パッチと準拠ツールの使用方法と詳細

(新しいパッチ自動化ツールに関する情報をお探しですか? ここをクリックしてください)

[パッチと準拠ツール] は、他のすべての Ivanti ツールと同様に、[ツール] メニューまたはツールボックスのいずれかから起動し、開いている他のツール ウィンドウとの結合、浮動化、またはタブ表示を行うことができます。

パッチと準拠ツールを開く場合は、[ツール] > [セキュリティと準拠] > [パッチと準拠] の順にクリックします。

左側のペインには、セキュリティ タイプ定義と検出ルール グループがツリー ビューで表示されます。

右側のペインには、ツリー ビューで選択した内容に関連付けられた情報が表示されます。パッチと準拠が選択されると、レポートのダッシュボードを表示できます。他の項目が選択されると、選択したグループの定義詳細の一覧および長い項目一覧で検索を実行するための検索機能が表示されます。

[検索] ボックスでは、次の拡張文字はサポートされていません。< > ' " !

IMPORTANT: パッチと準拠権限
パッチと準拠ツールを表示するためには、Ivanti 管理者権限 (フル権限) またはパッチと準拠権限が必要です。ユーザ ロールと権限の詳細については、「ロールベース管理の概要」をご参照ください。

閉じたツールバー ボタン

[パッチと準拠ツール] ウィンドウのツールバーには次のボタンがあります。

すべてのタイプ:表示するコンテンツのタイプを選択します。Antivirus を選択すると、ダウンロードされたスキャナ検出定義のみが一覧表示されます。特定の Ivanti Antivirus ウイルス定義ファイルは一覧に表示されません。

グローバル (すべてのデバイス):表示される項目を特定の範囲に制限します。

すべての項目:カスタム フィルタに基づいて、表示された項目をフィルタリングします。カスタム フィルタの作成および使用については、「フィルタを使用した項目リストのカスタマイズ」をご参照ください。

更新のダウンロード:ダイアログボックスが開き、ダウンロードするセキュリティ コンテンツを指定することができます。プラットフォーム、言語、およびアクセスするセキュリティ コンテンツ サーバを選択できます。また、[未割り当て] グループに定義を配置するかどうか、対応するパッチを同時にダウンロードするかどうか、パッチのダウンロード場所、およびプロキシ サーバ設定も指定できます。

閉じたタスクの作成:作成するタスクのタイプを選択するドロップダウン リストが表示されます。

セキュリティ スキャン:セキュリティ スキャン タスクを作成し、スキャンがスケジュールされているタスクかポリシーかどうかを指定し、セキュリティ スキャナの表示オプション、再起動と対話動作、およびスキャン対象となるコンテンツ タイプを選択することができます。

準拠スキャン:定義されている現在のセキュリティ ポリシーを使用して、準拠グループの内容別に、特にターゲット デバイスの準拠を確認するセキュリティ スキャン タスクを作成することができます。

設定の変更:特定の設定 ID をローカルのレジストリに書き込むことにより、管理デバイスの既定の設定を変更するタスクを作成することができます。完全なデバイス エージェント構成を再配布しないで、必要な設定のみを変更する迅速かつ便利な方法として、このタスクを利用できます。

再起動:デバイスの再起動タスクを作成し、表示および対話動作を決定するスキャンおよび修復設定を選択することができます。ダイアログ ボックスの再起動ページのオプションのみがこのタスクに適用されます。

修復 :スキャンされたデバイスで検出されたセキュリティ上の弱点を修正するセキュリティ修復タスクを作成することができます。修復の設定はスケジュール タスクとして、ポリシーとして、またはその両方として行うことができます。また、修復タスクをさまざまな段階および修復フェーズに分割、スキャンおよび修復設定の選択、またはパッチのダウンロードが可能です。修復タスクを作成するには、まず 1 つ以上の修復可能なセキュリティ定義が選択されている必要がありますのでご注意ください。

履歴情報の収集:現在のスキャンおよび検出された回数を (特定日数間) 集計してレポートに使用することができます。また、同様の処理を行うスケジュール タスクの作成および構成もできます。

閉じた設定の構成:構成、変更、または更新する設定のタイプを選択するドロップダウン リストが表示されます。

エージェント設定:エージェント設定を作成、編集、コピー、および削除できます。セキュリティ スキャナの実行中に、デバイス上に再起動オプション、ユーザの操作、およびスキャンするコンテンツ タイプを表示するかどうかを決定します。

定義グループ設定:定義グループ設定を作成、編集、コピー、削除することでセキュリティ コンテンツのダウンロードを自動化できます。

アラート設定 :グローバル セキュリティ アラートを設定できます。

コア設定:スキャン結果、自動修正再試行環境設定、およびロールアップ コア構成を管理できます。

アクセス権:現在のユーザのパッチと準拠コンソール権限を表示できます。また、コンソールが「編集」および「公開編集」権限を解釈する方法を調整できます。

タグの管理:タグを作成、編集、および削除して、パッチ コンテンツを整理できます。

個別のウィンドウにダッシュボードを表示する:パッチと準拠ダッシュボードを開き、パッチ情報を示すグラフを表示して整理できます。

定義のインポート:カスタム定義を含む XML ファイルをインポートします。

定義のエクスポート:カスタム定義を XML ファイルとしてエクスポートします。

スキャン情報:最近スキャンされたデバイスや定義重要度などのカテゴリ別に、すべての管理デバイスのパッチと準拠アクティビティとステータス情報の詳細を表示できます。

非準拠コンピュータ:準拠グループのコンテンツに基づいて、あらかじめ定義されている準拠セキュリティ ポリシーによって準拠チェック スキャンが実行された結果、健全ではないか準拠していないと判断されたデバイスをリスト表示します。

更新:選択したグループの内容を更新します。

追加:ツリーで選択した内容に応じて、新しいグラフ、カスタム定義、またはタグを作成します。ツリーで選択した項目でカスタム定義を作成できる場合は、カスタム定義が追加されます。パッチと準拠が選択されると、新しいグラフが追加されます。タグが選択されると、新しいタグが作成されます。

プロパティ:選択したグラフ、グループ、または定義のプロパティが表示されます。

選択した項目の削除:選択されている項目をコア データベースから削除します。

パッチと準拠定義を消去:コア データベースから定義を削除するプラットフォームと言語を指定します。Ivanti 管理ユーザのみがこの操作を実行できます。

置換されたルールを無効にする:置換されたルールを処理する方法を選択できます。置換されたルールは、環境内の他の定義によって置き換えられるルールです。

ヘルプ:ヘルプのパッチと準拠セクションを開きます。

閉じたすべての項目 (ツリー ビューの定義)

ツリー ビューのルート オブジェクトには、脆弱性やスパイウェア、セキュリティ脅威、ブロックされたアプリケーション、カスタム定義などのすべてのセキュリティ タイプが表示されます。

すべてのタイプ オブジェクトには、次のサブグループがあります。

スキャン:(ブロックされたアプリケーションでは、このグループは「ブロックする」になります。管理デバイスでセキュリティ スキャナを実行するときに検索されるすべてのセキュリティ定義が一覧表示されます。つまり、このグループに定義が含まれている場合は、次回のスキャン操作の要素になります。 含まれていない場合は、次回のスキャンの要素になりません。

既定では、収集された定義はコンテンツの更新時に [スキャン] グループに追加されます。(重要:既定では、ブロックされたアプリケーションは [未割り当て] グループに追加されます)。

[スキャン] は、[スキャンしない] および [未割り当て] とともに、3 つのセキュリティ定義状態の 1 つです。したがって、1 つの定義は 3 種類のグループの 1 つにのみ存在可能です。定義は [スキャン]、[スキャンしない]、[未割り当て] のいずれかであり、固有のアイコン ([未割り当て] はクエスチョンマーク [?]のアイコン、[スキャンしない] は赤い X のアイコン、[スキャン] は通常の脆弱性アイコン) として認識されます。定義をあるグループから別のグループに移動すると、自動的にその状態が変わります。

[スキャン] グループに定義を移動 ([検出済み] グループを除くほかのグループから 1 つ以上の定義をドラッグ) すると、ターゲット デバイスで次回のセキュリティ スキャンの特定の性質とサイズを制御できます。

CAUTION: スキャン グループから定義を移動
スキャン グループからスキャンしないグループに定義を移動するときには、これらの定義を検出したデバイスに関する情報がコア データベースから削除されます。この情報は項目の [プロパティ] ダイアログ ボックスでも、デバイスの [セキュリティとパッチ情報] ダイアログ ボックスでも利用できなくなります。

検出:スキャンに含まれているすべてのデバイスについて、セキュリティ スキャンで検出された定義がすべて一覧表示されます。このグループのコンテンツは、ネットワーク上で実行されるすべてのせキュリティ スキャンに基づいて累積されます。正常に修正する、スキャン グループから削除しスキャンを再実行する、あるいはデータベースから影響を受けるデバイスを実際に削除する、のいずれかの方法によってのみ、このグループから定義を削除できます。

[検出] リストは、前回のスキャンで検出されたすべてのセキュリティ定義で構成されます。[スキャン済み] 列と [検出] 列は、スキャンされたデバイス数、および定義が検出されたデバイス数を示すのに便利です。定義が検出されたデバイスを確認するには、その項目を右クリックし、[影響を受けるコンピュータ] をクリックします。

また、ネットワーク表示でデバイスを右クリックし、[セキュリティとパッチ] > [セキュリティとパッチ情報] をクリックすると、デバイス固有の情報を表示できます。

定義は、[検出済み] グループから [未割り当て] または [スキャンしない] のいずれかのグループにのみ移動できます。

修正を実行するには、定義の検出ルールを有効にする以外に、それに対応するパッチ実行可能ファイルをネットワーク上のローカル パッチ リポジトリ (通常はコア サーバ) にダウンロードする必要があります。ダウンロード属性には、検出ルールに対応するパッチがダウンロードされたかどうかが表示されます。

スキャンしない:(ブロックされたアプリケーションでは、このグループは「ブロックしない」になります。)セキュリティ スキャナをデバイスで次回実行するときに検索されないすべての定義が一覧表示されます。既に説明したとおり、このグループ内の定義は、[スキャン] または [未割り当て] グループに含まれることはありません。定義をこのグループに移動すると、その定義をセキュリティ スキャンから一時的に削除できます。

未割り当て:[スキャン] グループまたは [スキャンしない] グループのどちらにも属さないすべての定義が一覧表示されます。基本的に、[未割り当て] グループは、収集された定義をスキャンするかどうかを決定するまで、それらの定義を待機させる領域です。

定義を移動するには、[未割り当て] グループから [スキャン] または [スキャンしない] のいずれかのグループに 1 つ以上の定義をドラッグします。

[更新のダウンロード] ダイアログ ボックスの [新しい定義を「未割り当て」グループに追加する] オプションを選択すると、コンテンツの更新時に新しい定義を [未割り当て] グループに自動的に追加できます。

製品別で表示:すべての定義が、特定の製品サブグループに整理され、一覧表示されます。これらのサブグループは、関連する製品カテゴリ別に定義を識別するのに役立ちます。

ベンダ別で表示:すべての定義が、特定の製品サブグループに整理され、一覧表示されます。これらのサブグループは、関連するベンダ別に定義を識別するのに役立ちます。

製品別のスキャンで定義を [スキャン] グループにコピーする場合、定義をカスタム グループにコピーする場合に、これらの製品サブグループを使用すると便利です (複数の製品グループを一度に修正する方法については下記を参照)。

定義は、製品グループから [スキャン]、[スキャンしない]、[未割り当て] のいずれかのグループにコピーしたり、ユーザ定義のカスタム グループにコピーできます。定義はプラットフォーム グループ、製品グループ、複数のカスタム グループに同時に存在できます。

閉じたグループ

グループでは、特定の定義セットに対して、処理 (対象を選択したスキャン、修復タスク、クエリなど) を実行できます。たとえば、テストされ、適用可能な状態のパッチを含む修復可能グループを設定できます。

定義は一度に複数のグループに属することができます。定義をグループに追加しても、スキャンまたはスキャンしないフォルダのステータスは変わりません。ただし、定義を移動するグループのタスクを実行できます。

グループ オブジェクトには、次の既定のサブグループがあります。

カスタム グループ:作成済みのグループとそのグループに含まれる定義が一覧表示されます。カスタム グループでは、必要に応じてセキュリティ定義を整理する方法を提供します。

カスタム グループを作成するには、[カスタム グループ] (またはサブグループ) を右クリックし、[新しいグループ] をクリックします。

定義をカスタム グループに追加するには、1 つ以上の定義を他の定義グループからドラッグします。あるいは、カスタム グループを右クリックしてから、[定義の追加] をクリックします。

定義されたグループ:Ivanti® Endpoint Security for Endpoint Manager コンテンツ サブスクリプションで指定されたあらかじめ定義された脆弱性定義グループをリスト表示します。たとえば、このグループには、Microsoft 社が特定して公開している上位 20 の脆弱性である SANS Top 20 など、業界が公開している定義が含まれる場合があります。

アラート:セキュリティ スキャナが次回実行されるときにアラート メッセージを表示する定義、およびデバイスをすべて一覧表示します。

準拠:デバイスが正常かどうかを判断するために使用する定義をすべて一覧表示します。準拠グループに含まれる定義と関連パッチ ファイルは、特殊な修正サーバにコピーされます。 この修正サーバでは、デバイスのスキャン、準拠または非準拠の判断を行うことができるほか、非準拠デバイスを修正して企業ネットワークに完全にアクセスできるようにすることも可能です。[タスクの作成] ボタンを使用して準拠スキャンを実行する場合は、このグループの定義を使用します。

閉じたタグ

タグを使用すると、定義を整理できます。定義には複数のタグを関連付けることができます。フィルタまたはクエリを作成し、タグ付けされた定義の詳細を表示できます。

処理はタグに基づいて実行されます。定義を整理し、グループに基づいて処理を実行する場合は、タグではなくグループを使用します。ロールアウト プロジェクトは定義に関連付けられたタグを編集できますが、タグ状態に基づいて処理を実行しません。

[設定の構成] > [タグの管理] をクリックしてタグを管理します。

閉じた検出ルール

脆弱性またはカスタム定義をタイプとして選択した場合にのみ、検出ルール オブジェクトがツリーに表示されます。このオブジェクトは、定義に関連付けられた検出ルールを表示します。

IMPORTANT: 検出ルールを使用するセキュリティ定義タイプ
これらのルールは、関連付けられたセキュリティ リスクを検出するために定義が確認するオペレーティング システム、アプリケーション、ファイル、レジストリの特定の条件を定義します。検出ルールを使用する定義 (コンテンツ タイプ) には、脆弱性およびカスタム定義があります。スパイウェアとブロックされたアプリケーションは検出ルールを使用しません。

[検出ルール] グループには次のサブグループがあります。

スキャン:デバイスでセキュリティ スキャンが有効になっているすべての定義を一覧表示します。パッチ コンテンツを更新すると、検出ルールが自動的にこのリストに追加されます。

スキャンしない:デバイスでセキュリティ スキャンが無効になっているすべての検出ルールが一覧表示されます。一部の定義には、複数の検出ルールがあります。検出ルールを無効にすると、確実にスキャンで使用されません。これにより、定義を再定義することなくセキュリティ スキャンを簡単に実行することができます。

製品別で表示:収集された定義のすべての検出ルール情報が、特定の製品サブグループに整理され、一覧表示されます。これらのサブグループは、関連する製品カテゴリ別に検出ルール情報を識別するのに役立ちます。

これらの製品サブグループは、グループ処理を実行する際に使用することができます。

NOTE: ダッシュボードの詳細については、ダッシュボード エディタ をご参照ください。)