イベントのタグ付け

Vulnerability ProtectionDeep Securityでは、イベントを特定したりソートしたりするときに使用するタグを作成できます。たとえば、タグを使用して、安全なイベントと調査の必要があるイベントを区別できます。また、ダッシュボードのカスタマイズやレポートの作成にも使用できます。

イベントのタグ付けはさまざまな目的に使用できますが、本来の目的はイベント管理の負担を軽減することです。あるイベントを分析して安全であると判断した場合は、コンピュータ (および構成やタスクが類似しているその他のコンピュータ) のイベントログを調べて、類似イベントを検索し、同じラベルを適用できます。こうすると、各イベントを個別に分析する必要がなくなります。

タグによってイベント自体のデータが変更されることや、ユーザにイベントの削除が許可されることはありません。タグはManagerによって指定される追加属性にすぎません。

タグ付けの方法は次のとおりです。

標準のタグ付けと信頼済みのソースを使用したタグ付けには重要な違いがあります。[今すぐ既存のイベントに実行] を実行できるのは、標準のタグ付けのみです。

手動によるタグ付け

イベントに手動でタグを付けるには

  1. [イベント] リストで、イベントを右クリック (または複数のイベントを選択して右クリック) し、[タグを追加] をクリックします。
  2. タグの名前を入力します (Vulnerability ProtectionDeep Security Managerによって、入力された名前に一致する既存のタグの候補が表示されます)。
  3. [選択された [イベントの種類] イベント] を選択します。[次へ] をクリックします。
  4. 必要に応じてコメントを記入し、[完了] をクリックします。

[イベント] リストで、イベントにタグが付けられたことを確認できます。

自動タグ付け

Vulnerability ProtectionDeep Security Managerでは、類似イベントに同じタグを自動的に適用するルールを定義できます。保存済みの既存の自動タグ付けルールを表示するには、任意の [イベント] 画面で、メニューバーの [自動タグ付け] を選択します。この画面から、保存済みのルールを手動で実行できます。

自動タグ付けルールを作成するには

  1. [イベント] リストで、ベースにするイベントを右クリックし、[タグを追加] をクリックします。
  2. タグの名前を入力します (Vulnerability ProtectionDeep Security Managerによって、入力された名前に一致する既存のタグの候補が表示されます)。
  3. [選択されたものと類似の [イベントの種類] イベントに適用] を選択し、[次へ] をクリックします。
  4. イベントの自動タグ付けを行うコンピュータを選択し、[次へ] をクリックします。
  5. イベントの類似性を判定する基準となる属性を選択します。属性オプションは [イベント] リスト画面の列に表示される情報 (「送信元IP」、「理由」、「重要度」など) とほとんど同じです。イベントの選択処理に含めるための属性を選択したら、[次へ] をクリックします。
  6. 次の画面で、イベントにタグを付けるタイミングを指定します。[既存の [イベントの種類] イベント] を選択した場合は、自動タグ付けルールをすぐに適用するか、優先度を下げてバックグラウンドで実行するかを選択できます。今後発生するイベントに自動タグ付けルールを適用するには、[今後の [イベントの種類] イベント] を選択します。自動タグ付けルールを保存することもできます。[イベント] 画面で、メニューバーの [自動タグ付け] をクリックすると、保存したルールに後からアクセスできます。[次へ] をクリックします。
  7. 自動タグ付けルールの概要を確認し、[完了] をクリックします。

[イベント] リストで、ベースにしたイベントおよび同様のすべてのイベントにタグが付けられていることを確認できます。

イベントのタグ付けが実行されるのは、Agent/Applianceから取得されたイベントがVulnerability ProtectionDeep Security Managerのデータベースに登録された後です。

自動タグ付けルールを作成したら、[優先度] 値を割り当てることができます。将来のイベントに自動タグ付けルールを適用するように設定した場合、設定された自動タグ付けルールを受信イベントに適用する順番は、ルールの優先度によって決まります。たとえば、すべての「ユーザのログオン」イベントに「suspicious」をタグ付けする優先度が「1」のルールと、対象 (ユーザ) が自分自身であるすべての「ユーザのログオン」イベントから「suspicious」タグを削除する優先順位が「2」のルールを設定したとします。そうすると、優先度が「1」のルールが先に実行されて、すべての「ユーザのログオン」イベントに「suspicious」タグが適用されます。その後、優先度が「2」のルールが実行され、ユーザが自分自身であるすべての「ユーザのログオン」イベントから「suspicious」タグが削除されます。この結果、将来発生するすべての「ユーザのログオン」イベントのうち、ユーザが自分以外のものに「suspicious」タグが適用されます。

自動タグ付けルールに優先度を設定するには

  1. [イベント] リストで、[自動タグ付け] をクリックして、保存済みの自動タグ付けルールのリストを表示します。
  2. 自動タグ付けルールを右クリックし、[表示] をクリックします。
  3. ルールの [優先度] を選択します。

信頼済みのソースを使用したタグ付け

信頼済みのソースを使用したイベントのタグ付けは、変更監視保護モジュールによって生成されたイベントにのみ使用できます。

変更監視モジュールを使用すると、コンピュータ上のシステムコンポーネントおよび関連属性に関する変更を監視できます。「変更」には編集だけでなく、作成と削除も含まれます。変更を監視できるコンポーネントには、ファイル、ディレクトリ、グループ、インストールされたソフトウェア、待機ポート、プロセス、レジストリキーなどがあります。

分析の必要があるイベントの数を削減するには、信頼済みのソースを使用したイベントのタグ付けを指定して、許可された変更に関連するイベントが自動識別されるように設定します。

変更監視モジュールでは、類似イベントの自動タグ付けだけでなく、[信頼済みのソース] で検出されたイベントやデータの類似性に基づいてイベントにタグ付けできます。信頼済みのソースには、次のいずれかを使用できます。

  1. 信頼済みのローカルコンピュータ
  2. トレンドマイクロの[ソフトウェア安全性評価サービス]
  3. [信頼済みの共通ベースライン]。コンピュータグループから収集された、ファイルのステータスのセットです。

信頼済みのローカルコンピュータ

信頼済みのコンピュータは、安全なイベントまたは無害なイベントのみを生成することが判明している、「モデル」コンピュータとして使用されるコンピュータです。「対象」コンピュータは、不正な、または予想外の変更が発生しないか監視されているコンピュータです。自動タグ付けルールでは、対象コンピュータのイベントが調査され、これらのイベントと信頼済みのコンピュータのイベントが比較されます。一致するイベントがあった場合は、これらのイベントに自動タグ付けルールで定義されたタグが付けられます。

保護されているコンピュータのイベントと信頼済みのコンピュータのイベントを比較する、自動タグ付けルールを設定できます。たとえば、あるパッチの計画済みロールアウトを、信頼済みのコンピュータに適用するとします。パッチの適用に関連するイベントには「Patch X」のタグを付けることができます。その他のシステムで発生した類似イベントには自動でタグ付けをして許容される変更として識別し、フィルタで除外して評価が必要なイベント数を減らすことができます。

対象コンピュータのイベントと信頼済みのソースコンピュータのイベントの一致をVulnerability ProtectionDeep Securityで判別する仕組み

変更監視イベントには、状態の変化に関する情報が含まれています。つまり、イベントにはイベント前およびイベント後の情報が含まれています。イベントを比較すると、自動タグ付けエンジンによってイベント前後の状態が比較されます、2つのイベントでイベント前後の状態が同じ場合、これらのイベントは一致すると判定され、2番目のイベントにタグが適用されます。これは作成および削除イベントにも当てはまります。

信頼済みのソースを使用したイベントのタグ付けに、信頼済みのコンピュータを使用している場合は、Vulnerability ProtectionDeep Securityの変更監視ルールによって生成されたイベントにタグが付けられます。つまり、変更監視ルールを使用して対象コンピュータでイベントを生成している場合は、この変更監視ルールを信頼済みソースのコンピュータでも実行する必要があります。
信頼済みソースのコンピュータを最初に検索する必要があります。
Linuxのprelinkingのような、システムのファイルの中身を定期的に変更するユーティリティは、信頼済みのソースを使用したイベントのタグ付けと干渉することがあります。

信頼済みのローカルコンピュータに基づいてイベントにタグを付けるには

  1. 信頼済みのコンピュータで不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. イベントを自動的にタグ付けするコンピュータで、信頼済みソースのコンピュータと同じ (または部分的に同じ) 変更監視ルールを実行していることを確認します。
  3. Vulnerability ProtectionDeep Security Managerで、[イベントとレポート]→[変更監視イベント] に進み、ツールバーの [自動タグ付け] をクリックします。
  4. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  5. [信頼済みのローカルコンピュータ ] を選択して [次へ] をクリックします。
  6. リストから信頼済みのソースとして使用するコンピュータを選択し、[次へ] をクリックします。
  7. 信頼済みソースコンピュータのイベントに一致した対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
    新しいタグをテキストで入力するか、既存のタグのリストから選択します。
  8. 信頼済みソースとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  9. オプションで、ルールの名前を指定し、[完了] をクリックします。

ソフトウェア安全性評価サービス

ソフトウェア安全性評価サービスは、トレンドマイクロが保持している、信頼できる既知のファイル署名の許可リストです。このタイプの信頼済みソースのタグ付けでは、対象コンピュータにファイル関連の変更監視イベントが発生していないかが監視されます。イベントが記録された場合は、変更後のファイルの署名が、信頼できる既知のトレンドマイクロのファイル署名リストと比較されます。一致が見つかると、イベントにタグが付けられます。

トレンドマイクロのソフトウェア安全性評価サービスに基づいてイベントにタグを付けるには

  1. Vulnerability ProtectionDeep Security Managerで、[イベントとレポート]→[変更監視イベント] に進み、ツールバーの [自動タグ付け] をクリックします。
  2. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  3. ソフトウェア安全性評価サービスを選択して [次へ] をクリックします。
  4. ソフトウェア安全性評価サービスに一致した場合に対象コンピュータのイベントに割り当てるタグを、1つ以上指定します。[次へ] をクリックします。
  5. ソフトウェア安全性評価サービスとイベントを照合する対象コンピュータを指定します。[次へ] をクリックします。
  6. オプションで、ルールの名前を指定し、[完了] をクリックします。

信頼済みの共通ベースライン

信頼済みの共通ベースライン方式では、コンピュータグループ内でイベントを比較します。コンピュータグループが特定されると、グループ内のコンピュータで有効になっている変更監視ルールの監視対象のファイルおよびシステムのステータスに基づいて、共通ベースラインが生成されます。グループ内のあるコンピュータで変更監視イベントが発生した場合、変更後の署名が共通ベースラインと比較されます。ファイルの新しい署名と一致するものが共通ベースライン内にある場合、イベントにタグが付加されます。信頼済みのコンピュータ方式では変更監視イベントの前と後のステータスが比較されますが、信頼済みの共通ベースラインでは、イベント後のステータスだけが比較されます。

この方法では、共通グループ内のすべてのコンピュータが、保護されていて不正プログラムがないことを前提とします。共通ベースラインが生成される前に、グループ内のすべてのコンピュータで不正プログラム対策のフルスキャンを実行してください。
あるコンピュータに対して変更監視のベースラインが生成されると、Vulnerability ProtectionDeep Securityは、そのコンピュータが信頼済みの共通ベースライングループに含まれているかどうかを最初に確認します。信頼済みの共通ベースライングループに含まれている場合、コンピュータのベースラインデータを、グループの信頼済みの共通ベースラインに追加します。これにより、共通ベースライングループのコンピュータに変更監視ルールが適用される前に、信頼済みの共通ベースラインの自動タグ付けルールが実施されます。

信頼済みの共通ベースラインに基づいてイベントにタグを付けるには

  1. 信頼済みの共通ベースラインを構成するコンピュータグループに追加するすべてのコンピュータで、不正プログラム対策のフルスキャンを実行し、不正プログラムがないことを確認します。
  2. Vulnerability ProtectionDeep Security Managerで、[イベントとレポート]→[変更監視イベント] に進み、ツールバーの [自動タグ付け] をクリックします。
  3. [自動タグルール (変更監視イベント)] 画面で [新しい信頼済みのソース] をクリックし、タグウィザードを表示します。
  4. [信頼済みの共通ベースライン] を選択して [次へ] をクリックします。
  5. 信頼済みの共通ベースラインに一致した場合にイベントに割り当てるタグを1つ以上指定します。[次へ] をクリックします。
  6. 信頼済みの共通ベースラインの生成に使用するグループに含めるコンピュータを特定します。[次へ] をクリックします。
  7. オプションで、ルールの名前を指定し、[完了] をクリックします。