、構成を [保存して公開] する必要があります。 構成は [公開済み] 状態になっている必要があります。
  2. [エージェント] > [エージェント ポリシー]に移動する。
    [エージェント ポリシー] ページが表示されます。 ポリシーの詳細については、「エージェント ポリシー」をご参照ください。
  3. [ポリシーの作成] を選択するか、既存のポリシーを表から選択し、[編集] することを選択します。
  4. [機能] タブで、[アプリ コントロール] タイルを選択します。

    アプリ コントロール機能は、アプリ コントロール構成が存在する場合にのみ表示されます。

  5. アプリ コントロール機能が選択されると、[構成] ドロップダウンがアクティブになります。 ドロップダウンから、必要なアプリ コントロール構成を選択します。
  6. これで、この構成を配布できます。 配布プロセスが開始されると、構成の状態が [アクティブ] に更新されます。 配布の詳細については、「エージェント配布」をご参照ください。

アプリ コントロール データの表示

ターゲット デバイスに Neurons エージェント、ポリシー、およびアプリ コントロール構成がインストールされると、アプリ コントロールはアプリケーション アクティビティの取り込みを開始します。 このデータを、アプリ コントロールの概要 を使用してレビューすることで、ユーザとアプリケーションの振る舞いについてインサイトを得ることができます。 そこから、さらにデータを分析して、構成でルールを作成、更新して、必要に応じた方法でアプリケーションを管理、コントロールできます。