Traps™ 管理者 ガイド バージョン 3.3 連絡先情報 本社 : Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 www.paloaltonetworks.com/company/contact-us このガイドについて このガイドでは、Endpoint Security Manager(ESM) 、データベース、ESM サーバー、Traps エージェント保護 ソフトウェアから成る、Palo Alto Networks の Traps 製品を初めてインストールする方法、基本的なセットアッ プを行う方法についてご説明します。お客様の組織のエンドポイントを保護するために Traps コンポーネントを 導入する際、あるいは管理する際の流れ、前提条件、ベストプラクティスにも触れていきます。詳細は、以下の リソースを参照してください。 Palo Alto Networks の次世代セキュリティ プラットフォームのその他のコンポーネントを設定する方法につ いては、技術文書ポータルをご参照ください。https://www.paloaltonetworks.com/documentation にアクセ スするか、文書をこちらから検索できます。 ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画 (https://live.paloaltonetworks.com) サポート窓口、サポートプログラムの詳細、アカウントまたはデバイスの管理、またはサポートケースを開く (https://www.paloaltonetworks.com/support/tabs/overview.html) 最新版である Traps 3.3 のリリースノートは https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-release-notes.html でご覧いただ けます。 ドキュメントのフィードバックは、以下の宛先までご送付ください。documentation@paloaltonetworks.com Palo Alto Networks, Inc. www.paloaltonetworks.com © 2015–2016 Palo Alto Networks, Inc. Palo Alto Networks は、Palo Alto Networks の登録商標です。当社の商標のリストは、 http://www.paloaltonetworks.com/company/trademarks.html に記載されています。本書に記述されているその他の商標はすべて、 各社の商標である場合があります。 Revision Date: August 8, 2016 2 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. 目次 ............................................................................... 1 目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Traps の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Traps の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 エクスプロイトの阻止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 マルウェアの防止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Traps のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Endpoint Security Manager コンソール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Endpoint Security Manager サーバー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . データベース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エンドポイント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Traps エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 外部ロギングプラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . フォレンジックフォルダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 14 14 14 15 15 15 16 16 Traps の導入例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 スタンドアローンによる導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 スタンドアローンによる導入の際のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 スタンドアローンによる導入の際の要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 小規模の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 小規模シングルサイトの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 小規模マルチサイトの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 大規模の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 大規模シングルサイトの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Endpoint Security Manager を一つだけ使用する大規模マルチサイトの導入 . . . . . . . . . Endpoint Security Manager を複数使用する大規模マルチサイトの導入 . . . . . . . . . . . . . ローミングエージェントを有する大規模マルチサイトの導入(VPN 未使用). . . . . . . . . ローミングエージェントを有する大規模マルチサイトの導入(VPN 使用). . . . . . . . . . . 25 25 26 27 28 29 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 ESM コンソールをインストールする際の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 ESM サーバーをインストールする際の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 データベースをインストールする際の前提条件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 エンドポイントに Traps をインストールする際の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Traps インフラストラクチャのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 エンドポイントインフラストラクチャのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Endpoint Security Manager のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 3 目次 エンドポイントインフラストラクチャのインストール時の注意 . . . . . . . . . . . . . . . . . . . . . 39 ESM コンソール上でウェブサービスを有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Traps コンポーネントの SSL を有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 MS-SQL サーバーデータベースの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Endpoint Security Manager のサーバーソフトウェアをインストール . . . . . . . . . . . . . . . 45 Endpoint Security Manager のコンソールソフトウェアをインストール . . . . . . . . . . . . . 48 エンドポイントのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Traps を導入する際の注意 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Traps をインストールする際のオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 エンドポイントに Traps をインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Msiexec を使用して Traps コンポーネントをインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Traps コンポーネントのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Traps コンポーネントのアンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 正しくインストールされたことを確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 接続をエンドポイント側から確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 ESM コンソールで接続を確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 VDI 環境における Traps の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 VDI の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 仮想アプリケーションおよびデスクトップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 VDI モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 VDI インストール時の注意 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 VDI エージェントのライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 VDI デプロイ環境のベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 VDI 環境における Traps のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 マスターポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Traps の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 非永続ストレージを用いる場合の Traps の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 永続ストレージを用いる場合の Traps の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 VDI ポリシーの調整およびテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 ESM サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 複数の ESM サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 システム要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 マルチ ESM の導入環境における既知の制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 複数の ESM サーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 ESM サーバー設定の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 ESM コンソールを使用して ESM サーバーを設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 DB 構成ツールを使用して ESM サーバーを設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Traps ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Traps ライセンスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 ESM コンソールを使用して Traps ライセンスを追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 DB 構成ツールを使用して Traps ライセンスを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Traps ライセンスの解除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 ESM コンソールの管理者アクセスを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 4 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. 目次 管理ユーザー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 管理者アカウントおよび認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 ポリシーファイルのインポート・エクスポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 エンドポイントおよび Traps の保守 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Endpoint Security Manager のダッシュボードを使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 セキュリティイベントの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 セキュリティイベント ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 あるエンドポイントのセキュリティイベントの履歴を表示. . . . . . . . . . . . . . . . . . . . . . . . 100 エンドポイントの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 エンドポイントの安全状態の詳細を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 エージェントステータスの変化についての通知を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 エージェントログの詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Traps コンソールにエージェントのステータスを表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 あるエンドポイントのルールの履歴を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 セキュリティポリシーの変更を Traps コンソール上で確認 . . . . . . . . . . . . . . . . . . . . . . . . 105 エンドポイントのサービスステータスの履歴を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Health[ 安全状態 ] ページからエンドポイントを削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 エンドポイントのライセンスを安全状態ページにて解除 . . . . . . . . . . . . . . . . . . . . . . . . . . 107 ESM サーバーの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ESM サーバーの安全状態を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ESM サーバーの安全状態の詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ESM サーバーについての通知を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 ESM サーバーのログについての詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 ルールを監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 ルールの概要を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 ルールの詳細情報を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 フォレンジックデータ取得を監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 ルールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 エンドポイントポリシールールの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 ポリシールールの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 ポリシーの実施 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 一般的なルールの要素および動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 対象オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 ルールの命名または改名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 ルールの保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 保存したルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 ルールのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 すべての保護ルールの無効化 / 有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 デフォルトのポリシールールを表示 / 非表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 エクスプロイト阻止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 5 目次 プロセス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128 プロセス保護. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 プロセスのインポート / エクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 プロセスの表示、変更、削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 Traps により現在保護されているプロセスを表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 エクスプロイト阻止ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134 エクスプロイト阻止ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134 エクスプロイト阻止ルールのヒエラルキー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 エクスプロイト阻止モジュール(EPM). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 デフォルトのエクスプロイト阻止ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136 エクスプロイト阻止ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 エクスプロイト阻止ルールからエンドポイントを除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . .140 マルウェアの防止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 マルウェア防止フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144 第 1 段階:ハッシュ判定の評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 第 2 段階:制限ポリシーの評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 第 3 段階:マルウェア防止ポリシーの評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 WildFire のルールおよび設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 WildFire の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 WildFire ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150 WildFire ルールの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151 実行ファイルのためのハッシュを管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 ハッシュの表示と検索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 ハッシュのエクスポートおよびインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 WildFire レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155 WildFire の判定をオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 WildFire の決定内容を再確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157 不正確な判定を報告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158 分析用ファイルを WildFire へアップロード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158 実行ファイルの制限事項を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 制限ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 制限ルールの変数およびワイルドカード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 新規制限ルールの追加. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 グローバルホワイトリストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167 ローカルフォルダのブラックリストへの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 ネットワークフォルダのホワイトリストへの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 外部メディア制限および例外の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172 子プロセスの制限を定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173 Java の制限および例外の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 未署名の実行ファイルの制限および例外を定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176 マルウェア防止ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 マルウェア防止ルール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 スレッドインジェクション保護の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .180 スレッドインジェクション ホワイトリストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182 サスペンドガード保護の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183 サスペンドガード ホワイトリストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186 6 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. 目次 エンドポイントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Traps のアクションルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Traps のアクションルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 新しいアクションルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Traps が収集したデータの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 エンドポイント上の Traps のアンインストールまたはアップグレード. . . . . . . . . . . . . . 191 エンドポイント上の Traps ライセンスの更新または取り消し . . . . . . . . . . . . . . . . . . . . . . 192 エージェント設定ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Traps 設定ルールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 新規エージェント設定ルールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 イベントログの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Traps コンソールへのアクセスを非表示または制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 エンドポイントと ESM サーバーの通信設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 新規プロセス情報の収集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 サービス保護の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 アンインストール用パスワードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 カスタム ユーザー通知メッセージの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 フォレンジック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 フォレンジックの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 フォレンジックフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 フォレンジックデータ型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 フォレンジックルールおよび設定の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 フォレンジックルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 デフォルトのフォレンジックフォルダの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 フォレンジックルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 メモリダンプの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 フォレンジックデータ収集を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 セキュリティイベントについてのデータを取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 エージェント クエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 エージェント クエリの流れ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 エンドポイント上のファイル、フォルダやレジストリキーを検索. . . . . . . . . . . . . . . . . . 221 エージェント クエリの結果を表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Chrome で URI 収集を有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 エンドポイントに Chrome エクステンションをインストール. . . . . . . . . . . . . . . . . . . . . . 224 GPO を使用して Chrome エクステンションをインストール . . . . . . . . . . . . . . . . . . . . . . . 224 レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 イベントログの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 セキュリティイベント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 ポリシー(全般). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 ポリシー(ルール). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 ポリシー(プロセス管理). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 ポリシー(制限設定). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 ポリシー(ハッシュ制御). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 監視(エージェント). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 監視(ESM). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 設定(アドミニストレーション). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 7 目次 設定(エージェント). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235 設定(ESM). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235 設定(条件). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236 設定(ライセンス). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .236 Syslog サーバーにログを転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238 Syslog サーバーへのログ転送を有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238 DB 構成ツールを使用して Syslog サーバーへのログ転送を有効化 . . . . . . . . . . . . . . . . . .239 CEF フォーマット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242 LEEF フォーマット. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .250 Syslog フォーマット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258 メールでログを転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266 メールによるログ転送を有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266 Email フォーマット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Traps トラブルシューティングのリソース. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278 データベース(DB)構成ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279 データベース構成ツールへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279 Cytool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281 Cytool へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281 Traps により現在保護されているプロセスを表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282 エンドポイントの保護設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283 エンドポイントの Traps ドライバおよびサービスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . .289 エンドポイント上のセキュリティポリシーの表示および比較 . . . . . . . . . . . . . . . . . . . . . .293 Traps の問題のトラブルシュート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296 Traps がインストールできない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296 Traps をアップグレードまたはアンインストールできない. . . . . . . . . . . . . . . . . . . . . . . . .297 Traps が ESM サーバーに接続できない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298 Traps サーバー証明書エラーを修復できない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301 ESM コンソールの問題のトラブルシュート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .302 ESM コンソールにログインできない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .302 ESM コンソールを起動した際にサーバエラーになる . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303 すべてのエンドポイントが ESM コンソールで切断と表示される . . . . . . . . . . . . . . . . . . .304 8 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の概要 Traps™ は APT 攻撃(advanced persistent threat)やゼロデイ攻撃を防ぐソリューションです。さらに、 Traps はソフトウェアの脆弱性やバグを悪用されたりマルウェアが実行されたりする前に攻撃経路をブ ロックし、エンドポイントを保護します。 Traps 製品の詳細な説明は、以下のトピックでご確認いただけます。 Traps の概要 Traps のコンポーネント © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 9 Traps の概要 Traps の概要 Traps の概要 サイバー攻撃とは、被害を与えたり、情報を盗んだり、あるいは攻撃者のものではないコンピューター システムの制御を奪うといった目的を達成するためにネットワーク上あるいはエンドポイント上で実行 される攻撃のことです。攻撃者は、ユーザーに意図せず悪意のある実行ファイルを実行させたり、ユー ザーが知らない間にバックグラウンドで正当な実行ファイルの弱点をエクスプロイトすることで悪意の あるコードを実行し、サイバー攻撃を企てます。 これらの攻撃を阻止するひとつの方法は、実行ファイル、ダイナミックリンクライブラリ(DLL)、また はその他の悪意のある一連のコードを特定し、危険性のある各コードを既知の脅威シグネチャのリスト と照らし合わせてテストし、実行を阻止することです。この方法の弱点は、シグネチャに基づくソ リューションでは、攻撃者しか知らない新しい脅威(ゼロデイ攻撃やゼロデイエクスプロイトとして知 られてる)を特定し、既知の脅威としてリストに登録するのに時間がかかるということです。シグネ チャが更新されるまでエンドポイントの脆弱性は放置されたままとなります。 中央の Endpoint Security Manager(ESM サーバー、ESM コンソール、データベース) 、および各エンド ポイントにインストールされた Traps エージェント保護ソフトウェアから成る Traps 製品は、より効果的 なアプローチで攻撃を防ぐことができます。Traps は拡大し続ける既知の脅威のリストに遅れないように するのではなく、最初のエントリーポイント(正当な実行ファイルが、悪意に気付かないままシステムへ のアクセスを許可しようとする時点)で攻撃を防ぐ一連のロードブロック(バリケード)を設けます。 エクスプロイト阻止技術を用いて、Traps は非実行ファイルを開くプロセスが有するソフトウェアの脆弱 性に対応します。Traps はまた、マルウェア防止技術によって悪意のある実行ファイルが実行されるのを 防ぎます。この二重のアプローチを採用することで、Traps 製品は脅威が既知か未知かに関わらずすべて のタイプの攻撃を未然に防ぐことができるのです。 エンドポイントのセキュリティに関する設定項目(設定を適用するエンドポイントおよびグループ、保 護するアプリケーション、定義済みのルール、制限およびアクション)はすべて高度な設定を行えます。 そのため、どのような組織も Traps をカスタマイズすることで、日々の業務を可能な限り滞らせること なく最大のセキュリティを実現することができます。 エクスプロイトの阻止 マルウェアの防止 エクスプロイトの阻止 エクスプロイトとは、ソフトウェアアプリケーションやプロセスのバグ、脆弱性を悪用することを狙い とした一連のコマンドのことです。攻撃者にとってエクスプロイトは、システムにアクセスし、それを 意のままに操る手段となります。攻撃者がシステムの制御を掌握するには、システム内の一連の脆弱性 を利用しなければなりません。それらの脆弱性を狙ったあらゆる試みをブロックすれば、エクスプロイ トを完全に防ぐことができます。 典型的な攻撃シナリオでは、攻撃者はまずメモリ割り当てやハンドラを破壊または迂回することでシス テムを掌握しようとします。バッファオーバーフローやヒープ破壊といったメモリを破損させる手法を 用いることで、ハッカーはソフトウェアがはらむバグを顕在化させたり、プロセスの脆弱性をエクスプ ロイトすることができます。攻撃者は次に、検知を逃れつつプログラムを操作して自身のコード、ある いは指定したコードを実行しなければなりません。オペレーティングシステムへアクセス可能になった 攻撃者は、トロイの木馬(悪意のある実行ファイルを含んだマルウェアプログラム)などのマルウェア をアップロードするか、あるいはシステムを意のままに操ることができるようになります。Traps はエク スプロイトの各段階でロードブロックやトラップを張り巡らせ、こうしたエクスプロイトの試みを防止 します。 10 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の概要 Traps の概要 ユーザーが PDF や Word 文書といった非実行ファイルを開く際、そのファイルを開くプロセスが保護対 象のものであれば、Traps エージェントがシームレスにソフトウェアにコードを挿入します。これは、プ ロセスに属するあらゆるファイルがメモリにロードされる前の可能な限り早い段階で実行されます。次 に Traps エージェントは、保護中のプロセスに含まれているエクスプロイト阻止モジュール(EPM)を 起動します。EPM は特定のエクスプロイト対策に特化しており、メモリ破損またはロジックの欠陥に基 づくプログラムの脆弱性に対する攻撃を阻止するように設計されています。 EPM は、ダイナミックリンクライブラリ(DLL)ハイジャック(正当な DLL を同じ名前の悪意のあるもの に置き換える攻撃)、プログラム制御フローのハイジャック、および例外ハンドラとして悪意のあるコー ドを挿入する攻撃などを防御することができます。 こうした攻撃から自動的にプロセスを防御することに加えて、Traps はあらゆる防止イベントを Endpoint Security Manager に報告し、セキュリティポリシールールの設定に従ってさらなるアクション を実行します。Traps が実行する一般的なアクションには、フォレンジックデータの収集やイベント情報 のユーザーへの通知などがあります。Traps は、これ以上のスキャンやモニタリングは行いません。 デフォルトのエンドポイントセキュリティポリシーでも大部分の脆弱性と頻繁に用いられるアプリケー ションを保護することが可能ですが、保護するプロセスのリストにサードパーティあるいは自社製の他 のアプリケーションを追加することもできます。詳細は、「Protected[ 保護中 ]、Provisional[ 一時的保 護 ]、Unprotected[ 未保護 ] のプロセスを追加」を参照してください。 詳細は、 「エクスプロイト阻止ルールの管理」を参照してください。 マルウェアの防止 マルウェアとして知られる悪意のある実行可能ファイルは、悪意のないファイルを装ったり、そこに埋 め込まれたりすることが少なくありません。こうしたファイルは、制御機能の掌握、機密情報の収集、 あるいはシステムの正常な動作を阻害しようと試みます。 エンドポイントをマルウェアから保護する際、Traps は Malware Prevention Engine[ マルウェア防止エン ジン ] と呼ばれるセキュリティ ロードブロックの一種を使用します。マルウェア防止エンジンは以下の ような機能連携を通じて自動的にマルウェアの実行を防ぐか、それが不可能な場合は悪意のある挙動を 停止させます。 WildFire integration[WildFire インテグレーション ]— 未知のマルウェアの自動検知を有効にし、組織 に危険が及ぶ前に速やかに脅威を取り除きます。 Malware protection modules[ マルウェア防止モジュール ]— 特定のマルウェアの挙動に対応し、リ モートスレッドの生成をブロックします。 Policy-based restrictions[ ポリシーに基づく制限 ]— 特定のローカルフォルダ、ネットワークフォル ダ、外部メディアからファイルが実行されるのをブロックしたり、子プロセスをブロックあるいは制 限したり、ブラウザ上で開始される Java プロセスをブロックあるいはホワイトリストに登録したり、 未署名のプロセスが実行されるのをブロックしたりできます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 11 Traps の概要 Traps の概要 セキュリティイベントが発生した祭、Traps はさらにフォレンジックデータを収集し、イベントについて ユーザーに通知を行います。 詳細は、マルウェア防止フローをご参照ください。 12 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の概要 Traps のコンポーネント Traps のコンポーネント Traps ソリューションの中心的な要素は、ESM サーバー、ESM コンソール、データベースから成る Endpoint Security Manager(ESM)、および Traps エージェント保護ソフトウェアです。お客様の組織の 各エンドポイントにインストールされた Traps エージェントは、各コンポーネントが協力しあうことに より、セキュリティポリシーの各ルールを管理したり、そのセキュリティポリシーをエンドポイントに 配布したり、エンドポイントにポリシーを適用したりします。Traps の各コンポーネント、および各コン ポーネント同士の関係性や他のセキュリティ関連コンポーネントとの関係性を、次の図で示しています。 Traps やその他のコンポーネントの詳細な説明は、以下のトピックでご確認いただけます。 Endpoint Security Manager コンソール Endpoint Security Manager サーバー データベース エンドポイント Traps エージェント 外部ロギングプラットフォーム WildFire フォレンジックフォルダ © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 13 Traps のコンポーネント Traps の概要 Endpoint Security Manager コンソール Endpoint Security Manager(ESM)コンソールは、ブラウザを介してセキュリティイベントを管理した り、エンドポイントの安全状態を監視したり、ポリシールールを設定したりするのに使用する Web イン ターフェースです。この ESM コンソールは、ESM サーバーと同じサーバー、あるいは別のサーバー、 クラウドサーバーのいずれに対してもインストール可能です。また、ESM コンソールは ESM サーバー から独立してデータベースと通信します。 ESM コンソールのハードウェアおよびソフトウェアに関する要件については、ESM コンソールをインス トールする際の前提条件をご参照ください。 Endpoint Security Manager サーバー Endpoint Security Manager(ESM)サーバーは、Traps エージェントを含む ESM コンポーネント、および WildFire 間で情報をやり取りする接続サーバーとして機能します。各 ESM サーバーは最大 10,000 の Traps エージェントをサポートしています。ESM サーバーは定期的にデータベースからセキュリティポリシー を取得し、それをすべての Traps エージェントに配布します。さらに各 Traps エージェントが中継とし て機能し、セキュリティイベントについての情報を ESM サーバーに送り返します。Traps エージェント が ESM サーバーに送信するメッセージの種類は以下の表のとおりです。 メッセージタイプ 説明 Traps ステータス Traps エージェントは定期的に、自身が稼働中かどうかを伝えるメッセージを ESM サー バーに送信するとともに、最新のセキュリティポリシーをリクエストします。Endpoint Security ManagerのNotifications [通知]ページおよびHealth [安全状態]ページには、 各 エンドポイントのステータスが表示されます。ハートビート送信間隔 ( メッセージの送 信間隔 ) は設定可能です。 通知 Traps エージェントはサービスの開始や停止などエージェントの変化に関する通知メッ セージを ESM サーバーに送信します。サーバーはデータベースにこの通知のログを残 すため、ESM コンソールで通知を確認することができます。 更新 エンドユーザーが Traps コンソールで Check-in now[ 今すぐチェックイン ] をクリッ クすると、ポリシーを即座に更新するようリクエストすることができます。この操作 により、Traps エージェントはハートビート期間が終了するまで待つことなく、ESM サーバーから最新のセキュリティポリシーを要求します。 防止レポート Traps エージェントがインストールされたエンドポイント上で防止イベントが起こった 際、Traps エージェントはそのイベント関連のすべての情報を ESM サーバーへリアル タイムで報告します。 データベース データベースは管理情報、セキュリティポリシールール、エンドポイントの履歴、およびセキュリティイ ベントに関するその他の情報を保存しています。データベースは MS-SQL プラットフォーム上で管理され ます。各データベースにはライセンスが必要であり、複数の ESM サーバーと通信することができます。 データベースはスタンドアローン環境のように ESM コンソールおよび ESM サーバーと同一のサーバーに インストールされる場合もあれば、専用のサーバーにインストールされる場合もあります。ハードウェア およびソフトウェア要件についての詳細は、データベースをインストールする際の前提条件を参照してく ださい。 14 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の概要 Traps のコンポーネント 評価を行う際は、SQL Server Standard や SQL Server Enterprise に簡単にデータベースを移行 できるよう、SQL Server Express を使用することをお勧めいたします。SQLite もサポート対 象ですが、SQL Server への移行パスは提供されません。 エンドポイント エンドポイントとは、Traps というクライアントサイドの防御アプリケーションを実行する Windows ベースのコンピューター、サーバー、仮想マシン、またはモバイルデバイスのことです。前提条件につ いては、エンドポイントに Traps をインストールする際の前提条件をご参照ください。 Traps エージェント Traps エージェント保護ソフトウェアは、Endpoint Security Manager で定義されているお客様の組織のセ キュリティポリシーを適用することで、エンドポイントを保護します。Traps の設定により、ソフトウェ アの脆弱性やバグを悪用する試みを防止し、悪意のある実行ファイルがエンドポイント上で実行される のを防ぐことができます。 エンドポイントでセキュリティイベントが発生すると、Traps はそのイベントに関するフォレンジック情 報を収集します。さらに任意の設定を行うことで、イベントに関する情報をユーザーに通知したり、カ スタマイズした通知メッセージを表示することも可能になっています。Traps は定期的にエンドポイント のステータスを確認し、あらゆるセキュリティイベントに関するデータを Endpoint Security Manager に 転送します。 Traps コンソールはプロセス、イベントの履歴、現在のセキュリティポリシーの各ルールについての情報 を表示するユーザーインターフェイスであり、基本的にはエンドポイントの通知領域からアクセスでき るようになっています。通常、ユーザーが Traps コンソールを起動する必要はありませんが、ここで利 用できる情報はセキュリティ関連のイベントを分析する際に役立ちます。必要に応じてコンソールを起 動するアイコンを非表示にすることもできますし、ユーザーがエンドポイントからコンソールを起動す ること自体を完全に防ぐこともできます。 外部ロギングプラットフォーム セキュリティ関連情報およびイベント管理(SIEM:security information and event management) 、サー ビスオーガナイゼーション コントロール(SOC:Service Organization Control)、あるいは syslog デバ イスなどの外部ロギングプラットフォームを使用することで、すべての ESM サーバーから収集・集約さ れたログを確認することができます。設定により有効化すると、ESM コンソールはログを内部に保存す るだけでなく、ログを外部ロギングプラットフォームにも転送します。 syslog サーバーを Splunk のようなサードパーティ製モニタリングツールと統合してログデータを分析する こともできます。Palo Alto Networks の Splunk アプリケーションは、https://apps.splunk.com/app/491/ からダウンロードできます。 外部ロギングプラットフォームを追加する方法については、Syslog サーバーにログを転送をご参照くだ さい。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 15 Traps のコンポーネント Traps の概要 WildFire Traps エージェントは、あらゆる悪意のあるコードがエンドポイントで実行される前に攻撃をブロックす るように設計されています。このアプローチによりデータおよびインフラストラクチャの安全性が保障 される一方で、フォレンジックデータの収集は防止の瞬間にのみ可能となりますので、攻撃の目的を完 全に明らかにしたり、全体の攻撃フローを把握することができません。 クラウド型のマルウェア分析環境である WildFire サービスをオプションで利用することにより、未知の 脅威を既知の防御可能なものにすることができます。WildFire インテグレーションを有効化することで、 Endpoint Security Manager があらゆる未知の実行ファイルを WildFire に送信し、WildFire が必要に応じて 分析を行って判定を返す機能を利用できるようになります。WildFire がその実行ファイルを有害である と判断した場合、Traps エージェントはそのファイルの実行を阻止し、このイベントについて Endpoint Security Manager に報告を行います。 WildFire で新しいマルウェアが検出されると、1 時間以内に新しいシグネチャが生成されます。 WildFireサブスクリプションが組み込まれたPalo Alto Networksの次世代型ファイアウォールが数分以内 に新しいシグネチャを受信できる一方で、脅威防御サブスクリプションのみが組み込まれたファイア ウォールの場合、次のアンチウイルスシグネチャの更新の際(24 ~ 48 時間以内)まで新しいシグネ チャを受信できません。 WildFire インテグレーションが ESM コンソールで有効になっている場合、Traps コンソールの Status[ ス が表示されます。 テータス ] ページで、Forensic Data Collection[ フォレンジックデータ収集 ] の隣に WildFire が有効になっていない場合、Traps コンソールで Forensic Data Collection[ フォレンジックデータ収 集 ] の隣に が表示されます。 詳細は、「WildFire の有効化」および「マルウェア防止フロー」を参照してください。 フォレンジックフォルダ Traps がファイルの実行やエクスプロイト攻撃などのセキュリティに関連するイベントに遭遇した場合、 エンドポイントでのイベントに関する詳細なフォレンジック情報をリアルタイムで記録します。この フォレンジックデータには、メモリダンプ、およびイベントに関連するその他の情報が含まれています。 エンドポイントからデータを収集するアクションルールを作成することで、フォレンジックデータを取 得することができます。エンドポイントがアクションルールなどのセキュリティポリシーを受け取ると、 Traps エージェントはすべてのフォレンジック情報をフォレンジックフォルダ(隔離フォルダ)に送信し ます。 16 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の概要 Traps のコンポーネント 初回インストール時に、エンドポイントから取得したフォレンジックデータを保存するために Endpoint Security Manager が用いるフォレンジックフォルダのパスを指定します。Endpoint Security Manager は 複数のフォレンジックフォルダをサポートしており、インストール時に当該フォルダのバックグラウン ド インテリジェントトランスファーサービス(BITS)を有効化します。インストール時に指定したフォ レンジックフォルダが見つからない場合、Traps はデフォルトで ESM コンソールで指定されたフォレン ジックフォルダを使用します。このフォルダは、ESM コンソールを使用していつでも変更することがで きます。 詳細は、 「フォレンジックフロー」を参照してください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 17 Traps のコンポーネント 18 • Traps 3.3 管理者ガイド Traps の概要 © Palo Alto Networks, Inc. Traps の導入例 Traps 製品は幅広い環境に導入できるようになっています。次の各トピックでは、エージェントおよびサ イトの数に応じた典型的な導入例をご紹介します。 スタンドアローンによる導入 小規模の導入 大規模の導入 インストールにかかる前提条件や考慮すべき事項については、前提条件をご参照ください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 19 スタンドアローンによる導入 Traps の導入例 スタンドアローンによる導入 スタンドアローンによる導入の際のコンポーネント スタンドアローンによる導入の際の要件 スタンドアローンによる導入の際のコンポーネント 初回の概念実証(POC)の際、あるいは Traps エージェントの数が 250 未満の小規模サイトの場合、ス タンドアローンによる導入を行い、次の Endpoint Security Manager(ESM)コンポーネントを単一の サーバーあるいは仮想マシンにインストールします。 ESM サーバー ESM コンソール フォレンジック(検疫)フォルダ データベース (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 エンドポイントに Traps をインストールする際の段階的なアプローチに関するベストプラクティスにつ いては、Traps を導入する際の注意をご参照ください。 20 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の導入例 スタンドアローンによる導入 スタンドアローンによる導入の際の要件 スタンドアローンのサーバーにかかる要件を次の表に示しています。 要件 値 プロセッサ Pentium 4 以上 メモリ 2GB RAM ディスク領域 100MB データベースの種類 SQLite(POC のみ)、MS-SQL Traps の要件については、エンドポイントに Traps をインストールする際の前提条件をご参照ください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 21 Traps の導入例 小規模の導入 小規模の導入 小規模シングルサイトの導入 小規模マルチサイトの導入 小規模シングルサイトの導入 シングルサイト環境で最大 10,000 の Traps エージェントをサポートするこの導入例は、次のコンポーネ ントで構成されています。 専用のデータベースサーバー x1 セキュリティーポリシーおよび Traps エージェントの管理を行う ESM コンソール x1 データベースサーバーおよび ESM コンソールと同一のネットワーク領域にある ESM サーバー x2(一 つはプライマリサーバー、もう一つはバックアップ) すべてのエンドポイントが利用可能なフォレンジックフォルダ x1(セキュリティ関連イベントにつ いての詳細かつリアルタイムな分析データを保存) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 22 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の導入例 小規模の導入 この導入例では、データベース、およびローカルポリシーとエンドポイントを管理する ESM コンソー ル、冗長化された ESM サーバーがシングルサイトに含まれています。プライマリ ESM サーバーにアク セスできない状況下では、Traps エージェントがバックアップサーバーを利用して Endpoint Security Manager に接続します。両方のサーバーがデータベースからセキュリティポリシーを取得し、エージェ ントに伝えます。 小規模マルチサイトの導入 マルチサイト環境で最大 20,000(各 ESM サーバーあたり 10,000)の Traps エージェントをサポートす るこの導入例は、次のコンポーネントで構成されています。 専用のデータベースサーバー x1(いずれかのサイトに配置) データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理を行う ESM コンソール x1 ESM サーバー(各サイトに x1、あるいは冗長化のために x2) すべてのエンドポイントが利用可能なフォレンジックフォルダ x1(セキュリティ関連イベントにつ いての詳細かつリアルタイムな分析データを保存) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 23 小規模の導入 Traps の導入例 この導入例では、ESM サーバー、データベース、およびローカルポリシーとエンドポイントを管理する ESM コンソールがサイト A に含まれています。サイト B には、最大 10,000 のエージェント(合計で 20,000 の Traps エージェント)を追加できるセカンダリ ESM サーバーが含まれています。両方のサーバーがサ イト A にあるデータベースからセキュリティポリシーを取得し、エージェントに伝えます。エージェン トは同一サイト内にあるプライマリ ESM サーバーに接続します。他のサイト内にある ESM サーバーは バックアップ用のセカンダリサーバーとして機能します。 24 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の導入例 大規模の導入 大規模の導入 大規模シングルサイトの導入 Endpoint Security Manager を一つだけ使用する大規模マルチサイトの導入 Endpoint Security Manager を複数使用する大規模マルチサイトの導入 ローミングエージェントを有する大規模マルチサイトの導入(VPN 未使用) ローミングエージェントを有する大規模マルチサイトの導入(VPN 使用) 大規模シングルサイトの導入 シングルサイト環境で最大 40,000(各 ESM サーバーあたり 10,000)の Traps エージェントをサポート するこの導入例は、次のコンポーネントで構成されています。 専用のデータベースサーバー x1 データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理を行う ESM コンソール x1 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 25 大規模の導入 Traps の導入例 Traps エージェント x10,000 につき ESM サーバー x1 (例:Traps エージェントを 35,000 使用する場合、 ESM サーバーは 4 つ必要) セキュリティ関連イベントについての詳細かつリアルタイムな分析データを保存する、すべてのエン ドポイントが利用可能なフォレンジックフォルダ(ESM サーバー 1 つにつき x1) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 この例では、Endpoint Security Manager に接続可能な Traps エージェントの数は最大 40,000 になって います。また、この例ではエンドポイントを適切なロードバランサーを介して 4 つの ESM サーバーに接 続しなければなりません。専用の ESM コンソールで管理可能な中央データベースに各 ESM サーバーを 接続します。 Endpoint Security Manager を一つだけ使用する大規模マルチサイトの導入 この導入例は、次のコンポーネントで構成されるマルチサイト環境で最大 40,000(各 ESM サーバーあ たり 10,000)の Traps エージェントをサポートできます。 専用のデータベースサーバー x1 データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理を行う ESM コンソール x1 Traps エージェント x10,000 につき ESM サーバー x1 (例:Traps エージェントを 25,000 使用する場合、 ESM サーバーは 3 つ必要) セキュリティ関連イベントについての詳細かつリアルタイムな分析データを保存する、すべてのエン ドポイントが利用可能なフォレンジックフォルダ(ESM サーバー 1 つにつき x1) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 26 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の導入例 大規模の導入 この例では、サイト A、B、C、D のそれぞれが最大 10,000 の Traps エージェントをサポートしていな ければなりません。この場合、サイト A にあるデータベースからセキュリティポリシーを取得する ESM サーバーがサイトごとに必要になります。エージェントは、ローカルの ESM サーバーをプライマリサー バーとして、他のサイトの ESM サーバーをセカンダリサーバーとして利用し、Endpoint Security Manager に接続します。 Endpoint Security Manager を複数使用する大規模マルチサイトの導入 この導入例は、次のコンポーネントで構成されるマルチサイト環境で最大 40,000(各 ESM サーバーあ たり 10,000)の Traps エージェントをサポートできます。 サイトごとに Endpoint Security Manager x1: – 専用のデータベース x1(ライセンス有) – データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理を 行う ESM コンソール x1 – 各サイトについて、Traps エージェント x10,000 につき ESM サーバー x1 セキュリティ関連イベントについての詳細かつリアルタイムな分析データを保存する、すべてのエン ドポイントが利用可能なフォレンジックフォルダ(ESM サーバー 1 つにつき x1) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 この例では、サイト A、B、C、D のそれぞれが最大 10,000 の Traps エージェントをサポートしていな ければなりません。さらにこの例では、ESM サーバー、データベース、ESM コンソールから成るローカ ルの Endpoint Security Manager を各サイトが使用し、他のサイトから独立した状態で個々にセキュリ © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 27 Traps の導入例 大規模の導入 ティポリシーを管理する必要があります。エージェントは、ローカルの ESM サーバーをプライマリサー バーとして、他のサイトの ESM サーバーをセカンダリサーバーとして利用し、Endpoint Security Manager に接続します。 データベースのコリジョンが生じる可能性があるため、フルクラスタのデータベース製品を使 用することはお勧めできません。そのようなデータベースをすでに利用している場合は、デー タベースクラスタへのアクセスに単一の仮想 IP(VIP)アドレスを使用するよう Traps エー ジェントを構成します。 ローミングエージェントを有する大規模マルチサイトの導入(VPN 未使用) マルチサイト環境で最大 40,000(各 ESM サーバーあたり 10,000)の Traps エージェントをサポートす るこの導入例は、次のコンポーネントで構成されています。 専用のデータベースサーバー x1 データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理を行う ESM コンソール x1 各サイトについて、Traps エージェント x10,000 につき ESM サーバー x1 Traps ローミングエージェントからの接続を許可する、パブリックな DNS レコードを有する ESM サー バー x1(次の 2 つの構成のうちいずれか) 28 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の導入例 – – 大規模の導入 外部ネットワークからの接続を許可するようポートを構成 内部データベースサーバーと接続する DMZ 内にインストール このサーバーは、バックアップ用のセカンダリサーバーとしても機能します。 セキュリティ関連イベントについての詳細かつリアルタイムな分析データを保存する、すべてのエン ドポイントが利用可能なフォレンジックフォルダ(ESM サーバー 1 つにつき x1) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 この例では、サイト A、B、C のそれぞれが最大 10,000 の Traps エージェントをサポートしていなけれ ばならず、さらに追加で 10,000 の Traps ローミングエージェントが必要になります。この導入例では、 サイト A にあるデータベースからセキュリティポリシーを取得する ESM サーバーがサイトごとに必要に なります。内部のエンドポイントは、ローカルの ESM サーバーを利用して Endpoint Security Manager に接続します。外部のエンドポイントは、DMZ 内にあるパブリックな ESM サーバー、あるいは外部 ネットワークと接続できるよう構成されたポートを介して接続します。エンドポイントがローミング中 で ESM サーバーに接続できない場合は、エージェントがフォレンジックフォルダへの接続を確立できる よう、Traps が防御データをローカルで収集します。 ローミングエージェントを有する大規模マルチサイトの導入(VPN 使用) この導入例では、ローカルサイト同士の接続、あるいは VPN トンネルを利用して外部からの接続が可能 な最大 40,000(ESM サーバーごとに 10,000)の Traps エージェントをサポート可能です。このマルチ サイト環境は、次のコンポーネントで構成されています。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 29 大規模の導入 Traps の導入例 専用のデータベースサーバー x1 データベースと同一の場所にあり、セキュリティーポリシーおよび Traps エージェントの管理を行う ESM コンソール x1 各サイトについて、Traps エージェント x10,000 につき ESM サーバー x1 ローミングユーザーに内部 IP アドレスを付与して ESM サーバーにアクセスできるようにする、 GlobalProtect あるいは VPN 接続 x1 セキュリティ関連イベントについての詳細かつリアルタイムな分析データを保存する、すべてのエン ドポイントが利用可能なフォレンジックフォルダ(ESM サーバー 1 つにつき x1) (任意)複数の ESM サーバーにトラフィックを分散させるロードバランサー (任意)SIEM あるいは syslog といった外部ロギング プラットフォーム (任意)WildFire の統合 この例では、サイト A、B、C、D のそれぞれに最大 10,000 の Traps エージェントが必要であり、さら にそのエージェントのうちいくつかはサイト外になければなりません。この導入例では、サイト A にあ るデータベースからセキュリティポリシーを取得する ESM サーバーがサイトごとに必要になります。内 部のエンドポイントは、ローカルの ESM サーバーを利用して Endpoint Security Manager に接続します。 外部のエンドポイントは、VPN トンネルを介することで内部 IP アドレスを付与され、接続可能な状態に なります。エンドポイントがローミング中で VPN を介して接続できない場合は、エージェントがフォレ ンジックフォルダへの接続を確立できるよう、Traps が防御データをローカルで収集します。 30 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. 前提条件 ここでは、Traps インフラストラクチャをインストールする際の前提条件について説明します。 ESM コンソールをインストールする際の前提条件 ESM サーバーをインストールする際の前提条件 データベースをインストールする際の前提条件 エンドポイントに Traps をインストールする際の前提条件 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 31 ESM コンソールをインストールする際の前提条件 前提条件 ESM コンソールをインストールする際の前提条件 ESM コンソール 3.3 ソフトウェアをインストールする前に、サーバーが以下の前提条件を満たしているこ とをご確認ください。 ESM サーバーと ESM コンソールが同じバージョンであること 4-Core Intel Xeon E5-2660 V2 2.2GHz プロセッサ以上を使用していること 3GB のディスクスペース、さらに追加でフォレンジックフォルダ用のディスクスペースがあること 8GB RAM Windows Server(物理サーバーあるいは仮想サーバー)以下のうちいずれかを使用します。 – – – Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 ASP.NET および Static Content Compressions のコンポーネントを使用できる Internet Information Services(IIS)7.0 以上 .NET Framework 4.5.1 フルインストレーション 信頼できる認証局(CA)から得た、サーバー証明書およびクライアント証明書をあわせた SSL 証明書 (推奨) クライアントからサーバーへの通信が許可されている TCP ポート(デフォルトではポート 2125) BITS が有効化されているフォレンジックフォルダ HTTP ポート(80)および HTTPS ポート(443)を介してクライアントと隔離フォルダが通信を行う ことを許可 以下のいずれかのブラウザ: – – – – Internet Explorer 10 以降のバージョン Chrome 30 以降のバージョン Firefox 35 以降のバージョン Opera 25 以降のバージョン 32 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. 前提条件 ESM サーバーをインストールする際の前提条件 ESM サーバーをインストールする際の前提条件 各 ESM サーバーは最大 10,000 の Traps エージェントをサポートしています。 ESM サーバー 3.3 ソフトウェアをインストールする前に、サーバーが以下の前提条件を満たしていること をご確認ください。 ESM サーバーと ESM コンソールが同じバージョンであること 8-Core Intel Xeon E5-2660 V2 2.2GHz プロセッサ以上を使用していること (ESM サーバー 3.3.0)2GB のディスクスペース、 (ESM サーバー 3.3.1 以降のリリース)3GB のディス クスペース 8GB RAM 英語バージョンの物理 / 仮想 Windows Server 以下のうちいずれかを使用します。 – – – Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 .NET Framework 4.5.1 フルインストレーション 信頼できる認証局(CA)から得た、サーバー証明書およびクライアント証明書をあわせた SSL 証明書 (推奨) クライアントからサーバーへの通信が許可されている TCP ポート(デフォルトではポート 2125) ASP.NET および Static Content Compressions のコンポーネントを使用できる Internet Information Services(IIS)7.0 以上 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 33 データベースをインストールする際の前提条件 前提条件 データベースをインストールする際の前提条件 サーバーサイドのアプリケーションには SQL データベース(ESM コンソールあるいは ESM サーバーと 同じサーバーにインストールしたローカルのデータベース、あるいは他のマシンにインストールした外 部データベース)が必要になります。ESM サーバーを複数導入しようとしている場合、データベースを ESM コンソールにインストールするか、外部データベースを使用します。 既存のデータベースを統合する必要がある場合は、Palo Alto Networks のサポートチームまで お問い合わせください。 次の前提条件を満たすデータベースサーバーをご用意ください。 データベース アプリケーション以下のうちいずれかを使用します。 – – – – SQLite 3.7.14(評価時のみ)SQLite を使用する場合、ESM サーバーと ESM コンソールを同じ サーバーにインストールする必要があります。SQLite のセットアップファイルは、エンドポイ ントのインストールパッケージに含まれる「Tools」フォルダにあるものを利用するか、イン ターネットでダウンロードします。 SQLite から SQL サーバーへの移行パスはありません。評価を行う際は、SQL Standard や SQL Enterprise に簡単にデータベースを移行できるよう、SQL Server Express を使用することを お勧めいたします。 SQL Server Express 2008 R2、2012、または 2014(評価時および実運用時)SQL Server Express をデータベースで使用する場合、最大 350 エージェントをサポートしています。それより 大規模なデプロイ環境では、SQL Server Enterprise または Standard をご利用ください。 SQL Server Enterprise 2008、2012、または 2012(AlwaysOn 使用)、あるいは 2014(実運用 時) SQL Server Standard 2008、2012、または 2014(実運用時) 8-Core Intel Xeon E5-2660 V2 2.2GHz プロセッサ以上を使用していること 8GB RAM ディスク領域: – – – – – 1,000 エンドポイントまで:500MB(初年度)、1GB(2 年目)、2GB(3 年目) 5,000 エンドポイントまで:2.5GB(初年度)、5GB(2 年目)、10GB(3 年目) 10,000 エンドポイントまで:5GB(初年度)、10GB(2 年目)、20GB(3 年目) 25,000 エンドポイントまで:13GB(初年度)、26GB(2 年目) 、52GB(3 年目) 50,000 エンドポイントまで:26GB(初年度)、52GB(2 年目)、100GB(3 年目) Windows Server(物理サーバーあるいは仮想サーバー)以下のうちいずれかを使用します。 – – – Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 34 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. 前提条件 エンドポイントに Traps をインストールする際の前提条件 エンドポイントに Traps をインストールする際の前提条件 Traps 3.3 をインストールする前に、対象のエンドポイントが次の前提条件を満たしていることをご確認 ください。 ESM サーバーと ESM コンソールのバージョンが Traps エージェントのものと同一あるいはそれ以降の バージョンであること 200MB のディスクスペース(20GB を推奨) 512MB メモリ(2GB を推奨) 以下のオペレーティングシステム – – – – – – – – – – – – Windows XP (32-bit、SP3 以降 ) Windows Vista(32-bit、64-bit、および SP1 以降:FIPS モード) Windows 7(32-bit、64-bit、RTM および SP1:FIPS モード:HOME エディションを除くすべて エディション) Windows 8(32-bit、64-bit) Windows 8.1(32-bit、64-bit:FIPS モード) Windows 10 RTM(32-bit および 64-bit) Windows Server 2003 (32-bit、SP2 以降 ) Windows Server 2003 R2 (32-bit、SP2 以降 ) Windows Server 2008(32-bit、64-bit:FIPS モード) Windows Server 2008 R2(32-bit、64-bit:FIPS モード) Windows Server 2012(すべてのエンドポイント:FIPS モード) Windows Server 2012 R2(すべてのエンドポイント:FIPS モード) 仮想環境: – – – – – VDI Citrix VM ESX VirtualBox/Parallels 物理プラットフォーム: – SCADA – Windows タブレット .NET 3.5 SP1 クライアントからサーバーへの通信が許可されている 2125 TCP ポート BITS クライアント ログを表示するための Windows アクセサリ(Notepad) © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 35 エンドポイントに Traps をインストールする際の前提条件 36 • Traps 3.3 管理者ガイド 前提条件 © Palo Alto Networks, Inc. Traps インフラストラクチャのセット アップ 以下のトピックでは、Traps インフラストラクチャのコンポーネントのセットアップ方法について説明し ます。 エンドポイントインフラストラクチャのセットアップ Endpoint Security Manager のセットアップ エンドポイントのセットアップ Msiexec を使用して Traps コンポーネントをインストール 正しくインストールされたことを確認 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 37 エンドポイントインフラストラクチャのセットアップ Traps インフラストラクチャのセットアップ エンドポイントインフラストラクチャのセットアップ 以下の手順に従ってエンドポイントインフラストラクチャをセットアップするか、Traps 3.3 新機能ガイ ドに記載の方法で既存のエンドポイントインフラストラクチャをアップグレードします。 作業 詳細情報について Step 1 ソフトウェアのインストールに関する 検討内容を再確認します。 エンドポイントインフラストラクチャのインストール時の注意 前提条件 Step 2 推奨される導入時期を確認します。 Traps を導入する際の注意 Step 3 (任意)NET サービスを利用して Internet Information Services(IIS)を 構成します。 ESM コンソール上でウェブサービスを有効化 Traps コンポーネントの SSL を有効化 Step 4 (任意)MS-SQL サーバーを構成しま す。 データベースをインストールする際の前提条件 MS-SQL サーバーデータベースの構成 Step 5 ESM サーバーソフトウェアをインス トールします。 ESM サーバーをインストールする際の前提条件 Endpoint Security Manager のサーバーソフトウェアをインス トール (任意)Msiexec を使用して Traps コンポーネントをインストー ル Step 6 ESM コンソールソフトウェアをインス トールします。 ESM コンソールをインストールする際の前提条件 Endpoint Security Manager のコンソールソフトウェアをインス トール (任意)Msiexec を使用して Traps コンポーネントをインストー ル Step 7 エンドポイントに Traps エージェントを エンドポイントに Traps をインストールする際の前提条件 インストールします。 エンドポイントに Traps をインストール (任意)Msiexec を使用して Traps コンポーネントをインストー ル Step 8 正しくインストールされたことを確認 します。 38 • Traps 3.3 管理者ガイド 正しくインストールされたことを確認 © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ Endpoint Security Manager のセットアップ エンドポイントインフラストラクチャのインストール時の注意 ESM コンソール上でウェブサービスを有効化 Traps コンポーネントの SSL を有効化 MS-SQL サーバーデータベースの構成 Endpoint Security Manager のサーバーソフトウェアをインストール Endpoint Security Manager のコンソールソフトウェアをインストール エンドポイントインフラストラクチャのインストール時の注意 ESM コンポーネントのインストール / アップグレードを行う際、以下の事項に注意してください。 ESM サーバーと ESM コンソールは同じバージョンでなければなりません。 ESM サーバーと ESM コンソールは、異なるバージョンが混在する Traps をサポートしており、さらに 古いバージョンに対する下位互換性もあります。例えば、リリースバージョン 3.3 を実行する ESM コンソールおよび ESM サーバーを使用する場合、Traps エージェント 3.1 および 3.3 が混在していて も構いません。 こちらも参照:前提条件。 ESM コンソール上でウェブサービスを有効化 ESM コンソールでウェブサービスを利用するには、Windows Server 上で Internet Information Services (IIS)ロールと .NET を有効化する必要があります。IIS により、インターネット、イントラネット、外部 ネットワーク内のユーザーと情報を共有することができます。IIS 7.5 を使用する Windows Server には、 IIS、ASP.NET、Windows Communication Foundation(WCF)を統合する単一のウェブプラットフォー ムがあります。インターネットを介して Endpoint Security Manager にアクセスするには、.NET を使用 可能な IIS を有効化します。 Windows Server 2008 R2 でウェブサービスを有効化 Windows Server 2012 でウェブサービスを有効化 Windows Server 2008 R2 でウェブサービスを有効化 Windows Server 2008 R2 でウェブサービスを有効化する場合、KB2468871 パッチを適用した .NET Framework 4 をインストールしてください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 39 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Windows Server 2008 R2 でウェブサービスを有効化 Step 1 ESM コンソールをインストールする Start [ スタート ] メニューから Server Manager[ サーバーマネー Windows ServerでServer Managerを開 ジャー ] を検索 / 選択します。 きます。 Step 2 新しいロールを追加します。 Step 3 Step 4 ロールサービスを定義します。 インストールサービスを確認します。 1. Roles > Add Roles[ 役割>役割の追加 ] を右クリックして Next[ 次へ ] をクリックします。 2. Web Server (IIS)[Web サーバー(IIS)] オプションを選択し て Next[ 次へ ] をクリックします。 3. 左側のメニューからRole Services[役割サービス]を選択しま す。 1. Application Development[ アプリケーション開発 ] オプショ ンを選択します。 2. その他のオプションはデフォルトのままにします。 3. Next[ 次へ ] をクリックします。 1. Application Development[ アプリケーション開発 ] サービス が Installation Selections[ インストールオプション ] のリス トに表示されていることを確認し、Install[ インストール ] をクリックします。 2. Close[ 閉じる ] でウィザードを終了します。 Windows Server 2012 でウェブサービスを有効化 Windows Server 2012でウェブサービスを有効化する場合は.NET Framework 3.5および4.5をインストー ルしてください。 40 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ Windows Server 2012 でウェブサービスを有効化 Step 1 ESM コンソールをインストールする 1. Windows ServerでServer Managerを開 きます。 2. Start[ スタート ] メニューから Server Manager[ サーバーマ ネージャー ] を選択します。 Add roles and features[ 役割と機能の追加 ] を選択し、Next[ 次へ ] をクリックします。 Step 2 インストールタイプを選択します。 Role-based or feature-based installation[ 役割ベースまたは機能 ベースのインストール ] を選択し、Next[ 次へ ] をクリックしま す。 Step 3 サーバーを指定します。 サーバープールからサーバーを選択し、Next[ 次へ ] をクリック します。 Step 4 ウェブサービスのロールおよび機能を 追加します。 1. Web Server (IIS)[Web サーバー(IIS)] オプションを選択し ます。 2. Add Features[ 機能の追加 ] をクリックします。 3. Next[ 次へ ] をクリックします。 4. .NET Framework 3.5 Features[.NET Framework 3.5 の機能 ] を選択します。 5. .NET Framework 4.5 Features[.NET Framework 4.5 の機能 ] および ASP.NET 4.5 を選択します。 6. Next[ 次へ ] をクリックした後、 再度 Next[ 次へ ] をクリック します。 7. Web Server[Web サーバー ] 以下で Application Development[ アプリケーション開発 ] を選択し、機能を展 開して隠れている項目を表示します。以下の機能を選択しま す。ポップアップが表示さえた場合は、Add Features[ 機能 を追加 ] をクリックします。 • ASP.NET 3.5 • ASP.NET 4.5 • ISAPI 拡張 • ISAPI フィルター • .NET 拡張機能 3.5 • .NET 拡張機能 4.5 8. Next[ 次へ ] をクリックします。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 41 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Windows Server 2012 でウェブサービスを有効化 (Continued) Step 5 インストールサービスを確認します。 42 • Traps 3.3 管理者ガイド 1. 機能が installation selections[ インストールオプション ] のリ ストに表示されていることを確認し、Install[ インストール ] をクリックします。 2. Close[ 閉じる ] をクリックしてウィザードを終了します。 © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ Traps コンポーネントの SSL を有効化 Secure Socket Layer(SSL)を利用すれば、ESM サーバーと Traps エージェント間の通信を暗号化するこ とができます。クライアントがサーバーの身元を信頼できるようにするために、またクライアントと サーバー間の通信メッセージが密かに改ざんされないようにするために、SSL を有効化することをお勧 めします。 SSL で ESM コンソールの安全性を確保してデータを保護するには、サーバー証明書をインストールして HTTPS 用のバインディングをポート 443 に追加する必要があります。 ESM コンソールで SSL を設定 Step 1 IIS マネージャーを開きます。 1. Start[ スタート ] をクリックし、さらに Control Panel[ コント ロールパネル ] をクリックします。 2. 以下のいずれかを実行します。 • System and Security > Administrative Tools[ システムとセ キュリティ > 管理ツール ] をクリックします。 • Start Search[プログラムとファイルの検索]にinetmgrと入 力し、ENTER キーを押します。 Step 2 (任意)サイトに SSL が必要な場合は、 サーバー証明書を取得 / インストールするには: ESM コンソールを実行しているサーバー • インターネットサーバー証明書のリクエスト に SSL 証明書をインストールします。 • インターネットサーバー証明書のインストール サーバー証明書により、ユーザーは重 要なデータを送信する前にウェブサー バーの身元を確認でき、またサーバー の公開鍵を利用してデータを暗号化し、 サーバーに送り返すことが可能になり ます。 サイトに SSL が必要でない、あるいは すでに SSL 証明書をインストール済み であれば、このステップを飛ばすこと ができます。 Step 3 HTTPS 用のバインディングを追加しま す。 1. Connections[接続]以下にあるツリーでSites[サイト]の表示 を展開し、バインディングを追加したいサイトを選択しま す。 2. Actions > Edit Site[ 操作>サイトの編集 ] 以下で Bindings > Add[ バインド>追加 ] をクリックします。 3. タイプを https に指定し、IP address[IP アドレス ]、Port[ ポート ](デフォルトでは 443)、Host Name[ ホスト名 ] な どのバインディングに関するその他の情報を加えます。 4. (Windows Server 2012 のみ任意)Require Server Name Indication[ サーバー名表示を要求する ] を選択します。 5. © Palo Alto Networks, Inc. ドロップダウンリストから SSL 証明書を選択し、OK をク リックします。 Traps 3.3 管理者ガイド • 43 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ MS-SQL サーバーデータベースの構成 Endpoint Security Manager には、SQL Server プラットフォームで管理するデータベースが必要です(サ ポートされている SQL Server のバージョンについては、データベースをインストールする際の前提条件 をご参照ください)。Endpoint Security Manager はそういったデータベースを利用し、管理情報、セ キュリティポリシールール、およびセキュリティイベントに関する情報、さらにその他の情報を保存し ます。 コンセプトの実証段階(proof-of-concept stage)においては、SQLite および SQL Express データベースもサポートされています。SQLite を使用する場合、完全に機能している状態の Traps 製品にコンセプトの実証段階で作成したコンテンツを転送することはできません。その ため、代わりとして SQL Server への移行が簡単な SQL Express から使用を始めることを推奨 いたします。 Endpoint Security Manager をインストールする前に、必要なパーミッションを使用した上で SQL データ ベースを構成しなければなりません。認証手段として Windows 認証を利用している場合、オーナーは サービスとしてログオンできる権限を持ち、かつ ESM サーバーのローカル管理者でなければなりません。 MS-SQL サーバーのデータベースを作成・構成する最適な手順は次の通りです。 MS-SQL サーバーデータベースの構成 Step 1 新規データベースを作成します。 44 • Traps 3.3 管理者ガイド 1. スタートメニューから SQL Server Management Studio を選 択します。 2. Connect[ 接続 ] をクリックし、SQL Server Management Studio を開きます。 3. Databases[ データベース ] を右クリックし、New Database [ 新規データベース ] を選択します。 © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ MS-SQL サーバーデータベースの構成 (Continued) Step 2 データベースを構成します。 1. 指定するデータベース オーナーは、既 2. 存のローカル / ドメイン管理者でなけ ればなりません。 3. Step 3 データベース オーナーの権限を検証し 1. ます。 © Palo Alto Networks, Inc. Database name[ データベース名 ] を入力します。 データベースの Owner[ オーナー ] を選択します。 a. 省略記号( )をクリックします。 b. [domain\user] の形式でオブジェクト名を入力するか、 オブジェクト名を Browse[ 参照 ] します。 c. Check Names[名前をチェック]を選択してデータベース オーナーの検証を行います。 OK をクリックした後、再度 OK をクリックします。 作成したデータベースの表示を展開し、さらに Security > Users[ セキュリティ > ユーザー ] を選択します。 2. dbo をダブルクリックします。 3. Owned Schemas[ 所有するスキーマ ] ページを選択し、さら に db_owner を選択します。 4. Membership[ メンバーシップ ] ページを選択し、さらに db_owner を選択します。 5. OK をクリックします。 Traps 3.3 管理者ガイド • 45 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ Endpoint Security Manager のサーバーソフトウェアをインストール Endpoint Security Manager(ESM)サーバーソフトウェアをインストールする前に、ESM サーバーをイ ンストールする際の前提条件に記載されているシステム要件を満たしていることを確認します。 ESM サーバーソフトウェアのインストール 開始する前に: Step 1 Step 2 • ESMサーバーをインストールする際の前提条件に記載されてい るシステム要件を満たしていることを確認します。 • ソフトウェアおよびライセンスファイルは、Palo Alto Networks Account Manager、販売代理店あるいは https://support.paloaltonetworks.com から入手できます。 ESM サーバーソフトウェアのインス 1. トールを開始します。あるいは、 Msiexecを使用してESMサーバーをイン 2. ストールすることもできます(Msiexec を使用して Traps コンポーネントをイ 3. ンストールを参照)。 ESMCore インストレーションファイルをダブルクリックし ます。 Next[次へ ]をクリックしてセットアップ作業を開始します。 End User License Agreement [ エンドユーザー ライセンス 同意 ] ダイアログで I accept the terms in the License Agreement[ ライセンス同意事項の条件に同意します ] に チェックを入れ、Next[ 次へ ] をクリックします。 4. インストール先のフォルダはデフォルトのままにするか、 Change[ 変更 ] をクリックしてインストール先のフォルダを 指定し、Next[ 次へ ] をクリックします。 ESM サーバーとデータベース間の通信 1. を有効にする設定を行います。 データベースへのアクセスをセット アップする際は、データベースを管理 できる権限を持ったユーザーおよび認 証方法を指定する必要があります。入 力するユーザー名(およびパスワード) は、選択する認証方法の種類によって 異なります。 • Windows 認証を使用する(推奨)場 合、データベースを管理する権限を 持ったドメインユーザーを指定しま す。 • SQL Server 認証を使用する場合、 データベースを管理する権限を持っ た、SQL Server 上のローカル ユー ザーアカウントを指定します。 Endpoint Security Manager とともに使用するためにインス トールしたデータベースのタイプを選択します。 SQL Server のバージョンを選択する場合は、次の構成情報 を入力する必要があります。 • Server Name[ サーバー名 ]— データベースサーバーの完全 修飾ドメイン名(FQDN)または IP アドレス。 • Database[ データベース ]— データベースの名称。SQL Server がデフォルトのもの以外のインスタンスを使用す る場合、<instance>/<databasename> の形式でインスタ ンス名も含める必要があります。 • 認証方法を選択します。 – Windows Authentication[Windows認証]—データベース サーバーに接続する権限を持った、Windows ドメイン ユーザーアカウントを使用して認証を行います。また、 このアカウントはデータベース管理者でもある必要があ ります。 – SQL Server Authentication[SQL Server 認証 ]— データ ベースサーバーのローカル ユーザーアカウントを使用 して認証を行います。また、このアカウントはデータ ベース管理者でもある必要があります。 • User Name[ ユーザー名 ]— サーバー上でデータベースを作 成できる権限を持ったユーザーアカウントの認証情報を 入力します。Windows 認証の場合、ユーザー名の前にド メイン名を含めます(例:mydomain\administrator)。 SQL Server 認証の場合、ユーザー名の前にデータベース サーバー名を含めます(例:mysqlserver\administrator)。 2. 46 • Traps 3.3 管理者ガイド Next[ 次へ ] をクリックします。 © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ ESM サーバーソフトウェアのインストール (Continued) Step 3 Step 4 Step 5 ESMサーバーとTrapsエージェント間の 1. 通信に対するセキュリティレベルを指 定します。 SSL を介して通信を暗号化するには、 サーバー - クライアント証明書ファイ ル(PFX 形式)を使用し、秘密鍵を復 号化するためのパスワードを含めます。 管理ユーザーの設定を行います。 ESM サーバーのその他の設定を行いま す。 © Palo Alto Networks, Inc. 証明書の設定方法を選択します。 • Select External Certificate (SSL)[ 外部証明書を選択(SSL) ]— サーバーとエージェント間の通信を SSL で暗号化しま す(デフォルト設定)。次にサーバー - クライアント証明 書を参照し、秘密鍵を復号化するために必要なパスワー ドを入力します。 • No Certificate (no SSL)[ 証明書なし(SSL なし)]— サーバー とエージェント間の通信を暗号化しません(非推奨) 。 2. Next[ 次へ ] をクリックします。 1. 使用したい認証のタイプを選択します。 • Machine[マシン]—Endpoint Security Managerはローカル マシン上のユーザーとグループを使用して認証を行いま す。 • Domain[ ドメイン ]—Endpoint Security Manager はマシン のドメインに属するユーザーとグループを使用して認証 を行います。 2. Please specify an administrative user[ 管理者ユーザーを指定 してください ] の欄にサーバーの管理者となるユーザーのア カウント名を入力し、Next[ 次へ ] をクリックします。 1. サーバーにアクセスする際に使用する ESM Server port[ESM サーバーのポート ] を指定するか、デフォルト設定(2125) のままにしておきます。 2. 8 文字以上のアンインストール用パスワードを入力・確認し ます。ESM や Traps をアンインストールする際は、必ずこ のパスワードの入力を求められます。 ESM サーバーソフトウェアのインストール後、ESM コ ンソールを利用してエージェント設定ルールを作成す ることで、後からアンインストール用パスワードの変 更を行うことができます。 3. Next[ 次へ ] をクリックします。 Traps 3.3 管理者ガイド • 47 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ ESM サーバーソフトウェアのインストール (Continued) Step 6 Step 7 ライセンスをインポートします。 インストールを完了します。 1. ライセンスファイルを Browse[ 参照 ] し、Open[ 開く ] をク リックします。ライセンスをお持ちでない場合はアカウント マネージャーあるいは販売代理店にお問い合わせいただく か、https://support.paloaltonetworks.com にアクセスして ください。 インストーラーにより、そのライセンスファイル用のライセ ンスの詳細情報が表示されます。 2. Next[ 次へ ] をクリックします。 1. Install[ インストール ] をクリックします。 2. インストールが完了したら、Finish[ 完了 ] をクリックしま す。 Endpoint Security Manager のコンソールソフトウェアをインストール ESM コンソールソフトウェアは、専用サーバー、あるいは ESM サーバーソフトウェアと同じサーバーに インストールすることができます。各 ESM コンソールには専用のライセンスが必要になります。 ESM コンソールソフトウェアのインストール 開始する前に: Step 1 Step 2 • ESMコンソールをインストールする際の前提条件に記載されて いるシステム要件を満たしていることを確認します。 • ソフトウェアは、Palo Alto Networks Account Manager、販売 代理店あるいは https://support.paloaltonetworks.com から入 手できます。 ESM コンソールソフトウェアのインス 1. トールを開始します。あるいは、 Msiexecを使用してESMコンソールをイ 2. ンストールすることもできます (Msiexec を使用して Traps コンポーネ 3. ントをインストールを参照)。 ESM コンソールのインストール先の フォルダを指定します。 48 • Traps 3.3 管理者ガイド ESMConsole インストレーションファイルをダブルクリック します。 Next[次へ ]をクリックしてセットアップ作業を開始します。 I accept the terms of the License Agreement[ ライセンス同意 事項の条件に同意します ] のチェックボックスを選択し、 Next[ 次へ ] をクリックします。 インストール先のフォルダはデフォルトのままにするか、 Change[ 変更 ] をクリックしてインストール先のフォルダを指定 し、Next[ 次へ ] をクリックします。 © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Endpoint Security Manager のセットアップ ESM コンソールソフトウェアのインストール (Continued) Step 3 ESM コンソールとデータベース間の通 1. 信を有効にする設定を行います。 データベースへのアクセスをセット アップする際は、データベースを管理 できる権限を持ったユーザーおよび認 証方法を指定する必要があります。入 力するユーザー名(およびパスワード) は、選択する認証方法の種類によって 異なります。 • Windows 認証を使用する(推奨)場 合、データベースを管理する権限を 持ったドメインユーザーを指定しま す。 • SQL Server 認証を使用する場合、 データベースを管理する権限を持っ た、SQL Server 上のローカル ユー ザーアカウントを指定します。 2. ESM サーバーとともに使用するためにインストールした データベースのタイプを選択します。 SQL Server のバージョンを選択する場合は、次の構成情報 を入力する必要があります。 • Server Name[ サーバー名 ]:データベースサーバーの完全 修飾ドメイン名(FQDN)または IP アドレス。 • Database[ データベース ]:データベースの名称。SQL Server がデフォルトのもの以外のインスタンスを使用す る場合、<instance>/<databasename> の形式でインスタ ンス名も含める必要があります。 • 認証方法を選択します。 – Windows Authentication[Windows 認証 ](推奨)— デー タベースサーバーに接続する権限を持った、Windows ドメイン ユーザーアカウントを使用して認証を行いま す。また、このアカウントはデータベース管理者でもあ る必要があります。 – SQL Server Authentication[SQL Server 認証 ]— データ ベースサーバーのローカル ユーザーアカウントを使用 して認証を行います。また、このアカウントはデータ ベース管理者でもある必要があります。 • User Name[ ユーザー名 ]:Windows 認証の場合、ユー ザー名の前にドメイン名を含めます(例: mydomain\administrator)。SQL Server 認証の場合、ユー ザー名の前にデータベースサーバー名を含めます(例: mysqlserver\administrator)。サーバーにデータベースを 作成する権限を持っているユーザーアカウントを指定し なければなりません。 Next[ 次へ ] をクリックします。 データベースの設定は、ESM サーバーのイ ンストール時に入力した設定内容と同じで なければなりません。 Step 4 管理者と ESM コンソール間の通信に対 1. するセキュリティレベルを指定します。 SSL を介して通信を暗号化するには、 サーバー - クライアント証明書ファイ ル(PFX 形式)を使用し、秘密鍵を復 号化するためのパスワードを含めます。 2. © Palo Alto Networks, Inc. 証明書の設定方法を選択します。 • Select External Certificate (SSL)[ 外部証明書を選択 (SSL)]—(推奨)ESM コンソールが送受信するメッセー ジを SSL で暗号化します(デフォルト設定)。次にサー バー - クライアント証明書を参照し、秘密鍵を復号化す るために必要なパスワードを入力します。 • No Certificate (no SSL)[ 証明書なし(SSL なし)]—ESM コ ンソールが送受信するメッセージの暗号化を行いません。 Next[ 次へ ] をクリックします。 Traps 3.3 管理者ガイド • 49 Endpoint Security Manager のセットアップ Traps インフラストラクチャのセットアップ ESM コンソールソフトウェアのインストール (Continued) Step 5 Step 6 フォレンジックフォルダを指定します。 1. インストールを完了します。 50 • Traps 3.3 管理者ガイド フォレンジックフォルダのパスをデフォルト設定のままにし てくか、別のフォルダを Browse[ 参照 ] して OK をクリッ クします。 インストーラーにより、このフォルダに対する BITS が 自動的に有効化されます。 2. Next[ 次へ ] をクリックします。 1. Install[ インストール ] をクリックします。 2. インストールが完了したら、Finish[ 完了 ] をクリックしま す。 © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ エンドポイントのセットアップ エンドポイントのセットアップ 組織内のエンドポイント上で Traps をセットアップする方法については、次のトピックをご参照くださ い。 Traps を導入する際の注意 Traps をインストールする際のオプション エンドポイントに Traps をインストール Traps を導入する際の注意 Traps ソフトウェアは通常、企業の実運用時の環境をシミュレートする初回のコンセプトの実証段階 (POC)の後でネットワーク内のエンドポイントに導入されます。POC あるいは導入段階では、悪意の ある活動に起因するセキュリティイベント、危険性をはらむ / 不正な挙動を示す正当なプロセスに起因 するセキュリティイベントを、セキュリティイベントの分析を通して特定することになります。また、 エンドポイントやユーザープロファイルの種類と数、お客様の組織のエンドポイントで実行されるアプ リケーションの種類に基づくシミュレーションも行い、これらの要素を考慮して組織のセキュリティポ リシーを定義・試験・調整することになります。 このように複数のステップを設ける目的は、正当な作業の流れを滞らせることなく組織を最大限に保護 することです。 初回の POC が問題なく完了した後、次のような理由から、企業の実運用時の環境にデプロイする作業を 複数のステップに分けることをお勧めいたします。 POC は、実運用時の環境に存在するあらゆる変数を常に反映しているとは限りません。 Traps エージェントが、稀にビジネスアプリケーションに影響を及ぼすことがあります。これにより、 ある攻撃の阻止を通じてソフトウェアの脆弱性が明らかになります。 問題が発生すると大多数のユーザーが影響を受けるような大規模な環境に導入を済ませる前の POC の 段階では、問題を選り分けて解決策を見つけるのがずっと容易です。 複数のステップに分けて作業を行うことで、ネットワーク全体に Traps ソリューションを導入する作業 が円滑に進みます。より良い保護、制御能力を得るために、以下のステップに従って作業を行ってくだ さい。 ステップ 期間 予定 Step 1 エンドポイントに Traps 1 週間 をインストールします。 MS SQL データベース、ESM コンソール、ESM サーバーとともに Endpoint Security Manager(ESM)をインストールし、さらに少 数(3 ~ 10)のエンドポイントに Traps エージェントをインス トールします。 通常時の Trap エージェントの挙動をテストし(インジェクション およびポリシー)、ユーザーの操作性に変化がないことを確認しま す。 Step 2 Traps の導入をさらに拡 2 週間 大します。 似通った性質(ハードウェア、ソフトウェア、およびユーザー) を持つより大きなグループへと、エージェントの導入を徐々に拡 大していきます。この 2 週間の最後の時点では、最大 100 のエン ドポイントに Traps を導入可能です。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 51 Traps インフラストラクチャのセットアップ エンドポイントのセットアップ ステップ 期間 予定 Step 3 Traps のインストールを 2 週間以上 完了します。 Step 4 お客様の企業のポリ シー、保護するプロセ スを定義します。 最長 1 週間 サードパーティーあるいは自社製のアプリケーションに保護ルー ルを追加し、それらを試験します。 Step 5 企業のポリシー、保護 するプロセスを調整し ます。 最長 1 週間 当該アプリケーションを頻繁に使用するエンドポイントを少数選 び、セキュリティポリシーの各ルールを導入します。必要に応じ て、ポリシーを調整します。 Step 6 企業のポリシー、保護 するプロセスを完成さ せます。 数分 保護ルールを全体に導入します。 すべてのエンドポイントが保護されるまで、Traps エージェント を組織全体に行き渡らせます。 Traps をインストールする際のオプション Traps は、次のような方法でインストールできます。 Install from the endpoint[エンドポイントからインストール]—少数のエンドポイントにTrapsをインス トールする必要がある場合、エンドポイントに Traps をインストールに記載されている流れにより Traps ソフトウェアを手作業でインストールできます。 Install using Msiexec[Msiexecを使用してインストール ]—Traps をコマンドラインからインストールす るには、Msiexec を使用して Traps コンポーネントをインストールに記載のある通り、Msiexec ユー ティリティを使用して Windows インストーラー上で操作を行います。Policy System Center Configuration Manager(SCCM) 、Altiris、あるいは Group Policy Object(GPO)といった MSI 導入ソ フトウェアを使用して Msiexec をインストールすることも可能です。組織の広範囲に Traps をインス トールする際や、大量のエンドポイントにインストールする際は、MSI 導入ソフトウェアの利用が推 奨されます。 Install using an action rule[ アクションルールを使用してインストール ]— 組織内のエンドポイントに すでに Traps がインストールされている場合は、エンドポイント上の Traps のアンインストールまた はアップグレードに記載のある通り、アクションルールを構成することで Traps をアップグレードで きます。 エンドポイントに Traps をインストール Traps をインストールする前に、エンドポイントに Traps をインストールする際の前提条件に記載されて いるシステム要件を満たしていることを確認します。 52 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ エンドポイントのセットアップ エンドポイントに Traps をインストール Step 1 Step 2 Traps ソフトウェアのインストールを開 始します。あるいは、Msiexec を使用し て Traps をインストールすることもでき ます(Msiexec を使用して Traps コン ポーネントをインストールを参照) 。 エンドポイントにインストールす る Traps のバージョンは、ESM サーバーおよび ESM コンソール のバージョンと同じかそれ以降の ものでなければなりません。 1. ソフトウェアは、Palo Alto Networks Account Manager、 販売代理店あるいは https://support.paloaltonetworks.com から入手できます。 2. Zipファイルを解凍して Traps インストールファイルをダブル クリックし、エンドポイントの OS に基づき x64(64-bit) あるいは x86(32-bit)バージョンのいずれかを選択します。 3. Next[ 次へ ] をクリックします。 4. I accept the terms in the License Agreement[ ライセンス同意 事項の条件に同意します ] を選択し、Next[ 次へ ] をク リックします。 Traps を構成し、ESM サーバーにアクセ 1. スします。 ESM サーバーに次の情報を与えます。 • Host Name[ホスト名]—ESMサーバーのIPアドレスあるい はホスト名を入力します。 • Port[ ポート ]— 必要に応じてポートを変更します(デフォ ルトでは 2125)。 • Use[ 使用 ]— サーバーとの通信を暗号化する(デフォルト 設定)場合は SSL[SSL] を、暗号化しない場合は No SSL[SSL なし ] を選択(非推奨)します。 2. © Palo Alto Networks, Inc. Next > Install[ 次へ > インストール ] をクリックします。 インストールの完了後、エンドポイントを再起動すること が推奨されます。 Traps 3.3 管理者ガイド • 53 Msiexec を使用して Traps コンポーネントをインストール Traps インフラストラクチャのセットアップ Msiexec を使用して Traps コンポーネントをインストール インストールファイルを使用する代わりに、Windows Msiexec を使用してソフトウェアを Traps の各コ ンポーネント(ESM サーバー、ESM コンソール、および Traps エージェント)にインストールすること もできます。Msiexec を使用すればインストール作業を完全に制御でき、Windows インストーラー上の インストール作業 / 変更作業 / 操作を CLI(コマンドラインインターフェイス)から行えるようになりま す。また、インストール時に発生した問題を MSIXEC を使用してログに記録することもできます。 さらに、Traps を初めて複数のエンドポイントにインストールする際、System Center Configuration Manager(SCCM) 、Altiris, Group Policy Object(GPO)あるいは他の MSI 導入ソフトウェアと併せて Msiexec を使用することができます。エンドポイントに Traps を正しくインストールし、ESM サーバーと 初めての接続を確立した後は、アクションルールを作成することで単体・複数のエンドポイントの Traps をアップグレード / アンインストールすることができます(エンドポイント上の Traps のアンインス トールまたはアップグレードを参照)。 Traps をインストールする前に、エンドポイントに Traps をインストールする際の前提条件に記載されて いるシステム要件を満たしていることを確認します。 Traps コンポーネントのインストール Traps コンポーネントのアンインストール Traps コンポーネントのインストール Msiexec を使用して Traps コンポーネントをインストール Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[コマンドプロンプト]を右クリックし、Run as administrator[管理者として実行]します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 54 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ Msiexec を使用して Traps コンポーネントをインストール Msiexec を使用して Traps コンポーネントをインストール (Continued) Step 2 次のオプションあるいはプロパティを後ろに付け(複数可)、msiexec コマンドを実行します。 • インストール、表示、ロギングに関するオプション: • /i installpath\installerfilename.msi— パッケージをインストールします。例: msiexec /i c:\install\traps.msi。 。また、CYVERA_SERVER • /qn— ユーザーインターフェイスを表示しません(サイレントインストール) プロパティを利用して、最低でもホストサーバーの名前と IP アドレスを指定しなければなりません。 • /L*v logpath\logfilename.txt— 詳細なログをファイルに残します。例:/L*v c:\logs\install.txt。 Msiexec のパラメーターの全リストは、 https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/msiexec.msp x でご確認いただけます。 • パブリックプロパティ: • CYVERA_SERVER=servername— プライマリ ホストサーバーの名前および IP アドレス(デフォルトでは ESMserver) • CYVERA_SERVER_PORT=serverport— プライマリ ホストサーバーのポート(デフォルトでは 2125) • USE_SSL_PRIMARY=[0|1]—(サイレントインストールのみ)SSL を使用しない場合は 0 を(非推奨)、 使用する場合は 1 を指定(デフォルト)し、プライマリサーバーの暗号化を設定します。 例えば、ユーザーインターフェイスを使用せずに Traps をインストールする場合、ポート 3135 で SSL 暗 号化を利用しない TrapsServer という名前のサーバーを指定してインストールログを c:\temp に作成し、 次のコマンドを入力します。 msiexec /i c:\install\traps.msi /qn CYVERA_SERVER=TrapsServer USE_SSL_PRIMARY=0 CYVERA_SERVER_PORT=3135 /l*v c:\temp\trapsinstall.log インストールの完了後、デバイスを再起動することが推奨されます。 Traps コンポーネントのアンインストール Msiexec を使用して Traps コンポーネントをアンインストール Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[管理者として実行 ] しま す。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 55 Msiexec を使用して Traps コンポーネントをインストール Traps インフラストラクチャのセットアップ Msiexec を使用して Traps コンポーネントをアンインストール (Continued) Step 2 次のオプションあるいはプロパティを後ろに付け(複数可)、msiexec コマンドを実行します。 • アンインストールおよびロギングのオプション: • /x installpath\installerfilename.msi.txt— パッケージをアンインストールします。例: msiexec /x c:\install\traps.msi。 • /L*v logpath\logfilename.txt— 詳細なログをファイルに残します。例: /L*v c:\logs\uninstall.txt。 Msiexec のパラメーターの全リストは、https://www.microsoft.com/resources/documentation/ windows/xp/all/proddocs/en-us/msiexec.mspx でご確認いただけます。 • パブリックプロパティ: • UNINSTALL_PASSWORD=uninstallpassword— 管理者用パスワードを指定します。 Trap をアンインストールする際、詳細なログを uninstallLogFile.txt という名称のファイルに残す場合は、以 下のコマンドを入力します。 msiexec /x c:\install\traps.msi UNINSTALL_PASSWORD=[palo@lt0] /l*v c:\install\uninstallLogFile.txt パッケージを正しくアンインストールするには、UNINSTALL_PASSWORD プロパティを指定す る必要があります。 56 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps インフラストラクチャのセットアップ 正しくインストールされたことを確認 正しくインストールされたことを確認 ESM サーバーおよびエンドポイントのインストールが成功したことを確認するには、サーバーおよび各 エンドポイントの両側から接続を確認します。 接続をエンドポイント側から確認 ESM コンソールで接続を確認 接続をエンドポイント側から確認 Traps のインストール完了後、Traps エージェントは Endpoint Security Manager を実行しているサーバー と接続できなければなりません。 接続をエンドポイント側から確認 Step 1 タスクバーから Traps コンソールを立ち上げます。 • Windows のタスクバーにある Traps のアイコン をダブルクリック(あるいは右クリックして Console [ コンソール ] を選択)します。 • Traps がインストールされているフォルダから CyveraConsole.exe を実行します。 Step 2 サーバーの接続ステータスを確認します。Traps がサーバーと接続できている場合は Connection[ 接続 ] ス テータスが表示され、接続が成功していることが分かります。Traps エージェントがプライマリあるいは セカンダリサーバーと接続を確立できていない場合は、Traps コンソールが切断ステータスを報告します。 Step 3 ESM コンソールで接続を確認。 ESM コンソールで接続を確認 エンドポイントが ESM サーバーと接続していることを確認できた後、ESM コンソールの Monitor > Agent > Health[監視 > エージェント > 安全状態]ページにあるコンピューターのリストに当該エンドポイ ントが表示されていることを確認します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 57 正しくインストールされたことを確認 Traps インフラストラクチャのセットアップ ESM コンソールで接続を確認 Step 1 ESM コンソールで Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択します。 Step 2 コンピューターのリストからそのエンドポイントの名前を探し、ステータスを確認します。 アイコン は、Traps がエンドポイント上で実行されていることを示しています。エンドポイントについての詳細な 情報を表示するには、任意のエンドポイントの行を選択します。 58 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. VDI 環境における Traps の管理 VDI の概要 VDI 環境における Traps のセットアップ Traps の設定 VDI ポリシーの調整およびテスト © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 59 VDI の概要 VDI 環境における Traps の管理 VDI の概要 変化が激しいビジネス環境においては、デスクトップ、アプリケーション、データアクセスに関するス タッフからの要求も変化しやすいため、それに対応できる柔軟なインフラストラクチャが必要になりま す。仮想デスクトップ インフラストラクチャ(VDI)を実装することで、担当者が物理的な場所にとら われることなく様々なデバイスを使用して作業を行えるようになります。 デスクトップを保護する上で VDI ソリューションには様々なメリットがありますが(中央制御、複雑性 の軽減、効率のよいユーザーアクセスや権限の管理など)、肝心なのは VDI 全体のセキュリティを確保す ることです。この新しい中央集約型の環境のセキュリティを確保することは、さらに難しくなっていま す。様々なデバイスを使用して各々のアプリケーションやデータにアクセスする膨大な数のユーザーが 存在しても、すべて一つの IP アドレスを割り当てられているという状況もあり得ます。また、ユーザー が組織のデータセンター内や自身の仮想デスクトップ上にあるその他のアプリケーションにアクセスす る場合もあります。Traps を使用すれば、次のような便利な機能・特徴によって VDI 環境の安全性を確 保することができます。 脆弱性を悪用した巧妙な攻撃や未知のマルウェア型攻撃を防御する Traps ソリューションにより得ら れる、高度なエンドポイント保護機能。 脅威についての予備知識が一切無くても攻撃を阻止できる革新的なアプローチを採用した、拡張性の 高い軽量な Traps エージェント。 外部アップデートの確認・維持作業を必要としないソフトウェア。 VDI 導入環境の詳細な説明は、以下のトピックでご確認いただけます。 仮想アプリケーションおよびデスクトップ VDI モード 仮想アプリケーションおよびデスクトップ XenApp XenDesktop XenApp XenApp は、XenApp サーバーを使用することで管理を行える仮想アプリケーションです。この仮想アプ リケーションを保護するには、セッションを管理する XenApp サーバーに Traps をインストールする必 要があります。XenApp サーバー上の VDI ライセンスを使用する代わりに、XenApp サーバーのオペレー ティングシステムに基づき単体の Traps サーバー(一般的)あるいはワークステーションのライセンス をインストールしなければなりません。この場合、インストールした単体の Traps がすべての同時セッ ションを保護します。 60 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. VDI 環境における Traps の管理 VDI の概要 XenDesktop XenDesktop は、仮想アプリケーションや仮想デスクトップをあらゆるデバイスに配布します。仮想デス クトップを保護するには、各仮想デスクトップのインスタンスに Traps をインストールし、さらに ESM コンソールで VDI ライセンスをインストールする必要があります。さらに、ホストとなる各オペレー ティングシステムに Traps エージェントをインストールすることを推奨いたします。ホストとなるオペ レーティングシステムの種類によっては、非 VDI ライセンスが別途必要になります(サーバーあるいは ワークステーション ライセンス)。 ホストベースのアンチウイルス ソフトウェアを Traps に置き換えることで、リソースの消費 を全体的に削減できます。 VDI モード 非永続 VDI モード 永続 VDI モード 非永続 VDI モード ユーザーが非永続的な仮想デスクトップにアクセスして一日の終りにログアウトすると、設定やデータ (デスクトップ ショートカット、バックグラウンド アプリケーション、新しいアプリケーションなど) は保存されません。セッションが終了する際、仮想デスクトップのクリーンアップが行われ、マスタイ メージと同じ真っさらの状態に戻ります。再度ログインしたユーザーには、その真っさらの状態のイ メージが提供されます。 この文書では、非永続 VDI モードの Traps を導入することを基本として流れを説明しています。 永続 VDI モード 永続的な仮想デスクトップは、仮想マシンとユーザーを一対一でマッピングするものであり、各仮想デ スクトップは固有のディスクイメージを保存しており、それを使って動作します。このモデルでは、永 続的なデスクトップはセッション中にユーザーが行った設定の変更やカスタマイズ(背景の変更、 ショートカットの保存、新規にインストールしたアプリケーションなど)の内容をすべて維持します。 ユーザーがセッションを終了して仮想デスクトップからログアウトする際、仮想マシンがすべての変更 内容を保存するため、次にユーザーがデスクトップにログインした際も変更内容が反映されたままに なっています。 永続 VDI モードで Traps を導入する際の流れは、Traps を標準的なサーバーやワークステーションに導 入する際のものと非常に良く似ています。Traps エージェントをインストールする際、他の VDI アプリ ケーションと同様、マスタイメージにある Traps ソフトウェアをインストールして仮想デスクトップ上 で実行することが可能であり、標準的な導入を行う際と全く同様に、VDI インスタンスが存在する限り Traps は ESM サーバーと通信を行い続けます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 61 VDI インストール時の注意 VDI 環境における Traps の管理 VDI インストール時の注意 VDI エージェントのライセンス VDI デプロイ環境のベストプラクティス VDI エージェントのライセンス ESM コンソールは仮想デスクトップ インフラストラクチャ(VDI:virtual desktop infrastructure)環境 用の専用ライセンスをサポートしており、ダッシュボードに VDI ライセンスの数が表示されます。ESM コンソールは流動型ライセンスモデルを採用し、非永続 VDI 環境にあるアクティブなクライアントにラ イセンスを発行します。その後、VDI インスタンスが再起動あるいはタイムアウトする際に ESM サー バーがライセンスを解除するため、他のユーザーがライセンスを使用できる状態になります。 3.3 より前のバージョンで実行される Traps エージェントは、すべてのワークステーション、 サーバー、VDI インスタンスに対して同じタイプのライセンスを使用できます。ESM コン ソールをバージョン 3.3 にアップグレードする際、既存の VDI インスタンスすべてについて、 VDI ライセンスを新しく入手していただく必要があります。詳細につきましては、サポートス タッフあるいはセールスエンジニアにお問い合わせください。 VDI 環境のアップグレードやインストールを行う際に必要となる作業は、Traps エージェントおよび ESM のバージョンによって異なります。必要な操作、Traps および ESM の各バージョンのライセンス要件は 次の表の通りです。 Traps エージェ ントおよび ESM の最新バー ジョン Traps エージェン 操作 トおよび ESM アップグレード の対象バージョ ン ライセンス要件 新規インストー Traps 3.3: ル(該当なし) ESM 3.3 VDI 環境における Traps のセットアップ Traps 3.2.3: ESM 3.2.3 Traps 3.2.3: ESM 3.3 Traps VDI ツールを使用してマスタイメージを VDI PAN-TRAPS-V インスタンスとしてマークします(マスターポリ シーの設定の Step 8 を参照)。 Traps 3.2.3: ESM 3.2.3 Traps 3.2.3: ESM 3.3 Traps VDI ツールを使用して Traps 3.2.3 エージェン 追加のライセンスは不要 ト マスタイメージを VDI インスタンスとしてマー です。 クしない限り、ESM コンソール 3.3 は Traps ワー クステーション / サーバーライセンスを VDI イン スタンスに発行します。しかしエージェントを 3.3 にアップグレードする際は、VDI ライセンスをイン ポートし、Traps VDI ツールを使用してマスタイ メージを VDI インスタンスとしてマークする必要 があります(マスターポリシーの設定の Step 8 を 参照)。 3.2.3 より前の エージェント Traps 3.3: ESM 3.3 VDI 環境における Traps のセットアップ 62 • Traps 3.3 管理者ガイド PAN-TRAPS-V PAN-TRAPS-V © Palo Alto Networks, Inc. VDI 環境における Traps の管理 VDI インストール時の注意 VDI デプロイ環境のベストプラクティス VDI テストプール上のデフォルトのセッションポリシーを最適化し、VDI のリコンパイル中にセッ ションが確実に安定して生成されるようにします。 作成した VDI は、必ずマスタイメージで設定済みの初期状態のポリシーとともに開始されます。マス タイメージが起動中であり ESM サーバーと通信を行っている間、VDI テストプール上のポリシーを テストし、VDI Traps エージェントにプッシュ送信します。その後、ポリシーの微調整を行います。 制限された非永続セッションはセッション終了後にフォレンジックデータが維持されないため、調査 がより困難になります。フォレンジックデータを確実に利用できるよう、次のオプションを設定する ことを検討してください。 – – すべての非永続的なホスト名に対し、エージェント設定 Send the memory dumps automatically[ 自動 的にメモリダンプを送信 ] を有効にします。 永続的なセッションで生じた問題を再現してログやメモリダンプを収集し、詳細なトラブル シューティングに役立てます。 ESM コンソールはホスト名に基いてライセンスを発行するため、セッション ホスト名の固定数(ラン ダムでない)を指定します。Traps 3.3 から、あらゆる命名法がサポートされるようになっています。 エージェントが VDI セッションからログオフする際、ESM サーバーは自動的にライセンスを返却しま す。VDI セッションが正しく終了しない場合、ESM サーバーは一定のタイムアウト期間を待った後 で、他の VDI エージェントがライセンスを利用できるよう自動的にライセンスを返却します。このタ イムアウト期間が終了を迎える前に他の VDI セッションでライセンスを使用する必要がある場合は、 ESM コンソールを使用して強制的に Traps ライセンスの解除を行います。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 63 VDI 環境における Traps のセットアップ VDI 環境における Traps の管理 VDI 環境における Traps のセットアップ VDI 環境における Traps のセットアップ Step 1 ソフトウェアのインストールに関する 検討内容および前提条件を再確認しま す。 エンドポイントインフラストラクチャのインストール時の注意 前提条件 VDI インストール時の注意 制限事項 Step 2 データベースサーバーを構成します。 データベースをインストールする際の前提条件 MS-SQL サーバーデータベースの構成 Step 3 ESM サーバーをセットアップします。 ESM サーバーをインストールする際の前提条件 Endpoint Security Manager のサーバーソフトウェアをインス トール Step 4 ESM コンソールをセットアップします。 ESM コンソールをインストールする際の前提条件 (任意)ESM コンソール上でウェブサービスを有効化 (任意)Traps コンポーネントの SSL を有効化 Endpoint Security Manager のコンソールソフトウェアをインス トール Step 5 専用のVDIライセンスをアップロードし VDI エージェントのライセンス ます。 ESM コンソールを使用して Traps ライセンスを追加 Step 6 マスタイメージにある Traps をデフォル マスターポリシーの設定 トポリシーとともにインストールしま す。 Step 7 お客様の VDI 導入シナリオに合わせて (推奨)非永続ストレージを用いる場合の Traps の設定 Traps の残りの設定を行います。 あるいは 永続ストレージを用いる場合の Traps の設定 Step 8 マスタイメージの初期状態のポリシー を設定します。 お客様の組織で VDI および非 VDI イン スタンスが混在した環境をサポートさ せたい場合、各ルールに対して Condition for VDI Machine[VDI マシン の条件 ] を適用します。これにより、 そのルールが確実に VDI インスタンス にのみ適用されるようになります。 • エージェントからすべての防御データおよび履歴が削除される よう、Traps の設定を行います。これを実施する場合、エー ジェントのアクションルールを作成する必要があります (Traps が収集したデータの管理を参照)。 • Traps が自動的にメモリダンプを送信できるようになります。 これを実施する場合、アクションルールを作成する必要があり ます(メモリダンプの設定を参照)。 • エージェントのハートビートおよびレポート送信間隔を 1 分に 設定します。これを実施する場合、エージェント設定ルールを 作成する必要があります(エージェントと ESM サーバー間の ハートビート設定を参照)。 Step 9 VDI テストプールをデプロイします。 VDI ポリシーの調整およびテスト Step 10 マスタイメージをリコンパイルします。 1. 64 • Traps 3.3 管理者ガイド マスタイメージを再起動します。 2. マスタイメージが ESM サーバーに接続できることを確認し ます。 3. マスタイメージをシャットダウンした後、リコンパイルし ます。 © Palo Alto Networks, Inc. VDI 環境における Traps の管理 マスターポリシーの設定 マスターポリシーの設定 マスタイメージ用のポリシーを設定する際は、まず Sigcheck と呼ばれる Windows Sysinternals のユー ティリティを使用して PE(portable executable)ファイルをすべて収集してください。その後、Traps VDI ツールを使用し、WildFire によって有害であると判定されたものをすべて含む、マスタイメージで検 知されたあらゆる PE ファイルに対する判定を含んだ WildFire キャッシュファイルを作成します。オリ ジナルのキャッシュファイルを新しいものと入れ替えることで、初回に VDI インスタンスに対して大量 の未知の判定が発生するのを防ぐことができます。また Traps VDI ツールを使用すれば、マスタイメー ジを Windows レジストリ内で VDI インスタンスとして特定することもできます。マスタイメージを VDI インスタンスとして特定した後、ESM コンソールはクライアントを認識し、流動型ライセンスモデル に従ってライセンスを割り当てます。 マスターポリシーの設定 Step 1 Step 2 1. VDI インスタンスで利用したい追加のアプリケーションを すべてインストールします。 2. マスタイメージにある Traps をインストールします(エン ドポイントに Traps をインストールを参照)。 3. マスタイメージが ESM サーバーにアクセスできることを 確認します。 4. Sigcheck(Windows Sysinternals のユーティリティ)を https://technet.microsoft.com/en-us/sysinternals/bb897 441.aspx からダウンロードします。 Sigcheck を使用し、マスタイメージ上で 1. 利用可能な PE ファイルをすべて収集しま す。このツールにより、Traps VDI ツー 2. ルへの入力用ファイルが生成されます。 管理者としてコマンドプロンプトを起動し、Sigcheck のダ ウンロード先のディレクトリに移動します。 開始する前に: 再帰的に sigcheck を実行し、あらゆる拡張子の実行ファイ ルを探し出し、ハッシュをコンマ区切り形式で任意の フォルダに任意のファイル名で出力します。 sigcheck /accepteula -s -h -e -q -c C:\ > C:\temp\outfilename.csv Sigcheck のパラメーターは変更になる可能性があり ます。使用方法を表示するには、オプションを付け ずに sigcheck コマンドを実行します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 65 VDI 環境における Traps の管理 マスターポリシーの設定 マスターポリシーの設定 (Continued) Step 3 Traps VDI ツールを使用してすべての PE 1. ファイル(Step 2 で収集)を分析のため 2. に WildFire に提供し、WildFire から利用 できるあらゆる判定を含んだローカル キャッシュを作成します。 Traps VDIツールはまずESMサーバーにす べてのハッシュを送信し、判定を受け取 ります。未知のハッシュがある場合、 Traps VDI ツールはそのハッシュに関連す るファイルを ESM サーバーにアップロー ドします。次にその未知のファイルが ESM サーバーによって WildFire に送信さ れ、分析が行われます。Traps VDI ツー ルは、未知のハッシュのリストに対する 判定を 10 分毎にリクエストします。 Traps VDI ツールはすべてのファイルに対 する判定を得た後、WildFire キャッシュ を作成します。 Traps VDI ツールは、これらのファイルを Traps VDI ツールと同じ場所に保存しま す。 66 • Traps 3.3 管理者ガイド Traps VDI ツールを開きます。 以下の設定を指定します。 • ESM server address[ESM サーバーのアドレス ]— ハッ シュをチェックするのに使用する ESM サーバーの IP アドレスおよびホスト名。このサーバーは WildFire に 接続できる必要があります。 • ESM server SSL binding[ESM サーバーが SSL を強制 ]— ESMサーバーにSSLを強制させる場合は値をTrueに設定 します(デフォルト設定は False)。 • Input file[ 入力ファイル ]—Step 2 で作成した、すべての ハッシュを含むコンマ区切り(CSV)ファイルのパス。 • Output file path[ 出力ファイルのパス ]—Traps VDI ツー ルが WildFire キャッシュ出力ファイルを作成する際に 使用するファイル名を入力します (WildFireCache.xml)。 • ESM server port[ESMサーバーポート]—ESMサーバーの ポート番号(デフォルト設定は 2125)。 • Hash bulk size[ハッシュの分割サイズ]—ハッシュはこの サイズに分けられてサーバーに報告されます(デフォ ルト設定は 300。範囲は 1 ~ 500)。 • Tool timeout in hours[ ツールのタイムアウト (時間)]—Traps VDI ツールが判定の取得を待機する期 間(時間単位)。このタイムアウト期間を過ぎると、 Traps VDI ツールは WildFire キャッシュの生成停止しま す(デフォルト設定は 24 時間)。 • Wait for WildFire verdicts[WildFire判定を待機]—未知の ハッシュを送信して WildFire 判定を待つ場合は True (デフォルト設定)を、未知のハッシュのアップロード およびキャッシュファイルの生成をスキップする場合 は False を設定します。 • WildFire verdicts check interval[WildFire 判定のチェッ ク間隔 ]— 新しい判定を確認するクエリを送信する間隔 (分単位、デフォルト設定は 10)。 • Write malware to cache[ キャッシュにマルウェアを書 き込む ]— マルウェア判定をキャッシュファイルに書き 込む場合は True を選択します(デフォルト設定は False)。 3. Start[ 開始 ] をクリックします。 4. Traps VDI ツールは判定の検索結果を利用し、 WildFireCache.xml ファイルを作成します。このファイル には次の各タイプのハッシュから成るリストが含まれて います。 • Traps VDIツールがESMサーバーにアップロードした未 知のハッシュ • Traps VDI ツールがアップロードに失敗した未知のハッ シュ • WildFire によって発見された悪意のあるハッシュ © Palo Alto Networks, Inc. VDI 環境における Traps の管理 マスターポリシーの設定 マスターポリシーの設定 (Continued) Step 4 WildFire によって有害と判定された PE ファイルをすべて確認します。 1. Traps VDIツールが作成したマルウェア テキストファイル を開きます。このファイルには、WildFire が有害判定を 下したハッシュのリストが含まれています。 2. 悪意のある PE ファイルそれぞれに対して次のいずれかの 操作を行います。 • 悪意のある PE ファイルをマスタイメージから削除しま す。 • WildFire 判定が誤っていると思われる場合、ESM コン ソールの Hash Control[ ハッシュ制御 ] ページでその PE ファイルの判定をオーバーライドし、 WildFireCache.xml 内の判定を「安全」に変更すること ができます。 Step 5 Cytool を使用してエージェントサービス およびドライバを終了させます。 エンドポイントでの Traps のランタイム時の要素の開始 / 停止 を参照してください。 Step 6 WildFire キャッシュを、Traps VDI ツール 1. が生成したファイルに置き換えます。 2. Step 7 Cytool を使用してエージェントサービス およびドライバを開始します。 Step 8 Traps VDI ツールを使用すれば、マスタイ 1. メージを VDI インスタンスとして特定す 2. ることができます。 Traps VDI ツールが生成した WildFire キャッシュファイル を探します。このファイルは、Output file path[ 出力ファ イルのパス ] で指定したパスの先にあります。 WildFireCache.xml ファイルを、 %ProgramData%\Cyvera\LocalSystem\ 内の新しいファイ ルに置き換えます。 エンドポイントでの Traps のランタイム時の要素の開始 / 停止 を参照してください。 Traps VDI ツールを開きます。 左上にある Menu[ メニュー ] をクリックして Mark as VDI[VDI としてマーク ] を選択します。 3. Traps のアンインストール用パスワードを入力し、Mark as VDI[VDI としてマーク ] をクリックします。 ツールにより、Windows レジストリ内のマシンが VDI インス タンスとして特定されます。 Step 9 必ず ESM サーバーが WildFire にアクセス ESM サーバーでブラウザを立ち上げ、次のアドレスにアクセ できるようにしてください。 スします:https://wildfire.paloaltonetworks.com © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 67 Traps の設定 VDI 環境における Traps の管理 Traps の設定 Traps の詳細な設定を行う前に、マスターポリシーの設定を実施する必要があります。その後、お客様の VDI デプロイ環境に合わせて設定を行います。 非永続ストレージを用いる場合の Traps の設定 永続ストレージを用いる場合の Traps の設定 非永続ストレージを用いる場合の Traps の設定 非永続ストレージを用いる場合、自動的に Traps サービスに開始遅延が適用されます。さらに、最新の ポリシーを取得するためにこのサービスが起動した後、Traps エージェントが ESM サーバーにハート ビート メッセージを送信できなかった場合はサービスが再起動するよう、設定を行う必要があります。 非永続ストレージを用いる場合の Traps の設定 Step 1 マスタイメージにある Traps サービスを 1. 設定します。 services.msc を開きます。Start > Run[ 開始 > 実行 ] をクリッ クして services.msc と入力し、Enter キーを押します。 2. Traps サービスを右クリックし、Properties[ プロパティ ] を 選択します。 3. サービスの Startup type[ 起動タイプ ] のドロップダウンリス トで Automatic (Delayed Start)[ 自動(開始遅延を伴う)] を選択します。 4. Apply[ 適用 ]、OK の順にクリックします。 5. Traps Dump Analyzer Service[Traps ダンプアナライザーサー ビス ] および Traps Reporting Service[Traps レポートサービ ス ] に対して同じ作業を繰り返します。 68 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. VDI 環境における Traps の管理 Traps の設定 非永続ストレージを用いる場合の Traps の設定 (Continued) Step 2 TrapsサービスのRecovery[リカバリ]プ 1. ロパティを設定します。 2. © Palo Alto Networks, Inc. 以下の設定を指定します。 • First failure[初回の失敗]—Restart the Service[サービスを 再起動 ] • Second failure[2 度目の失敗 ]—Restart the Service[ サービ スを再起動 ] • Second failure[ それ以降の失敗 ]—Restart the Service[ サービスを再起動 ] • Reset fail count after[ 失敗回数を 0 にリセットするまで の日数 ]—0 日 • Restart service after[ サービスを再起動するまでの分数 ]— 1分 Apply[ 適用 ]、OK の順にクリックします。 Traps 3.3 管理者ガイド • 69 Traps の設定 VDI 環境における Traps の管理 非永続ストレージを用いる場合の Traps の設定 (Continued) Step 3 Microsoft のサポート技術情報 1. (http://support.microsoft.com/kb/ 193888)に従い、Traps サービスが Spooler サービス(あるいはその他の最 2. 終読込サービス)に依存するよう設定 3. を行います。 4. Windows レジストリを開き、HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\ 内の CyveraService キーを探します。 DependOnService(multistring)をダブルクリックします。 Spooler を Value [ 値 ] データのリストに追加します。 OK をクリックします。 永続ストレージを用いる場合の Traps の設定 ローカルストレージエリアにオフロードするために VDI マシンを利用する場合、Traps サービスのプロ パティに対する変更、スタートアップおよびシャットダウン スクリプトに対する変更を含めて、マスタ イメージに追加の変更を加える必要があります。 永続ストレージを用いる場合の Traps の設定 Step 1 VDI が立ち上がる際は必ず、マシンの標 マスタイメージ上で GPO を使用してスタートアップ クリ 準ドライブからマシンのローカルスト プトを実行するか、スケジュールを設定してタスクあるい レージへのシンボリックリンクを作成 はローカルポリシーとして実行させます。 します。 スタートアップ クリプト用の GPO を設定するには: 70 • Traps 3.3 管理者ガイド 1. ドメインコントローラで gpmc.msc(Group Policy Management)を実行し、新しい GPO を作成します。 2. GPO に分かりやすい名前を付け、OK をクリックします。 3. 新しく作成した GPOを右クリックし、Edit[ 編集 ] を選択しま す。 4. グループポリシー管理エディタの左側のペーンで Scripts (Startup/Shutdown)[ スクリプト (スタートアップ / シャット ダウン ] を表示し、次に右側のペーンで Startup[ スタート アップ ] をダブルクリックします。 5. Add[ 追加 ] をクリックして対象のスクリプトを探し、 スクリ プトを選択して OK をクリックします。 6. 両方のグループポリシー管理スナップインを閉じます。 © Palo Alto Networks, Inc. VDI 環境における Traps の管理 Traps の設定 永続ストレージを用いる場合の Traps の設定 (Continued) Step 2 イメージに封がされる前にサービス状 態をリセットし、試験あるいは実運用 時の環境に移行します。 マスタイメージ上でシャットダウン スクリプトを使用してバッ チファイルを作成し、実行します。 Step 3 Traps サービスの設定を行います。 1. services.msc を開きます。Start > Run[ 開始 > 実行 ] をクリッ クして services.msc と入力し、Enter キーを押します。 2. Traps サービスを右クリックし、Properties[ プロパティ ] を 選択します。 3. サービスの Startup type[ 起動タイプ ] のドロップダウンリス トで Manual[ 手動 ] を選択します。 4. Apply[ 適用 ]、OK の順にクリックします。 5. Traps Dump Analyzer Service[Traps ダンプアナライザーサー ビス ] および Traps Reporting Service[Traps レポートサービ ス ] に対して同じ作業を繰り返します。 スタートアップ クリプト set drivepath=D:\ set datapath=%drivepath%\ProgramData\Cyveraset set policypath=%ProgramData%\CyveraNotInUse\LocalSystem\ClientPolicy.xml IF EXIST %drivepath% ( IF EXIST %ProgramData%\Cyvera ( rename %ProgramData%\Cyvera CyveraNotInUse ) %windir%\system32\cmd.exe /c mklink /J %ProgramData%\Cyvera %datapath% 2>&1 IF NOT EXIST %datapath% ( mkdir %datapath% ) IF NOT EXIST %datapath%\Everyone\Data ( mkdir %datapath%\Everyone\Data ) IF NOT EXIST %datapath%\Everyone\Temp ( mkdir %datapath%\Everyone\Temp ) IF NOT EXIST %datapath%\LocalSystem ( mkdir %datapath%\LocalSystem ) IF EXIST %datapath%\LocalSystem\ClientPolicy.xml ( del /F %datapath%\LocalSystem\ClientPolicy.xml ) copy %policypath% %datapath%\LocalSystem\ClientPolicy.xml IF NOT EXIST %datapath%\LocalSystem\Data ( mkdir %datapath%\LocalSystem\Data ) IF NOT EXIST %datapath%\Logs ( mkdir %datapath%\Logs ) © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 71 Traps の設定 VDI 環境における Traps の管理 IF NOT EXIST %datapath%\Prevention ( mkdir %datapath%\Prevention ) ) sc start cyserver sc start cyveraservice sc start TrapsDumpAnalyzer time /t >> %datapath%\Logs\gpolog.txt シャットダウン スクリプト ::Stop Cyvera services net stop CyveraService net stop TrapsDumpAnalyzer net stop CyServer rd c:\ProgramData\Cyvera /q ren c:\ProgramData\CyveraNotInUse Cyvera net start CyveraService net start TrapsDumpAnalyzer net start CyServer 72 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. VDI 環境における Traps の管理 VDI ポリシーの調整およびテスト VDI ポリシーの調整およびテスト VDI ポリシーの調整およびテスト Step 1 Traps をテストマシン(マスタイメージあるいは非 VDI インスタンスのいずれか)にインストールし、エク スプロイトおよびマルウェア防止ポリシーの微調整を行います。 初期状態で提供されている VDI 条件を使用し、VDI インスタンスにのみルールを適用します。 Step 2 マスタイメージを使用し、少数(2 か 3)の永続セッションを生成します。そのセッションを実運用時の環 境に導入し、ブラウジング、開発や専用アプリケーションの使用といった、日々予想されるユーザーの操 作を実行します。 Step 3 この期間に詳細な情報を収集してデフォルトのセッションポリシーをさらに最適化し、非永続セッション に適用された特別な制限要素をテストします。通常、永続モードで導入されたクライアントは非永続モー ドで導入されたクライアントよりも、フォレンジックデータ収集に優れています。 Step 4 エクスプロイト / マルウェア防止ポリシーによって引き起こされた、テストマシンおよびテスト VDI プール の安定性の問題を解決します。 Step 5 VDI サーバーがマスタイメージからセッションを生成して ESM サーバーに接続した後、マスタイメージの 接続を解除します。次に、WildFire インテグレーションが有効になり、マスタイメージ上でテストされた 設定に基いて EPM インジェクションが設定され、より長い間隔(60 分を推奨)でハートビートおよびレ ポートが送信され、さらにメモリダンプが自動的に送信されるよう、VDI ポリシーに変更を加えます。 Traps は初期状態のマスターポリシーを変更済みの VDI ポリシーに置き換えます。次回の再起動時、生成さ れたあらゆるセッションに対して VDI ポリシーの変更が有効になります。 Step 6 ESM コンソールにログインし、Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] ページで VDI インスタンスの安全状態を確認します。お客様の組織で混合環境を使用している場合は、マシンの Type [ タイプ ] 列にフィルターをかけて VDI インスタンスのみを表示することができます。各 VDI インスタン スのステータスが connected(接続中)になっているはずです。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 73 VDI ポリシーの調整およびテスト 74 • Traps 3.3 管理者ガイド VDI 環境における Traps の管理 © Palo Alto Networks, Inc. ESM サーバーの管理 複数の ESM サーバーの管理 ESM サーバー設定の管理 Traps ライセンス ESM コンソールの管理者アクセスを管理 ポリシーファイルのインポート・エクスポート © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 75 複数の ESM サーバーの管理 ESM サーバーの管理 複数の ESM サーバーの管理 ESM コンソールから複数の Endpoint Security Manager(ESM)サーバーを構成・管理することで、大規 模サイト、あるいはマルチサイトの導入が可能になります。各 ESM サーバーは、Traps エージェントお よびイベントに関する情報とセキュリティポリシーを保存している共有データベースに接続し、専用の フォレンジックフォルダにフォレンジックデータをアップロードすることができます。ESM サーバーを 追加することで、お客様のネットワークに接続できる Traps の数を増やすことができます。 各 ESM サーバーは既知のサーバーのリストを定期的にデータベースに求め、そのリストを次のハート ビートの際に Traps エージェントにプッシュ送信します。Traps エージェントは応答時間に基づき、どの ESM サーバーに接続を試みるか決定します。Traps が優先順位の高い ESM サーバーに接続できない場合 は、ESM サーバーと接続を確立できるまで、リストの上から順に試行していきます。ESM サーバーを削 除した、あるいは一時的に無効にした場合は、利用可能な ESM サーバーのリストを ESM コンソールが 更新し、次のハートビートの際にそのリストを Traps エージェントにプッシュ送信します。 ロードバランサーを使用して複数の ESM サーバー間のトラフィックを管理する場合は、Traps ソフト ウェアをインストールする際に Traps エージェントがロードバランサーの IP アドレスを使用するよう設 定することができます。また、Traps エージェントは ESM サーバーに直接接続しようとはせず、その ロードバランサーを介して接続を確立できるようになります。 さらに、Traps エージェントが接続している ESM サーバーに紐付けられたフォレンジックフォルダに Traps エージェントがアクセスできない場合に使用する、デフォルトのフォレンジックフォルダを定義す ることも可能です。 システム要件 マルチ ESM の導入環境における既知の制限 複数の ESM サーバーの管理 システム要件 各 ESM サーバーは、ESM サーバーをインストールする際の前提条件にある要件を満たしていなければ なりません。 マルチ ESM の導入環境における既知の制限 マルチ ESM の導入には、次のような制限事項があります。 ロードバランサーを使用する場合、Traps エージェントをインストールする際にそのロードバラン サーの IP アドレスを指定しておく必要があります。そうすることで Traps エージェントが一つだけの ESM サーバーに直接接続するのを防止し、その代わりに接続を確立できた複数の ESM サーバー間に ロードバランサーがトラフィックを分散できるようになります。 各 ESM サーバーには静的 IP アドレスが必要です。 76 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 複数の ESM サーバーの管理 複数の ESM サーバーの管理 各 ESM サーバーのインストール後(Endpoint Security Manager のサーバーソフトウェアをインストー ルを参照)、ESM コンソールは各サーバーの識別情報を Settings > ESM > Multi ESM[ 設定 > ESM > マルチ ESM] のページに表示します。ESM サーバーの構成はいつでも変更できます。また、必要に応じて ESM サーバーを一時的に無効化、有効化、あるいは削除することができます。 アクション ステップ ESM サーバーの設定 1. を調整する 2. ESM サーバーの行を選択し、Edit [ 編集 ] をクリックします。次に以下の項目を任意で 変更します。 • Name[ 名前 ] — サーバーのホスト名。 • Internal Address[ 内部アドレス ] — サーバーの内部アドレスおよびポート(例: http://ESMServer1:2125/)。 • External Address[ 外部アドレス ] —Traps がサーバーとの交信に使用するサーバーの ポートおよび外部アドレス(例:http://203.0.113.10:2125/)。 • Forensic Folder URL[フォレンジックフォルダの URL] —フォレンジックフォルダと通 信を行う際に SSL を使用し、フォレンジックデータを暗号化することを強く推奨い たします。SSL を使用する場合は完全修飾ドメイン名(FQDN)を含め、ポート 443 を指定します(例:HTTPS://ESMserver.Domain.local:443/BitsUploads)。SSL を使 用しない場合はポート 80 を指定します(例:http://ESMSERVER:80/BitsUploads)。 Traps エージェントが接続している ESM サーバーに関連付けられているフォルダに エージェントがアクセスできない場合に使用するデフォルトのフォレンジックフォ ルダを指定するには、Settings > ESM > Settings[ 設定 > ESM > 設定 ] を選択し、 Forensic Folder URL[ フォレンジックフォルダの URL] を入力します。 変更を Save[ 保存 ] します。 ESM サーバーを無効 ページ上部にあるアクション メニューから Disable Selected[ 選択中のものを無効化 ] 化する を選択します。ESM コンソールによってサーバーのステータスが Disabled[ 無効 ] に変更 されます。このアクションにより、Traps エージェントが接続でき、かつ利用できる状態の ESM サーバーのプールから当該 ESM サーバーが一時的に削除されます。また、このオプショ ンを利用しても後日 ESM サーバーを再び有効にすることもできます。 ESM サーバーを削除 サービスから ESM サーバーを削除するには、ページ上部のアクション メニューにある する Delete Selected[ 選択中のものを削除 ] を選択します。このアクションにより、Traps エー ジェントが接続でき、かつ利用できる状態の ESM サーバーのプール、および ESM コンソー ルから当該 ESM サーバーが永久に削除されます。また、一度削除した ESM サーバーは再イ ンストールを行わない限り再び有効にすることはできません。 メニューから Activate Selected[ 選択中のものを有効化 ] ESM サーバーを有効 ページ上部にあるアクション を選択します。このアクションにより、利用可能なサーバーのプールに ESM サーバーが再 化する び追加されます。 ESM サーバーの設定 ESM サーバー設定の管理を参照してください。 を調整する © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 77 ESM サーバー設定の管理 ESM サーバーの管理 ESM サーバー設定の管理 ESM コンソールを使用して ESM サーバーを設定 DB 構成ツールを使用して ESM サーバーを設定 ESM コンソールを使用して ESM サーバーを設定 Traps サービスには次のような重要なタスクが 3 つあり、その一環として定期的に ESM サーバーにメッ セージを送信します。 エージェントの動作状態を報告する エンドポイントで実行中のプロセスを報告する 最新のセキュリティポリシーをリクエストする データベース(DB)構成ツール(DB 構成ツールを使用して ESM サーバーを設定を参照)あるいは ESM コンソールを使用して、サーバーとエンドポイント間のこういった通信の頻度を変更することがで きます。 ESM コンソールを使用して ESM サーバーを設定 Step 1 ESM コンソールから、Settings > ESM > Settings[ 設定 > ESM > 設定 ] を選択します。 Step 2 次のサーバー設定を任意で変更します。 • Quarantine Network Path[ 検疫ネットワークパス ]—(Traps 3.1 以前のバージョン)Traps エージェント が接続している ESM サーバーに紐付けられたフォルダにエージェントがアクセスできない場合に使用 する、デフォルトのフォレンジックフォルダ。 • Inventory Interval (Minutes)[ リスト送付間隔(分)]— エンドポイント上で実行されているアプリケー ションのリストを Traps が ESM サーバーに送信する頻度を入力します。 • Heartbeat Grace Period (Seconds)[ ハートビートの猶予期間(秒)]—Traps エージェントが応答しない場 合の許容時間(300 ~ 86,400。デフォルトでは 300)を入力します。 • Forensic Folder URL[ フォレンジックフォルダの URL]—BITS が有効なフォレンジックフォルダの URL。 フォレンジックフォルダと通信を行う際に SSL を使用し、フォレンジックデータを暗号化すること を強く推奨いたします。SSL を使用する場合は完全修飾ドメイン名(FQDN)を含め、ポート 443 を指定します(例:HTTPS://ESMserver.Domain.local:443/BitsUploads)。SSL を使用しない場合 はポート 80 を指定します(例:http://ESMSERVER:80/BitsUploads)。 • Keep-alive Timeout[ キープアライブのタイムアウト ]—(任意)エンドポイントがログあるいはレポー トに対しキープアライブメッセージを送信する分単位の時間(0 以上。デフォルトでは 0)。 • Update From Server Package Address[ サーバーパッケージアドレスを使用して更新 ]— パッケージ更新 サーバーの URL。 • Use DNS For Address Resolution[アドレス解決にDNSを使用]—アドレス解決にDNSを使用する場合はこ のオプションを選択します。DNS が過剰にエラーログを記録するのを防ぐため、デフォルトではこの オプションが無効になっています。 Step 3 変更を Save[ 保存 ] します。 78 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 ESM サーバー設定の管理 DB 構成ツールを使用して ESM サーバーを設定 Traps サービスには次のような重要なタスクが 3 つあり、その一環として定期的に ESM サーバーにメッ セージを送信します。 エージェントの動作状態を報告する エンドポイントで実行中のプロセスを報告する 最新のセキュリティポリシーをリクエストする ESM コンソール(エンドポイントと ESM サーバーの通信設定の定義を参照)あるいはデータベース (DB)構成ツールを使用して、サーバーとエンドポイント間の通信頻度を変更することができます。 ESM コンソールだけでなく、コマンドライン型のインターフェース(CLI)を持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者とし て実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」フォルダ に格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 DB 構成ツールを使用して ESM サーバーを設定 Step 1 次の 2 つのうちいずれかの方法で、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[管理者として実行 ] を選 択します。 • Start[ スタート ] を選択し、Start Search[ 検索開始 ] 入力欄に cmd と入力しますが、まだ Enter キーは押し ません。次に Ctrl+Shift+Enter を同時に押し、管理者として CLI コマンドのウィンドウを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のサーバー設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Step 4 (任意)エンドポイント上で実行されているアプリケーションのリストを Traps が ESM サーバーに送信する 頻度を定義するリスト送付間隔(分)を指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server InventoryInterval value 例えば値を 120 に設定すると、エンドポイントは 2 時間(120 分)ごとに情報を送信するようになります。 Step 5 (任意)エンドポイントが応答しない場合の許容できる猶予期間(300 ~ 86,400。デフォルトでは 300)を 秒単位で入力します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server HeartBeatGracePeriod value 例えば値を 300 に設定すると、ESM サーバーがエンドポイントからの通信を 5 分(300 秒)間受信しな い場合に Endpoint Security Manager がそのエンドポイントのステータスを未接続として報告します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 79 Traps ライセンス ESM サーバーの管理 Traps ライセンス Traps ライセンスについて ESM コンソールを使用して Traps ライセンスを追加 DB 構成ツールを使用して Traps ライセンスを追加 Traps ライセンスの解除 Traps ライセンスについて Traps ライセンスには有効期限、および ESM コンソールにて管理可能なエンドポイントの最大数が設定さ れています。エンドポイントはライセンスを ESM サーバーから取得します。各ライセンスには種類 (サーバー、ワークステーション、あるいは VDI)、エージェントプールのサイズ、有効期限が設定され ています。 各データベースのインスタンスには、エンドポイントのセキュリティポリシーの管理、WildFire の有効 化、サポートの利用に関して有効なライセンスが必要になります。ライセンスを購入する際は、Palo Alto Networks のアカウントマネージャーまたはリセラーにお問い合わせください。 ライセンスは次のような方法で管理できます。 View license utilization[ ライセンスの利用状況を確認 ]— クライアント、サーバー、VDI のライセンス の現在の使用状況はすべて Dashboard[ ダッシュボード ] にある License Capacity[ ライセンス数 ] のグ ラフで確認できます。 Add a Traps license[Traps ライセンスを追加 ]—Settings > License[ 設定 > ライセンス ] ページにて機能 やユーザーを追加できます。ESM コンソールを使用して Traps ライセンスを追加を参照してくださ い。 Update a License[ ライセンスの更新 ]— エンドポイントのライセンスを更新するにはアクションルー ルを作成し、ライセンスを更新したいエンドポイントを指定します。エンドポイント上の Traps ライ センスの更新または取り消しを参照してください。 Revoke a License[ ライセンスを一時的に返却 ]— エンドポイントのライセンスを一時的に返却する場 合は、ESM コンソールにてエンドポイントの Traps ライセンスの解除します。このアクションを実行 すると利用可能なライセンスのプールが即座に更新され、返却したライセンスを別の Traps エージェ ントで使用可能になります。ただし、Traps サービスあるいはエンドポイントを再起動するまでの間 はその Traps エージェントにライセンスが適用されません。再起動時にエージェントが ESM サー バーとの接続を確立しようと試み、新しいライセンスをリクエストします。エンドポイントから永久 にライセンスを返却する場合は、そのエンドポイントに対してアクションルールを作成します(エン ドポイント上の Traps ライセンスの更新または取り消しを参照)。ESM サーバーとの次回のハート ビート通信の際にアクションルールを受け取った Traps は、ライセンスを開放して Traps 保護をオフ にします。 80 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 Traps ライセンス ESM コンソールを使用して Traps ライセンスを追加 Traps を使用してエンドポイントを保護する前に、有効なライセンス キーをインストールしておく必要 があります。 ESM コンソールを使用して Traps ライセンスを追加 開始する前に:Palo Alto Networks のアカウントマネージャーまたはリセラーからライセンスを取得します。 Step 1 Settings > Licensing[ 設定 > ライセンス ] を選択し、新規ライセンスを Add[ 追加 ] します。 Step 2 ライセンスファイルを Browse[ 選択 ] で選択し、Upload[ アップロード ] します。ライセンスの特徴、エー ジェントプールのサイズ、ライセンスが発行されたエンドポイントの数、ライセンスを追加した日付、ラ イセンスの有効期限など、新しいライセンスに関する情報が ESM コンソールに表示されます。 Step 3 (任意)Traps ライセンスの利用状況を確認するには、Dashboard[ ダッシュボード ] を選択し、License Capacity[ ライセンス範囲 ] を表示します。 Step 4 (任意)ライセンスの有効期限が迫った、あるいはライセンスが失効したエンドポイントに新規ライセン スを追加するには、アクションルールを作成します(エンドポイント上の Traps ライセンスの更新または 取り消しを参照)。 Step 5 (任意)ライセンス情報を CSV ファイルにエクスポートするには、アクションメニュー Export Logs[ ログをエクスポート ] を選択します。 Step 6 をクリックし、 ESM コンソールのインストール時にライセンス キーをインストールしなかった場合は、ESM サーバー上 で Endpoint Security Manager のコアサービスが実行されているかどうか、次のようにして確認します。 1. サービスマネージャーを開きます: • Windows Server 2008— スタートメニューから、Control Panel > Administrative Tools > Services [ コントロールパネル > 管理者ツール > サービス ] を選択します。 • Windows Server 2012— スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル > システムとセキュリティ > 管理者ツール > サービス ] を選択します。 2. Endpoint Security Manager サービスを探し、サービスステータスが Started[ 開始 ](Windows Server 2008)あるいは Running[ 運転中 ](Windows Server 2012)であることを確認します。 3. サーバーステータスが Stopped[ 停止 ] あるいは Paused[ 一時停止 ] の場合は、当該サービスをダブルク リックし、Start[ 開始 ] を選択します。 4. Close[ 閉じる ] をクリックします。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 81 Traps ライセンス ESM サーバーの管理 DB 構成ツールを使用して Traps ライセンスを追加 データベース(DB)構成ツールを使用すれば、ライセンスをインストールできるかどうかといった ESM サーバーの基本設定を管理できます。Microsoft MS-DOS コマンドプロンプトを管理者として実行する と、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」フォルダに格納され ています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 DB 構成ツールを使用して Traps ライセンスを追加 開始する前に:Palo Alto Networks のアカウントマネージャーまたはリセラーからライセンスを取得します。 Step 1 次の 2 つのうちいずれかの方法で、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリ ] を選択し、 Command prompt[コマンドプロンプト]を右クリックしてRun as administrator[管理者として実行]を選 択します。 • Start[ スタート ] を選択し、Start Search[ 検索開始 ] 入力欄に cmd と入力しますが、まだ Enter キーは押し ません。次に Ctrl+Shift+Enter を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 新規ライセンスを次の場所にアップロードします。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig importLicense C:\<PathtoLicenseFile>\<LicenseFilename>.xml DB 構成ツールによりライセンスファイルがアップロードされます。ESM コンソールを使用してライセン スを確認する方法については、ESM コンソールを使用して Traps ライセンスを追加をご参照ください。 Step 4 (任意)必要に応じて、ESM コンソールでアクションルールを作成し、エンドポイントに新規ライセンス を追加します(エンドポイント上の Traps ライセンスの更新または取り消しを参照)。 Traps ライセンスの解除 エンドポイントのライセンスを解除するこのアクションは、利用可能なライセンスのプールを即座に更 新し、返却したライセンスを別の Traps エージェントで使用可能にする一時的なアクションです。ただ し、ライセンスを解除しても Traps サービスあるいはエンドポイントを再起動するまでの間はその Traps エージェントにライセンスが適用されません。エンドポイントを再起動する際にエージェントが ESM サーバーとの接続を確立しようと試み、新しいライセンスをリクエストします。ライセンスを解除する このアクションは、VDI 環境において VDI が正しく終了せず、ライセンスを開放できなかった場合に役 立ちます。 エンドポイントから永久にライセンスを返却する場合は、そのエンドポイントに対してアクションルー ルを作成します(エンドポイント上の Traps ライセンスの更新または取り消しを参照) 。このアクション は、Traps エージェントとの次回のハートビート通信の際、ライセンスを開放して Traps 保護をオフにし ます。 82 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 Traps ライセンス Traps ライセンスの解除 Step 1 Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択します。 Step 2 ライセンスを返却するエンドポイントを探します。 Computer [ コンピューター] 列の上部にあるフィルターオプションを使用すれば、コンピューターな どのエンドポイントを素早く見つけることができます。 Step 3 エージェントの安全状態に関する表で任意の数のエンドポイントにチェックを入れます。 Step 4 アクションメニュー をクリックし、Detach License[ ライセンス解除 ] を選択します。ESM サーバーに より、利用可能なライセンスのプールにライセンスが即座に返却され、別の Traps エージェントで使用可 能な状態になります。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 83 ESM コンソールの管理者アクセスを管理 ESM サーバーの管理 ESM コンソールの管理者アクセスを管理 Endpoint Security Manager(ESM)のインストール時、管理者がコンソールにアクセスする際に使用す る権限のタイプ、管理者アカウントを指定します。ESM コンソールは、ローカルの ESM コンソール サーバーで定義されたユーザーの認証を行ったり、アクティブディレクトリ(AD:Active Directory)で 定義されたドメインアカウントを使用してユーザーを認証します。インストール後、認証モードを変更 したり、アクセス権限のあるロールにカスタマイズを施したり、管理者アカウントにそのロールを割り 当てたりすることができます。 管理ロール 管理ユーザー 管理認証 管理者アカウントおよび認証の設定 管理ロール ロールに基づくアクセス制御(RBAC:Role-based access control)を行うことにより、定義済みのロー ルやお客様ご自身で定義したカスタムロールを使用して管理ユーザーにアクセス権限を付与することが できます。ロールをユーザーに割り当てることで、ESM コンソールの各ページや特定の設定項目へのア クセス権限といった、各ロールに固有の権限をユーザーに付与することができます。ロールにカスタマ イズを施して特定の権限を割り当てれば、お客様の組織の各部門・担当地域ごとに利用できる情報を厳 密に区別し、ESM コンソールのデータの機密性を維持することができます。 管理者アクセスの設定方法は、お客様の組織のセキュリティ要件によって異なります。ロールを使用し て管理ユーザーアカウントに特定のアクセス権限を割り当ててください。ESM コンソールには、変更で きない特定のアクセス権限を持ったロールがデフォルトで組み込まれています。製品の機能が新しく追 加されると、ESM コンソールが自動的にデフォルトのロールの定義にその新しい機能を追加するように なっています。ESM コンソールにアクセスできるデフォルトのロールが持つアクセス権限は以下の表の とおりです。 ロール 権限 スーパーユーザー ESM コンソールに対するすべての読込・書込権限。 IT 管理者 監視および設定ページに対する読込・書込権限、およびその他の ESM コンソールの各 ページに対する読込権限(すべての保護を無効にする権限はありません) 。 セキュリティ管理者 ESM コンソールのポリシー設定、監視、設定ページに対する読込・書込権限(すべて の保護を無効にする権限があります)。またこのロールにはエージェントの安全状態 ページに対する読込権限がありますが、サーバーの安全状態ページやライセンスペー ジへのアクセス権限はありません。 84 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 ESM コンソールの管理者アクセスを管理 デフォルトのロールが持つ権限を変更することはできませんが、カスタムロールを作成することで、 ウェブインターフェースの各機能領域へのアクセス権限をより細かく設定することができます。そのよ うなロールについては、ESM コンソールのすべての設定機能や各ページに対する読込・書込権限あるい は読込のみの権限を付与したり、アクセス権を一切与えないようにしたりすることも可能です。 カスタムロールを使用する例として、ログを表示してエンドポイントのステータスを確認できなければ ならず、その一方でセキュリティルールの設定を変更する必要はないセキュリティ管理者を作成する場 合などがあります。 管理ユーザー 管理ユーザーは、ESM コンソールの特定の管理機能やレポート機能にアクセスできるローカルあるいは ドメインベースのユーザーアカウントです。ロールに基づくアクセス制御(RBAC:Role-based access control)を使用し、特定の権限や役割をロールに付与し、さらにそのような権限を必要とする各ユー ザーにロールを割り当てることができます。 ESM コンソールへのアクセス権を必要とするユーザーごとに別個の管理者アカウントを作成す るのが良いでしょう。これにより、無権限のユーザーが設定(または変更)を行うのを防止 し、個々の管理者のすべてのアクションをログに記録することができます。 ESM コンソールを使用し、次の各アカウントタイプに対して管理者アクセス権限を割り当ててください。 アカウントの種類 説明 ユーザー (マシンあるいはドメイン認証)ESM コンソールにログインするのに使用する、 既存のドメインあるいはローカルのユーザーアカウント。ESM コンソールは、次 の 2 つのうちいずれかの方法でユーザーを認証します。 • Domain authentication[ ドメイン認証 ]— アクティブディレクトリに保存されて いる認証情報を使用して認証を行います。 • Machine authentication[ マシン認証 ]—ESM コンソールがインストールされた ローカルシステムに保存されている認証情報を使用して認証を行います。 グループ (ドメイン認証のみ)あるセキュリティグループに属するすべてのユーザーに管理 者アクセス権限を付与し、アクティブディレクトリで定義されている認証情報を 使用してユーザーの認証を行います。 組織ユニット (ドメイン認証のみ)ある組織ユニットに属するすべてのユーザーに管理者アクセ ス権限を付与し、アクティブディレクトリで定義されている認証情報を使用して ユーザーの認証を行います。 ESM コンソールが管理者アカウントの認証情報を記憶することはありません。管理者アカウン トの認証情報は、マシン認証を使用する場合はローカルマシンで、ドメイン認証を使用する場 合はアクティブディレクトリにて変更できます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 85 ESM コンソールの管理者アクセスを管理 ESM サーバーの管理 管理認証 ESM コンソールのインストール時、管理ユーザーの認証を行う際に ESM コンソールが使用する管理ユー ザー、権限のタイプを指定します。これらの項目は、データベース(DB)構成ツール(ESM コンソール への管理権限付きのアクセスを DB 構成ツールで設定を参照)あるいは ESM コンソール(認証モードの 設定を参照)で変更できます。さらに、既存の権限グループのうち、管理権限付きのアクセスを行える のはどのグループかを指定することもできます。デフォルトではグループが指定されていません。 設定できる管理者の認証方法には次のような種類があります。 アカウントの種類 ドメイン マシン 説明 管理者アクセスの際、アクティブディレクトリで定義されているアカウント情報 (ユーザー、グループ、組織ユニットを含む)を使用します。 管理者アクセスの際、ESM コンソールサーバーのローカルにあるアカウント情報 を使用します。 管理者アカウントおよび認証の設定 管理ロールの設定 管理ユーザー、グループ、組織ユニットの設定 認証モードの設定 ESM コンソールへの管理権限付きのアクセスを DB 構成ツールで設定 ニンジャモードのパスワードを変更 管理ロールの設定 お客様の組織にあるデフォルトのロールやカスタムロールは、 Administration > Roles[ 管理 > ロール ] ページですべて確認することができ ます。カスタムロールを作成すれば、お客様の組織のセキュリティ要件 に応じてアクセス権限をカスタマイズすることが可能です。 ここでは、各ロールの名前、説明、そのロールが割り当てられている ユーザーの数、ロールの作成日といった情報が表示されます。いずれか のロールの行を選択すると、行が展開して詳細情報やアクションが表示 されます。ロールに対して実行できるアクションは、デフォルトのロー ル、カスタムロールのどちらの場合でもロールごとに異なります。 デフォルトのロールが持つアクセス権限を確認することはできますが、 その権限を変更・削除することはできません。一方で、カスタムロール については追加や変更を行ったり、削除したりすることができます。ま た、特定のロールを割り当てられたユーザーが ESM コンソールにログイ ンするのを防止するために、ロールをブロックすることもできます。あ 86 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 ESM コンソールの管理者アクセスを管理 るいはカスタムロールを削除すれば、そのロールが持つアクセス権限が ESM コンソールから削除される ため、このロールを割り当てられているユーザーが ESM コンソールにログインできなくなります。ESM コンソールでは、ブロックされているロールに赤いアイコン が付きます。 管理ロールの設定 Step 1 ESM コンソールから、Settings > Administration > Roles[ 設定 > 管理 > ロール ] を選択します。お客様の 組織にあるデフォルトのロールやカスタムロールがすべて ESM コンソールに表示されます。 Step 2 既存のロールを選択して Edit[ 編集 ] するか、新しいロールを Add[ 追加 ] します。 Step 3 Role Name[ ロール名 ] を指定して Description[ 説明 ] を入力します。 Step 4 ロールを有効にする場合は Is Active[ 有効 ] を選択、無効にする場合は選択を解除します。 Step 5 任意の権限を選択し、その権限のアクセスレベルを設定します。デフォルトではすべての権限が無効に なっています。権限を一度選択すると Read Only[ 読込のみ ] のアクセス権限になり、もう一度選択する と読込・書込のアクセス権限(Enable[ 有効 ])に設定されます。権限が有効な状態で再びクリックする と権限が無効になります。 Step 6 Save[ 保存 ] をクリックします。ESM コンソールの表に新しいロール、あるいは変更されたロールが表示さ れます。 Step 7 そのロールをユーザーに割り当てます。管理ユーザー、グループ、組織ユニットの設定を参照してくださ い。 管理ユーザー、グループ、組織ユニットの設定 Settings > Administration > Users[ 設定 > 管理 > ユーザー] ページでは、 ESM コンソー ルに管理者としてアクセスできるすべてのアカウントを確認することができます。 このアカウントはユーザー、グループ、あるいは組織ユニットのいずれかです。管 理者アクセス権限をグループあるいは組織ユニットに与える場合、同一ドメイン内 にそのアカウントが存在しなくてはなりません。管理者アクセス権限をユーザーに 与える場合は、ローカルマシン上のユーザー、同一ドメイン内のユーザーの両方を 追加することが可能です。ESM コンソールはローカルマシンで定義されている認 証情報あるいはドメインを使用してユーザーの認証を行います。 ESM コンソールへのアクセス権を必要とするユーザーごとに別個のアカウントを作成するのが 良いでしょう。 ESM コンソールでは、各アカウントのアカウントステータス(Blocked[ ブロック ] あるいは Unblocked[ ブ ロックしない ] のいずれか)、アカウントの Name[ 名前 ]、割り当てられた Role[ ロール ]、アカウント の作成日が表示されます。いずれかのアカウントの行を選択すると行が展開し、そのロールの作成元 (System[ システム ]、DbConfig、あるいは ESM コンソールにログインしている管理者アカウント)と いった詳細情報やアクションが表示されます。ロールに対して実行できるアクションは、そのロールの 作成元によって異なります。権限があれば他の管理ユーザーが作成したアカウントを変更、ブロック、 ブロック解除、あるいは削除することもできますが、DBconfig によって作成されたアカウントはブロッ クしたり削除したりすることができません。 アカウントをブロックすると、そのアカウントが ESM コンソールにログインできなくなります。あるい はアカウントを削除すれば ESM コンソールからそのアカウントと設定が削除されるため、そのアカウン トが ESM コンソールにログインできなくなります。あるアカウントに紐付けられているロールがブロッ クされている場合、ESM コンソールは Role[ ロール ] を <role name> (inactive) として表示します。あ るアカウントに紐付けられているロールが削除されている場合、ESM コンソールは Role[ ロール ] を N/A © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 87 ESM コンソールの管理者アクセスを管理 ESM サーバーの管理 (inactive) として表示します。また ESM コンソールでは、ブロックされているアカウントのステータス 列には赤い アイコンが表示され、削除あるいはブロックされているロールについては Role[ ロール ] 名の隣に赤い アイコンが表示されます。 管理ユーザー、グループ、組織ユニットの設定 Step 1 ESM コンソールから、Settings > Administration > Users[ 設定 > 管理 > ユーザー ] を選択します。ユー ザー、グループ、組織ユニットといったお客様の組織のアカウントが ESM コンソールに表示されます。 Step 2 Add User[ ユーザーを追加 ]、Add Group[ グループを追加 ]、 Add Organizational Unit[ 組織ユニットを追加 ] のいずれかをクリックして新しいアカウントを作成します。あるいは、既存のアカウントの行を選択し、 Edit[ 変更 ] をクリックしてアカウント設定を変更します。 またこのページではアカウントを Block[ ブロッ ク ]、Unblock[ ブロック解除 ]、Delete[ 削除 ] することもできます。 Step 3 既存のアカウントの Name[ 名前 ] を入力します。マシン認証を使用している場合はローカルマシン上の既 存のユーザーを追加することしかできません。ドメイン認証を使用している場合は、既存のドメインユー ザー、グループ、組織ユニットを任意で追加することができます。 Step 4 アカウントを有効にする場合は Is Active[ 有効 ] を選択、無効にする場合は Is Active の選択を解除します。 Step 5 リストからロールを選択し、アカウントにアクセス権限を割り当てます。新しいロールを作成する方法に ついては管理ロールの設定を参照してください。 Step 6 変更を Save[ 保存 ] します。 ESM コンソールの表に新しいアカウント、あるいは変更されたアカウントが表 示されます。 認証モードの設定 ESM コンソールのインストール時、管理者がコンソールにアクセスする際に使用する権限のタイプ、管 理者アカウントを指定します。これらの項目は、データベース(DB)構成ツール(ESM コンソールへの 管理権限付きのアクセスを DB 構成ツールで設定を参照)あるいは ESM コンソールで変更できます。 Endpoint Security Manager への管理権限付きのアクセスを ESM コンソールでセットアップ Step 1 ESM コンソールから、Settings > ESM > Settings[ 設定 > ESM > 設定 ] を選択します。 Step 2 以下のうちから Authentication Mode[ 認証モード ] を選択します。 • Machine[ マシン ]— ローカルアカウントを使用してユーザーを認証する場合 あるいは • Domain[ ドメイン ]— アクティブディレクトリを使用してユーザーを認証する場合。 Step 3 変更を Save[ 保存 ] します。 ESM コンソールへの管理権限付きのアクセスを DB 構成ツールで設定 ESM コンソールのインストール時、管理者がサーバーにアクセスする際に使用する権限のタイプ、管理 者アカウントを指定します。さらに、既存の権限グループのうち、管理権限付きのアクセスを行えるの はどのグループかを指定することもできます。デフォルトではグループが指定されていません。これら の項目は、ESM コンソール(認証モードの設定を参照)あるいはデータベース(DB)構成ツールで変更 できます。 88 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 ESM コンソールの管理者アクセスを管理 ESM コンソールだけでなく、コマンドライン型のインターフェース(CLI)を持つ DB 構成ツールでも サーバーの基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者とし て実行すると、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」フォルダ に格納されています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 ESM コンソールへの管理権限付きのアクセスを DB 構成ツールで設定 Step 1 次の 2 つのうちいずれかの方法で、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリ ] を選択し、 Command prompt[コマンドプロンプト]を右クリックしてRun as administrator[管理者として実行]を選 択します。 • Start[ スタート ] を選択し、Start Search[ 検索開始 ] 入力欄に cmd と入力しますが、まだ Enter キーは押し ません。次に Ctrl+Shift+Enter を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存の管理者の設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement show AuthMode = Machine AllowedUsers = Administrator AllowedGroups = Step 4 (任意)domain か machine のいずれかから権限モードを指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement AuthMode [domain|machine] Step 5 (任意)管理ユーザーを追加で指定します。複数の入力内容がある場合はセミコロンで区切ります。例: administrator1;administrator2 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement AllowedUsers username1;username2 管理ユーザーを指定すると、以前に定義されていた dbconfig の値がすべて上書きされます。現在の 値を保持する場合は、コマンドで指示します。 Step 6 (任意)管理グループを追加で指定します。管理者アクセスについてグループを使用する場合はドメイン 認証を用いるとともに、アクティブディレクトリで定義されている既存のグループを指定しなければなり ません。複数の入力内容がある場合はセミコロンで区切ります。例:securityadmins;endpointadmins C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig usermanagement AllowedGroups groupname1;groupname2 管理グループを指定すると、以前に定義していた dbconfig の値がすべて上書きされます。現在の値 を保持する場合は、コマンドで指示します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 89 ESM コンソールの管理者アクセスを管理 ESM サーバーの管理 ニンジャモードのパスワードを変更 ESM コンソールで詳細設定の表示・変更を行う際はニンジャモードのパスワードを入力する必要があり ます。また、このパスワードは DB 構成ツールで変更できます。 ニンジャモードのパスワードを DB 構成ツールで変更 Step 1 次の 2 つのうちいずれかの方法で、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリ ] を選択し、 Command prompt[コマンドプロンプト]を右クリックしてRun as administrator[管理者として実行]を選 択します。 • Start[ スタート ] を選択し、Start Search[ 検索開始 ] 入力欄に cmd と入力しますが、まだ Enter キーは押し ません。次に Ctrl+Shift+Enter を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のサーバー設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 300 NinjaModePassword = Password2 Step 4 ニンジャモードの新しいパスワードを指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server NinjaModePassword password 90 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの管理 ポリシーファイルのインポート・エクスポート ポリシーファイルのインポート・エクスポート ESM コンソールのインポート機能 / エクスポート機能を使用すれば、新しいサーバーに移行する前やサー バーのアップグレードを行う前、あるいは独立した複数サーバーにポリシーを導入する前に、ルールの バックアップをとることができます。エクスポートの対象となるポリシールールの範囲は全体か、ある いは一部かを指定した上で、XML ファイルに保存できます。 ポリシールールをインポートすると、既存のポリシーに新しいルールが追加され、さらに各ルールに固 有の ID 番号が付与されます。各タイプのポリシールールに個別の管理ページがあり、そこから当該タイ プのポリシールールのバックアップ / インポートを行えます。 例えばアクションルールやエクスプロイト阻止ルールについて複数のタイプのルールが混在す るポリシーファイルを ESM コンソールでアップロードすると、各ポリシーはそれぞれの管理 ページに表示されます。 ポリシーファイルのインポート・エクスポート Step 1 インポートする一連のルールに割り当てられているポリシー管理ページを選択します。例:Policies > Exploit > Protection Modules[ ポリシー > エクスプロイト > モジュール ]。 Step 2 以下のいずれかを実行します。 • ポリシールールのバックアップ / エクスポートを行う場合は、対象のルールの横にあるボックスに チェックを入れます。表の上部にあるアクションメニュー で Export Selected[ 選択中のものをエク スポート ] を選択します。ESM コンソールにより、選択済みのルールが XML ファイルに保存されま す。 • ポリシールールの復元 / インポートを行う場合は、表の上部にあるアクションメニュー で Import Rules[ ルールのインポート ] を選択します。ポリシーファイルを参照し、Upload[ アップロード ] をク リックします。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 91 ポリシーファイルのインポート・エクスポート 92 • Traps 3.3 管理者ガイド ESM サーバーの管理 © Palo Alto Networks, Inc. モニタリング ESM コンソールには、お客様の組織のサーバー、エンドポイント、セキュリティポリシーを監視する上 で役立つ情報が表示されます。ログをモニタリングして情報をフィルタリングし、ネットワーク内の異 常な活動を正しく解釈することができます。セキュリティイベントの分析後、当該エンドポイントある いはプロセス用のカスタムルールを作成することもできます。ここでは、エンドポイントのセキュリ ティの状態に関するレポートを確認・モニタリングする方法についてご説明します。 エンドポイントおよび Traps の保守 Endpoint Security Manager のダッシュボードを使用 セキュリティイベントの監視 エンドポイントの監視 ESM サーバーの監視 ルールを監視 フォレンジックデータ取得を監視 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 91 エンドポイントおよび Traps の保守 モニタリング エンドポイントおよび Traps の保守 日ごと、あるいは週ごとに次の作業を行います。 ダッシュボードを確認し、Traps エージェントがすべてのエンドポイントで有効になっていることを 確認します。Endpoint Security Manager のダッシュボードを使用を参照してください。 Traps が報告した Security Events[ セキュリティイベント ] を確認します。 セキュリティイベントの分析 後に行う可能性があるタスクには、以下のようなものがあります。 – – – – エンドポイント上のエージェント クエリを検索し、悪意のある実行ファイルが示唆されるかど うか判断します。 日々の業務に支障をきたすルールを一時的に無効化する。セキュリティイベントが攻撃の可能性 が無いことを示しており、さらに日々の業務に支障をきたしている場合は、任意のエンドポイン ト上のエクスプロイト阻止ルールあるいは制限ルールを無効化することができます。エクスプロ イト阻止ルールからエンドポイントを除外を参照してください。 異常な挙動や脆弱性の存在を示唆するソフトウェアのバグを修復する、あるいはパッチを当てる / アップグレードを行う。サードパーティーのアプリケーションにパッチを当てる / アップグレー ドを施す、あるいは自社開発のアプリケーションのバグを直すことで、ESM コンソールに報告 されるセキュリティイベントの数は減ることでしょう。 保護されていないアプリケーションに対する保護を有効化する。プロセスの表示、変更、削除を 参照してください。 Monitor[ 監視 ] ページを確認し、クラッシュやセキュリティイベントについてのレポートを閲覧しま す。 ESM コンソールが新規プロセス情報の収集するように設定している場合は、未保護のプロセスを確認 し、保護を有効にするかどうか判断します。プロセスの表示、変更、削除を参照してください。 組織の変化、あるいは利用可能な Traps ソフトウェアのバージョンが変化された後は、以下の事を行え ます。 新しくインストールしたアプリケーションを、保護対象のリストに追加する。Protected[ 保護中 ]、 Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加を参照してください。 新しいエンドポイントに Traps をインストールする。 エンドポイントに Traps をインストールを参照し てください。 エンドポイント上の Traps エージェントのバージョンをアップグレードする。エンドポイント上の Traps のアンインストールまたはアップグレードを参照してください。 エンドポイント上のエージェントライセンスを更新する。エンドポイント上の Traps ライセンスの更 新または取り消しを参照してください。 92 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Endpoint Security Manager のダッシュボードを使用 モニタリング Endpoint Security Manager のダッシュボードを使用 Endpoint Security Manager にログイン後、最初に表示される画面がダッシュボードです。トップメ ニューにある Dashboard[ ダッシュボード ] をクリックすることでもアクセス / 更新を行えます。 ダッシュボードにはいくつかのチャートが表示され、Traps エージェントのインスタンスに関する統計 データを確認できます。また、ダッシュボードは設定変更できません。 以下の表で、各チャートについて説明します。 ダッシュボード チャート 説明 サービスステータス エンドポイントにインストールされた Traps エージェントのインスタンスのステー タスを、数値とパーセント値で示します。以下のようなステータスがあります。 • Running[ 運転中 ]— エージェントが稼働中です。 • Stopped[ 停止 ]— エージェントサービスが停止しています。 • Disconnected[ 未接続 ]— 事前に設定済みの期間、サーバーがエージェントから ハートビートによるメッセージを受信していません。 • Shutdown[ シャットダウン ]— エンドポイントがシャットダウンしています。 COMPUTER エンドポイントにインストールされた Traps エージェントのインスタンスのバー DISTRIBUTION AND ジョンを、数値とパーセント値で示します。 VERSION [ コンピューター への導入状況とバージョン ] LICENSE CAPACITY [ライセ サーバーおよびクライアント用の Traps のライセンス使用状況を、数値とパーセ ンス数 ] ント値で示します。 MOST TARGETED APPLICATIONS [ ターゲッ トにされやすいアプリケー ション ] 防御回数が多いアプリケーションを表示します。 MOST TARGETED COMPUTERS [ ターゲット にされやすいコンピュー ター ] 防御回数が多いエンドポイントを表示します。 MOST TARGETED USERS [ ターゲットにされやすい ユーザー ] エンドユーザーごとに回数が多い防御について表示します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 93 セキュリティイベントの監視 モニタリング セキュリティイベントの監視 Security Events[ セキュリティイベント ] ページおよびタブを利用してアラートを管理し、新しい脅威を 発見します。 セキュリティイベント ダッシュボードの使用 あるエンドポイントのセキュリティイベントの履歴を表示 エクスプロイト阻止ルールからエンドポイントを除外 セキュリティイベント ダッシュボードの使用 Security Events[ セキュリティイベント ] ダッシュボード (Security Events > Summary[ セキュリティイベント > サマリー ])では、組織内のエンドポイントで発生したセキュリティイベントについての詳細情報を監 視できます。またこのビューでは、前の日 / 週 / 月に発生したイベントの数も確認できます。セキュリ ティイベント ダッシュボードには、エクスプロイトの試みをブロックしたイベントと、通知を発行した だけのイベントの両方が表示されます。 ダッシュボードの各エリアの詳細については次の表をご覧ください。 ダッシュボードのコン ポーネント 脅威 説明 ネットワーク内で発生した、保護中のプロセスおよび実行ファイルに対する脅威 をすべて表示します。いずれかのルールタイプをクリックし、そのタイプのイベ ントに関する詳細情報を確認することもできます。また発生したイベントの数を クリックすると、それらのイベントだけを表示することができます。詳細は、 「脅威の詳細情報を表示」を参照してください。 94 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング セキュリティイベントの監視 ダッシュボードのコン ポーネント 説明 一時的保護モード Security Events[ セキュリティイベント ] ダッシュボードの Provisional Mode[ 一時 的保護モード ] セクションには、次のタイプに分類されるイベントについて、よ くまとまった概要が表示されます。 • プロセスのクラッシュ • WildFire― 未知 • Wildfire― 未知の検出を通知 • DLL ハイジャックの防止 • Java • スレッド インジェクション • サスペンドガード Provisional Mode[ 一時的保護モード ] セクションでイベントをクリックすると Monitor > Provisional Mode[監視 > 一時的保護モード]ページの表示がフィルタリ ングされ、そのタイプのイベントのみが表示されるようになります。 詳細は、「一時的保護モードの詳細情報を表示」を参照してください。 セキュリティエラー ログ Traps が報告したお客様の組織のエンドポイントに関するエラーや最近の問題がす べて表示されます。Monitor > Security Errors Log[ 監視 > セキュリティエラー ロ グ ] ページで任意のエラータイプ、あるいはセキュリティエラーの数をクリック し、フィルター適用後のリストを表示します。詳細は、「セキュリティエラー ロ グの詳細情報を表示」を参照してください。 脅威の詳細情報を表示 Security Events > Threats[ セキュリティイベント > 脅威 ] を選択し、 ネットワーク内で発生した脅威のリスト を表示します。デフォルト設定の脅威ページに表示される項目には、すべての防止イベントおよび通知イ ベントが含まれています。Threats[ 脅威 ] ページの横側のメニューには、イベントの種類(Preventions[ 防 止 ] および Notifications[ 通知 ])で表示を絞った脅威のリストへのリンクも表示されます。 デフォルト設定の場合、Threats[ 脅威 ] ページの通常の詳細表示では、上部に項目名が並んだセキュリ ティイベントに関する表が表示されます。Threats[ 脅威 ] ページの表でイベントを選択すると、セキュ リティイベントに関する詳細な情報が表示されます。このページでは脅威イベントの詳細情報を確認で きるだけでなく、イベントに関するメモを作成 / 閲覧したり、イベントに関するログデータをエンドポ イントから取得したり、特定のエンドポイントにのみプロセス実行を許可する除外ルールを作成したり できます。さらに、メニューアイコン をクリックし、Export Selected[ 選択したものをエクスポート ] をクリックしてイベントを CSV ファイルにエクスポートしたり、Delete Selected[ 選択したものを削除 ] をクリックしてイベントを削除したりすることもできます。 各脅威について表示される項目、行える操作は以下の表の通りです。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 95 セキュリティイベントの監視 項目 モニタリング 説明 通常の詳細表示 Time [ 日時 ] 防止イベントが発生した日時。 Computer [ コンピュー ター ] 防止イベントが発生したエンドポイントのホスト名。 User [ ユーザー ] OS (イベントを発生させた)プロセスを実行しているユーザーの名前。 エンドポイントにインストールされているオペレーションシステム。 Agent (Version) [ エージェ エンドポイントにインストールされている Traps のバージョン。 ント(バージョン ?] Process [ プロセス ] イベントを発生させたプロセスの名前。 EPM 防止措置の引き金となった Exploit Prevention Module(EPM)あるいは制限ルー ル。 より細かな詳細表示 詳細表示を格納するには、再び行をクリックします。 Event Type [ イベント タ イプ ] 脅威の種類(Wildfire ポスト検出、ロジック、マルウェア、疑わしい活動、メモ リ破損のいずれか)。 Module [ モジュール ] 防止イベントあるいは通知イベントを発生させる原因となったモジュール。 Action [ アクション ] 当該ルールが実行するアクション(プロセスを終了させるか、ユーザーに通知を 行うかのどちらか) 。 Architecture [ アーキテク チャ ] オペレーティングシステム(OS)のアーキテクチャの種類。(「x64」など)。 Source Process [ ソースプ イベントを発生させる原因となったソースプロセス。 ロセス ] Source Path [ ソースパス ] イベントを発生させる原因となったソースプロセスへのパス。 Source Version [ ソース バーション ] イベントを発生させる原因となった実行ファイルあるいはプロセスのバージョン。 Source Triggered By [ 発生 セキュリティイベントを発生させたファイル。 原因 ] Prevention Key [ 防止イベ セキュリティイベント固有の ID。Traps はイベントについてのデータの取得後、 ント ID] 防止イベント ID をファイル名にしたログファイルを生成します。 View Notes[ ノートを 表示 ] ボタン セキュリティイベントについてのノートを表示します。ノートが存在しない場合、 このボタンはクリックできなくなります。 Create Note[ ノートを作 成 ] ボタン セキュリティイベントについてのノートを作成し、後から確認できるようにしま す。 Retrieve Data [データ取得 エンドポイントから防御データを取得します。防止イベント ID およびイベント発 ] ボタン 生時の情報を使用してルールを作成し、防止イベントに関するデータをエージェ ントにリクエストします。さらにその情報はフォレンジックフォルダに送信され ます。 96 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング 項目 セキュリティイベントの監視 説明 Create Rule[ ルール作成 ] (エクスプロイト イベントのみ)防止措置を適用させない除外ルールを作成しま ボタン す。このルールは特定のエンドポイントに対し、エクスプロイト阻止ルールによ る保護なしでアプリケーションを実行する許可を与えます。 WildFire Report[WildFire (WildFire イベントのみ)対象の実行ファイルに関する WildFire の分析レポート レポート ] ボタン を確認できます。 Hash Control[ ハッシュ制 (WildFire イベントのみ)WildFire 判定を含むハッシュの詳細情報を表示し、さら 御 ] ボタン に任意で終了モードをオーバーライドし、実行ファイルを許可するかブロックす るか選択することができます。 一時的保護モードの詳細情報を表示 Monitor > Provisional Mode[ 監視 > 一時的保護モード ] を選択し、 一時的保護モジュールに関連したセキュ リティイベントのリストを表示します。デフォルトで構成済みである一時的保護モジュールには、 Process Crashed、WildFireUnknown、WildFirePostUnknownDetection、DLL-Hijacking protection、 Java、Thread Injection、および Suspend Guard が含まれます。 Provisional Mode[ 一時的保護モード ] ページでは、セキュリティイベントの詳細情報を確認したり、イベ ントに関するメモを作成 / 閲覧したり、イベントに関するログデータをエンドポイントから取得したり、 特定のエンドポイントにのみプロセス実行を許可する除外ルールを作成したりできます。デフォルト設 定の場合、Provisional Mode[ 一時的保護モード ] ページの通常の詳細表示では、上部に項目名が並んだセ キュリティイベントに関する表が表示されます。Provisional Mode[ 一時的保護モード ] ページの表でイ ベントを選択すると、セキュリティイベントに関する詳細な情報が表示されます。さらに、メニューア イコン をクリックして Export Selected[ 選択したものをエクスポート ] を選択すれば、ログを CSV ファイルにエクスポートすることもできます。 一時的保護モードにおける各セキュリティイベントについて表示される項目、行える操作は以下の表の 通りです。 項目 説明 通常の詳細表示 Time [ 日時 ] 防止イベントが発生した日時。 Computer [ コンピュー ター ] 防止イベントが発生したエンドポイントの名称。 User [ ユーザー ] OS エージェント (Traps バージョン) © Palo Alto Networks, Inc. (イベントを発生させた)プロセスを実行しているユーザーの名前。 エンドポイントにインストールされているオペレーションシステム。 エンドポイントにインストールされている Traps のバージョン。 Traps 3.3 管理者ガイド • 97 セキュリティイベントの監視 モニタリング 項目 説明 Process [ プロセス ] イベントを発生させたプロセスの名前。 EPM 防止措置の引き金となった Exploit Prevention Module(EPM)あるいは制限ルー ル。 より細かな詳細表示 Event Type [ イベント タ イプ ] 脅威の種類(Wildfire ポスト検出、ロジック、マルウェア、疑わしい活動、メモ リ破損のいずれか)。 Module [ モジュール ] 防止イベントあるいは通知イベントを発生させる原因となったモジュール。 防止モード 当該ルールが実行するアクション(プロセスを終了させるか、ユーザーに通知を 行うかのどちらか)。 Architecture [ アーキテク チャ ] オペレーティングシステム(OS)のアーキテクチャの種類。(「x64」など)。 Source Process [ ソースプ イベントを発生させる原因となったソースプロセス。 ロセス ] Source Path [ ソースパス ] イベントを発生させる原因となったソースプロセスへのパス。 Source Version [ ソース バーション ] イベントを発生させる原因となった実行ファイルあるいはプロセスのバージョン。 Source Triggered By [ 発生 セキュリティイベントを発生させたファイル。 原因 ] Prevention Key [ 防止イベ あるセキュリティイベントを表す固有の ID。Traps はイベントについてのデータ ント ID] の取得後、防止イベント ID をファイル名にしたログファイルを生成します。 View Notes[ ノートを表示 セキュリティイベントについてのノートを表示します。ノートが存在しない場合、 ] ボタン このボタンはクリックできなくなります。 Create Note[ ノートを作 成 ] ボタン セキュリティイベントについてのノートを作成し、後から確認できるようにしま す。 Retrieve Data [データ取得 エンドポイントから防御データを取得します。防止イベント ID およびイベント発 ] ボタン 生時の情報を使用してルールを作成し、防止イベントに関するデータをエージェ ントにリクエストします。さらにその情報はフォレンジックフォルダに送信され ます。 Create Rule[ ルール作成 ] (エクスプロイト イベントのみ)防止措置を適用させない除外ルールを作成しま ボタン す。このルールは特定のエンドポイントに対し、エクスプロイト阻止ルールによ る保護なしでアプリケーションを実行する許可を与えます。 WildFire Report[WildFire (WildFire イベントのみ)対象の実行ファイルに関する WildFire の分析レポート レポート ] ボタン を確認できます。 Hash Control[ ハッシュ制 (WildFire イベントのみ)WildFire 判定を含むハッシュの詳細情報を表示し、さら 御 ] ボタン に任意で終了モードをオーバーライドし、実行ファイルを許可するかブロックす るか選択することができます。 98 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング セキュリティイベントの監視 セキュリティエラー ログの詳細情報を表示 Security Monitor > Security Error Log[ 監視 > セキュリティエラーログ ] を選択し、エージェントの振る舞い に関連したイベントと、エンドポイントのセキュリティについての情報を表示します。開始・停止といっ たサービスの状態の変化もこのイベントに含まれます。また、挿入失敗やクラッシュなど、プロセスの保 護段階で生じた問題についての情報もセキュリティエラー ログに表示されることが稀にあります。 セキュリティエラー ログに表示される項目は以下の表の通りです。 項目 説明 ID あるセキュリティエラーを表す固有の ID 番号。 Computer [ コンピュー ター ] 防止イベントが発生したエンドポイントの名称。 Message [ メッセージ ] 通知メッセージのテキスト。 Severity [ 重大度 ] レポートタイプによって異なる、エラーの重要度。 • High[ 高 ] • Medium [ 中 ] • Low [ 低 ] © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 99 セキュリティイベントの監視 モニタリング 項目 説明 レポート タイプ 通知の原因となったエラーの種類。以下のようなものがあります。 • One Time Action Completion Status[ワンタイムアクション完了ステータス]—エ ンドポイント上でアクションが完了。重大度は、アクションが完了すると Low に、失敗すると Medium になります。 • Process Crash[ プロセスがクラッシュ ]— エンドポイント上でプロセスがクラッ シュ。重大度:Low • Process Injection Timed Out[ プロセスへの挿入タイムアウト ]— プロセスへの挿 入がタイムアウト。重大度:Medium • Agent Service Alive[ エージェントサービス開始 ]— エージェントサービスが起 動。重大度:Low • Agent Service Stopped[エージェントサービス停止]—エージェントサービスが停 止。重大度:Low • System Shutdown[ システムシャットダウン ]— エンドポイントがシャットダウ ン。重大度:Low • Unallocated DEP Access[未割当てのDEPアクセス]—命令ポインタが未割り当て のメモリ位置へジャンプ。これは通常アプリケーションのバグによって発生し ますが、エクスプロイトの試み(失敗)の可能性もあります。重大度: Medium • Native Reporting Service Start Failed[ ネイティブの通知サービス開始失敗 ]— レ ポートサービスの開始失敗。重大度:High Time [ 日時 ] Traps がエラーを報告した日時。 あるエンドポイントのセキュリティイベントの履歴を表示 エンドポイントでユーザーがプロセスを実行した際、Traps は当該プロセスにコードを挿入し、エクスプ ロイト阻止モジュール(EPM:Exploitation Prevention Module)と呼ばれる保護モジュールを有効化し ます。各プロセスにどの EPM を挿入するのかは、エンドポイントのセキュリティポリシールールにより 決定されます。挿入の際、プロセスの名前がコンソールに赤字で表示されます。挿入が正常に完了する と、コンソールは Events[ イベント ] タブにセキュリティイベントについてのログを残します。 Events[ イベント ] タブでは、イベントの日時、影響を受けたプロセスの名前、プロセスに挿入された EPM がそれぞれのセキュリティイベントに対し表示されます。通常、モードによって示唆されることは、 Traps がプロセスを終了させたか、あるいはユーザーに対してイベントに関する通知のみを行ったかとい うことです。 あるエンドポイントのセキュリティイベントの履歴を表示 Step 1 次のようにして Traps コンソールを起動します。 • Windows のタスクトレイにある Traps のアイコン を右クリックしてから Console[ コンソール ] を選択 するか、アイコンをダブルクリックします。 • Traps がインストールされているフォルダから CyveraConsole.exe を実行します。 Traps コンソールが起動します。 Step 2 セキュリティイベントを表示します。 エンドポイント上のセキュリティイベントを表示します。 1. Advanced > Events[ 詳細 > イベント ] を選択し、 2. 上下の矢印を使用してイベントのリストをスクロールします。 100 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング エンドポイントの監視 エンドポイントの監視 エンドポイントの安全状態の詳細を表示 エージェントステータスの変化についての通知を表示 エージェントログの詳細情報を表示 Traps コンソールにエージェントのステータスを表示 あるエンドポイントのルールの履歴を表示 セキュリティポリシーの変更を Traps コンソール上で確認 エンドポイントのサービスステータスの履歴を表示 Health[ 安全状態 ] ページからエンドポイントを削除 エンドポイントの安全状態の詳細を表示 ESM コンソールで Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択し、組織内のエンド ポイントのリストと、それぞれの安全状態とを表示します。 Health[ 安全状態 ] ページに表示されたエンドポイントについて表示される項目、 行える操作は以下の表の 通りです。デフォルト設定の場合、Health [ 安全状態 ] ページの通常の詳細表示では、上部に項目名が 並んだエンドポイントに関する表が表示されます。Health[ 安全状態 ] ページの表でエンドポイントを選 択すると、エンドポイントに関する詳細な情報と実行できるアクションが表示されます。さらに、メ ニューアイコン をクリックして Export Logs[ ログをエクスポート ] を選択すれば、ログを CSV ファイ ルにエクスポートすることもできます。 項目 説明 通常の詳細表示 Status [ ステータス ] エージェントの状態(Running[ 運転中 ]、Stopped[ 停止 ]、Disconnected[ 未接 続 ]、Shut down[ シャットダウン ] のいずれか) Last Heartbeat [ 最後の ハートビート ] エージェントから最後にハートビートのメッセージが送信された日時。 Computer [ コンピュー ター ] エンドポイントの名称。 Type [ タイプ ] エンドポイントの種類(Workstation[ ワークステーション ]、Server[ サーバー ]、 VDI のいずれか)。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 101 エンドポイントの監視 モニタリング 項目 説明 Type [ 最終ユーザー ] エンドポイントに最後にログインしたユーザーの名前。 Version [ バージョン ] インストールされている Traps エージェントのバージョン。 IP エンドポイントの IP アドレス。 Domain [ ドメイン ] エンドポイントのドメイン名。 より細かな詳細表示 詳細表示を格納するには、再び行をクリックします。 OS エンドポイントにインストールされているオペレーションシステム。 Architecture [ アーキテク チャ ] オペレーティングシステム(OS)のアーキテクチャの種類。(「x64」など)。 最後のハートビート エンドポイントのローカル時間で表される、ポリシーあるいはステータスの変更 (エージェントのローカル 時間。 時間) 最後のハートビート (サーバーのローカル時 間) ESM コンソールのローカル時間で表される、ポリシーあるいはステータスの変更 時間。 License expiration date [ラ エンドポイント上のライセンスが失効する日付。 イセンスの有効期限日 ] Base DN [ ベース DN] エンドポイントの Lightweight Directory Access Protocol(LDAP)のパス。 Details[ 詳細 ] ボタン ドロップダウンリストから Agent Policy[ エージェントポリシー ] あるいは Service Status[サービスステータス]ログを選択してDetails[詳細]をクリックする と、そのエンドポイントについて、すべての情報が表示されます。詳細は、「ある エンドポイントのルールの履歴を表示」および「エンドポイントのサービスス テータスの履歴を表示」を参照してください。 エージェントステータスの変化についての通知を表示 Monitor > Agent > Logs[ 監視 > エージェント > ログ ] ページでは、サービス、システム、プロセスの開始 / 停止など、エージェントステータスの変化についての通知を確認できます。 エージェントステータスの変化についての通知を表示 Step 1 ESM コンソールで Monitor > Agent > Logs[ 監視 > エージェント > ログ ] を選択します。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になっているセク ションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準にして昇 順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、フィルタ リング基準を 2 つまで結果に適用できます。 Step 5 (任意)ログを CSV ファイルにエクスポートするには、メニューアイコン [ ログをエクスポート ] を選択します。 102 • Traps 3.3 管理者ガイド をクリックし、Export Logs © Palo Alto Networks, Inc. モニタリング エンドポイントの監視 エージェントログの詳細情報を表示 Agent Logs[ エージェントログ ] ページには、サービス、システム、プロセスの開始 / 停止など、エージェ ントステータスの変化についての通知が表示されます。 Monitor > Agent > Logs[ 監視 > エージェント > ログ ] ページに表示される項目は以下の表の通りです。 項目 説明 ID 通知メッセージ固有の ID 番号。 マシン名 通知を発行したエンドポイントの名称。 Message [ メッセージ ] 通知メッセージのテキスト。 Severity [ 重大度 ] レポートタイプによって異なる、通知の重要度。 • High[ 高 ] • Medium [ 中 ] • Low [ 低 ] レポート タイプ 通知の原因となったイベントの種類。 • One time action completion status[ワンタイムアクション完了ステータス]—エンドポ イント上でアクションが完了。重大度は、アクションが完了すると Low に、失敗す ると Medium になります。 • Process crash[ プロセスがクラッシュ ]— エンドポイント上でプロセスがクラッシュ。 重大度:Low • Process injection timed out[プロセスへの挿入タイムアウト]—プロセスへの挿入がタ イムアウト。重大度:Medium • Service alive[ サービス続行中 ]— エージェントサービスが開始。重大度:Low • Service stopped[ サービス停止 ]— エージェントサービスが停止。重大度:Low • System shutdown[ システムシャットダウン ]— エンドポイントがシャットダウン。 重 大度:Low • Unallocated DEP access[ 未割当ての DEP アクセス ]— 命令ポインタが未割り当てのメ モリ位置へジャンプ。これは通常アプリケーションのバグによって発生しますが、 エクスプロイトの試み(失敗)の可能性もあります。重大度:Medium • Native reporting service start failed[ ネイティブの通知サービス開始失敗 ]— レポート サービスの開始失敗。重大度:High Time [ 日時 ] 通知が送信された日時。 Traps コンソールにエージェントのステータスを表示 コンソールはサービスタイプの左側に あるいは マークを添え、有効・無効のサービスを表示しま す。Advanced[ 詳細 ] タブを選択し、コンソール上部に追加のタブを表示させます。このタブから、セ キュリティイベント、保護中のプロセス、セキュリティポリシーの更新についての詳細情報を確認でき るページを表示させることができます。通常、ユーザーが Traps コンソールを起動する必要はありませ んが、ここで利用できる情報はセキュリティ関連のイベントを分析する際に役立ちます。コンソールを 立ち上げるトレイのアイコンを非表示にする、あるいはコンソールが起動しないようにすることも可能 です。詳細は、「Traps コンソールへのアクセスを非表示または制限」を参照してください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 103 エンドポイントの監視 モニタリング システムエレメント 説明 エクスプロイト防御 エンドポイントのセキュリティポリシーでエクスプロイト阻止ルールが有効 になっているかどうかを示します。 マルウェア防御 エンドポイントのセキュリティポリシーで制限モジュールおよび / またはマ ルウェア防止モジュールが有効になっているかどうかを示します。 フォレンジック データ 収集 WildFire の統合が有効になっているかどうかを示します。 Status[ ステータス ] タブ エンドポイントの Connection[ 接続 ] 状態と保護レベルを示します。デフォ ルトでは、Traps コンソールを開いた際は Status[ ステータス ] タブが選択 されています。 Events[ イベント ] タブ エンドポイントで発生したセキュリティイベントを表示します。 Protection[ 保護 ] タブ 現在エンドポイントで実行されているプロセスのうち、Traps エージェント が保護するプロセスを表示します。 Policy[ ポリシー ] タブ 更新の日時など、エンドポイントのセキュリティポリシーに対する変更につ いて表示します。 Verdict Updates[ 判定の 更新 ] タブ エンドポイント上で開いている実行ファイルに対する判定の変化について表 示します。 設定 Traps コンソールの言語を変更する際に利用できる言語を表示します。 Check-in now[ すぐに チェックイン ] リンク セキュリティポリシーをただちに更新します。 接続 Traps と ESM サーバー間の接続ステータスを表示します。 最終チェックイン Traps が最後にハートビートのメッセージを受信した日時を表示します。 ログ ファイルを開く ... エンドポイント上で最新のトレースファイルを開きます。 サポート ファイルの送信 トレースファイルを zip で作成し、フォレンジックフォルダに送信します。 104 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング エンドポイントの監視 あるエンドポイントのルールの履歴を表示 デフォルト設定の場合、Health[ 安全状態 ] ページの通常の詳細表示では、上部に項目名が並んだエンド ポイントに関する表が表示されます。Health[ 安全状態 ] ページの表で Endpoint を選択すると、エンド ポイントに関する詳細な情報が表示され、組織内のオブジェクトに関するルールの履歴を閲覧できます。 Agent Policy[ エージェントポリシー ] では、Traps がルールを適用した日時、ポリシールールのソース (ローカルあるいはリモート)、ルール名と説明、そのルールの現在のステータスが、各ルールに対し表 示されます。 あるエンドポイントのルールの履歴を表示 Step 1 Endpoint Security Manager を開き、Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択 します。 Step 2 ルールの履歴を閲覧したいエンドポイントの行を選択します。行が拡張し、詳細な情報、実行できるアク ションが表示されます。 Step 3 右側のドロップダウンリストから Agent Policy[ エージェントポリシー ] を選択します。最近のステータス 情報が、ページ内の Agent Policy[ エージェントポリシー ] および Logs[ ログ ] セクションに表示されま す。 Step 4 Details[ 詳細 ] をクリックし、ルールの全履歴を確認します。ステータスには以下のようなものがありま す。 • Active[ 有効 ]— エンドポイントのセキュリティポリシーでルールが有効になっています。 • Historic[旧バージョン]—エンドポイントのセキュリティポリシーで現在有効になっているルールの古い バージョンです。 • Disabled[ 無効 ]— セキュリティポリシーでルールが無効にされました。 セキュリティポリシーの変更を Traps コンソール上で確認 Traps コンソールの Policy[ ポリシー ] タブには、エンドポイントのセキュリティポリシーに対する変更に ついての情報が表示されます。固有の ID 番号、ルールの名称、そのルールを含む更新されたセキュリ ティポリシーを Traps が受信した日時、概要が各ルールについて表示されます。 ルールタイプごとに専用の管理ページがあり、そのページで組織のルールを閲覧・管理するこ とができます。エンドポイントに対する有効なセキュリティポリシーを含むテキストファイル を作成するには、コマンドプロンプトから以下を実行します。 cyveraconsole.exe export(641980) c:\{TargetFolder}\policy.txt セキュリティポリシーの変更をエンドポイント上で確認 Step 1 以下のいずれかを実行し、エンドポイント上で Traps コンソールを起動します。 • Windows のタスクトレイにある Traps のアイコン を右クリックしてから Console[ コンソール ] を選択 するか、アイコンをダブルクリックします。 • Traps コンソールがインストールされているフォルダから CyveraConsole.exe を実行します。 Step 2 セキュリティポリシーを表示します。 1. 必要に応じて、Advanced[ 詳細 ] をクリックして追加のタブを表示させます。次に Policy[ ポリシー ] タ ブをクリックし、現在エンドポイントで実行中の保護ルールを表示します。 2. 上下の矢印を使用して保護ルールのリストをスクロールします。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 105 エンドポイントの監視 モニタリング エンドポイントのサービスステータスの履歴を表示 デフォルト設定の場合、Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] ページの通常の詳細 表示では、上部に項目名が並んだエンドポイントに関する表が表示されます。Health[ 安全状態 ] ページ の表でエンドポイントを選択すると、エンドポイントに関する詳細な情報が表示され、エンドポイント 上の Traps エージェントのステータスの履歴を閲覧できます。[Agent Policy] および [Service Status] セ クションにあるドロップダウンリストにより、Service Status[ サービスステータス ] イベントのリストの 一部を表示させることができます。このセクションにて、サービスステータスの全履歴を閲覧すること も可能です。サービスの変更日時、エンドポイントで起動中の Traps エージェントのバージョンおよび ステータス(切断、起動、シャットダウン、停止のいずれか)の変化についての情報が、ログの各イベ ントについて表示されます。 エンドポイントのサービスステータスの履歴を表示 Step 1 ESM コンソールで Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択します。 Step 2 ルールの履歴を閲覧したいエンドポイントの行を選択します。行が拡張し、詳細な情報、実行できるアク ションが表示されます。 Step 3 右側のドロップダウンリストから Service Status[ サービスステータス ] を選択します。最近のステータス情 報が、ページ内の Agent Policy[ エージェントポリシー ] および Logs[ ログ ] セクションに表示されます。 Step 4 Details[ 詳細 ] をクリックし、サービスステータスの全履歴を確認します。 Health[ 安全状態 ] ページからエンドポイントを削除 Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] ページには、 Endpoint Security Manager との 接続に成功したことがあるエンドポイントをすべて記載した表が表示されます。Endpoint Security Manager からエンドポイントを削除しなければならない際、例えば重複しているエンドポイントを整理 したり、今後使用しないエンドポイントを削除したい場合は、表の上部にあるメニューにある Delete selected[ 選択中のものを削除 ] オプションを利用します。 Health[ 安全状態 ] ページからエンドポイントを削除 Step 1 ESM コンソールで Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択します。 Step 2 削除したいエンドポイントの行を選択します(複数可)。 Step 3 Health[安全状態]の表の上部にある メニューからDelete selected[選択中のものを削除]を選択します。 OK をクリックして削除を確定します。 ESM コンソールによって Health[ 安全状態 ] ページからエンドポイントが削除されます。 当該エンドポイン トへのハートビート通信の後、Traps コンソールの接続ステータスが No connection to server[ サーバーと 未接続 ] に変わります。 106 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング エンドポイントの監視 エンドポイントのライセンスを安全状態ページにて解除 Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] ページには、 Endpoint Security Manager との 接続に成功したことがあるエンドポイントをすべて記載した表が表示されます。単体・複数のエンドポ イントのライセンスを返却しなければならない際、例えば重複しているエンドポイントを整理したり、 今後使用しないエンドポイントを削除したい場合は、表の上部にあるメニューにある Detach License[ ラ イセンス解除 ] オプションを利用します。 エンドポイントのライセンスを安全状態ページにて解除 Step 1 ESM コンソールで Monitor > Agent > Health[ 監視 > エージェント > 安全状態 ] を選択します。 Step 2 削除したいエンドポイントの行を選択します(複数可)。 Step 3 Health [安全状態]の表の上部にある をクリックして削除を確定します。 メニューからDetach License[ライセンス解除]を選択します。 OK ESM コンソールがそのエンドポイントのライセンスを解除するか、Health[ 安全状態 ] ページからエンドポ イントを削除し、他のエージェントがライセンスを利用できる状態にします。当該エンドポイントへの ハートビート通信の後、Traps コンソールの接続ステータスが No connection to server[ サーバーと未接続 ] に変わります。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 107 ESM サーバーの監視 モニタリング ESM サーバーの監視 ESM コンソールでは、お客様の組織の ESM サーバーの安全状態を監視したり、そのステータスの変化を 確認したりすることができます。 ESM サーバーの安全状態を表示 ESM サーバーの安全状態の詳細情報を表示 ESM サーバーについての通知を表示 ESM サーバーのログについての詳細情報を表示 ESM サーバーの安全状態を表示 ESM サーバーと接続中 / 未接続のエージェントの数についての情報など、ESM サーバーの安全状態の変化 に関する通知を Monitor > ESM > Health[ 監視 > ESM > 安全状態 ] ページで確認することができます。 ESM サーバーの安全状態を表示 Step 1 ESM コンソールで Monitor > ESM > Health[ 監視 > ESM > 安全状態 ] を選択します。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になっているセク ションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準にして昇 順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、フィルタ リング基準を 2 つまで結果に適用できます。 Step 5 (任意)ログを CSV ファイルにエクスポートするには、メニューアイコン [ ログをエクスポート ] を選択します。 をクリックし、Export Logs Step 6 (任意)ESM サーバーに接続されているエージェントのリストを表示するには、対象のサーバーの行を選 択して表示を展開し、接続 / 未接続の項目の隣にある Agent List[ エージェントリスト ] をクリックしま す。エージェントが存在しない場合、このボタンはクリックできなくなります。 ESM サーバーの安全状態の詳細情報を表示 ESM コンソールで Monitor > ESM > Health[ 監視 > ESM > 安全状態 ] を選択し、組織内の ESM サーバーのリ ストと、それぞれの安全状態とを表示します。 Health[ 安全状態 ] ページで各サーバーについて表示される項目、行える操作は以下の表の通りです。デ フォルト設定の場合、Health [ 安全状態 ] ページの通常の詳細表示では、上部に項目名が並んだサー バーに関する表が表示されます。Health [ 安全状態 ] ページの表でサーバーを選択すると、そのサー バーに関する詳細な情報と実行できるアクションが表示されます。さらに、メニューアイコン をク リックして Export Logs[ ログをエクスポート ] を選択すれば、ログを CSV ファイルにエクスポートする こともできます。 108 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ESM サーバーの監視 モニタリング 項目 説明 通常の詳細表示 Status [ ステータス ] サーバーのステータス(Active [ 有効 ] または Inactive[ 無効 ])。 その他? Last Heartbeat [ 最後の ハートビート ] エージェントから最後にハートビートのメッセージが送信された日時。 Name [ 名前 ] ESM サーバーの名称。 内部アドレス ESM サーバーの内部アドレス。 接続済み ESM サーバーに接続済みの Traps エージェントの数。 切断 ESM サーバーと未接続の Traps エージェントの数。 より細かな詳細表示 詳細表示を格納するには、再び行をクリックします。 OS サーバーにインストールされているオペレーションシステム。 Architecture [ アーキテク オペレーティングシステム(OS)のアーキテクチャの種類。(「x64」など)。 チャ ] ESM Version[ESM バー ジョン ] インストールされている ESM Core ソフトウェアのバージョン。 External Address[ 外部ア ドレス ] サーバーの外部アドレス。 前回の WildFire 接続 WildFire と最後に通信を行った日時。 Agent List[ エージェント リスト ] ボタン ESM サーバーと接続中 / 未接続のエージェントの数を表示します。 ESM サーバーについての通知を表示 ESM サーバーについての通知を表示 Step 1 ESM コンソールで Monitor > ESM > Logs[ 監視 > ESM > ログ ] を選択します。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になっているセク ションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準にして昇 順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、フィルタ リング基準を 2 つまで結果に適用できます。 Step 5 (任意)ログを CSV ファイルにエクスポートするには、メニューアイコン [ ログをエクスポート ] を選択します。 をクリックし、Export Logs © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 109 ESM サーバーの監視 モニタリング ESM サーバーのログについての詳細情報を表示 Monitor > ESM > Logs[ 監視 > ESM > ログ ] ページには、管理関連の変更、ライセンスの変更、サーバーや ポリシーの管理に関わる変更、WildFire に関する変更など、ESM サーバーが行ったアクションや ESM サーバーに関する通知が表示されます。 Monitor > ESM > Logs[ 監視 > ESM > ログ ] ページに表示される項目は以下の表の通りです。 項目 説明 ID 通知メッセージ固有の ID 番号。 Message [ メッセージ ] 通知メッセージのテキスト。 Severity [ 重大度 ] レポートタイプによって異なる、通知の重要度。 • High[ 高 ] • Medium [ 中 ] • Low [ 低 ] Report Type [ レポート タ 管理関連の変更: イプ ] • User Login [ ユーザーログイン ] • User Added/Edited [ ユーザー ― 追加 / 変更 ] ライセンスの変更: • Agent License Request [ エージェント ― ライセンスのリクエスト ] • Agent License Revoked [ エージェント ― ライセンス解除 ] • License Sent to Agent [ ライセンス ― エージェントに送信済み ] サーバー管理: • ESM Configuration Changed [ESM― 設定変更 ] ポリシー管理: • Rule Deleted [ ルールの削除 ] • Rule Added/Edited [ ルールの追加 / 変更 ] • Condition Added/Edited [ 条件 ― 追加 / 変更 ] • Enabled Protection [ 保護の有効化 ] • Disabled Protection [ 保護の無効化 ] WildFire 管理: • Verdict Changed - Any to Any [ 判定の変更(いずれか → いずれか)] • Hash Added [ ハッシュの追加 ] • Agent File Upload Failed [ エージェント ― ファイル アップロード失敗 ] Time [ 日時 ] 通知が送信された日時。 110 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング ルールを監視 ルールを監視 各ルールの概要および管理ページには、組織の有効・無効なルール、およびルールの管理用ツールが表 示されます。 ルールの概要を表示 ルールの詳細情報を表示 ルールの概要を表示 各ルールタイプには、そのタイプ固有の概要および管理ページが存在します。あるタイプのルールの概 要を表示するには、以下のようにします。 ルールの概要を表示 Step 1 ESM コンソールにて、目的のタイプのルールの管理ページを開きます。例:Policies > Exploit > Protection Modules[ ポリシー > エクスプロイト > 保護モジュール ]。 Step 2 表の各項目を閲覧するには、各ページの右上にあるページ送り機能を使用して非表示になっているセク ションを表示します。 Step 3 (任意)表の項目を並び替えたい場合は、基準にしたい列の見出しを選択するとその項目を基準にして昇 順に並べ替えられます。降順に並び替えたい場合は、再度列の見出しを選択します。 Step 4 (任意)表の項目をフィルタリングしたい場合、列の右側にあるアイコン をクリックすれば、フィルタ リング基準を 2 つまで結果に適用できます。 Step 5 (任意)ルールの項目を展開するには、ルールの右側にある矢印をクリックします。項目を展開すると、 ルールの詳細情報を確認したり、ルールの管理に関する何らかのアクションを実行したりできます。ルー ルの保存を参照してください。 ルールの詳細情報を表示 ESM コンソールにある各ルールの概要および管理ページには、組織のセキュリティポリシーの一部であ るルールについての詳細情報が表示されます。 以下の表にある通り、各ルールの管理ページに表示される項目、行える操作にはエクスプロイト阻止、 マルウェア防止、制限、WildFire 設定、アクション、エージェント設定、フォレンジックルールなどが あります。通常の詳細表示では、各ルールについての概要と、上部に項目名が並んだルールのリストが 表示されます。表でルールを選択すると、そのルールについての詳細な情報と実行できるアクションが 表示されます。 項目 説明 通常の詳細表示 ID © Palo Alto Networks, Inc. ルール固有の ID 番号。 Traps 3.3 管理者ガイド • 111 ルールを監視 モニタリング 項目 説明 Status [ ステータス ] • • Type [ タイプ ] • • • • — 有効 — 無効 Exploit Protection [ エクスプロイト防御 ] Restriction [ 制限 ] Malware Protection [ マルウェア防御 ] WildFire • Agent Action [ エージェントアクション ] • Agent Setting [ エージェント設定 ] • Forensics [ フォレンジック ] Date Modified [ 変更日時 ] ルールが作成された、あるいは最後に変更された日時。 Name [ 名前 ] ルールの名称。 Description [ 説明 ] ルールの概要。 Associated [ 適用対象 ] ルールが適用されるオブジェクト。 Condition [ 条件 ] ルールを適用する上で必要となる条件(存在する場合のみ)。 より細かな詳細表示 Creator [ 作成者 ] ルールを作成したユーザー。 Created [ 作成済み ] ルールが作成された日時。 Modifier [ 変更者 ] ルールを最後に変更したユーザーアカウント(明らかになっている場合のみ) 。 Processes [ プロセス ] (エクスプロイト阻止ルールのみ)ルールの対象となるプロセス。 EPM (エクスプロイト阻止ルールのみ)プロセスを保護する Exploitation Prevention Module(EPM)。 One time action [ ワンタイ (アクションルールのみ)エンドポイント上で行うアクション。 ム アクション ] Restrictions [ 制限 ] (制限ルールのみ)悪意のある実行ファイルを阻止する際の制限方法。 Agent Settings [ エージェ (エージェント設定ルールのみ)Traps ソフトウェア上で行うアクション。 ント設定 ] Duplicate [ 複製 ] (アクションルールのみ)アクションルールの再実行 Delete [ 削除 ] ルールを削除。 Activate [ 有効化 ] ルールを有効化(無効になっているルールのみ)。 Deactivate [ 無効化 ] ルールを無効化(有効になっているルールのみ)。 Edit [ 編集 ] ルールを編集(エクスプロイト阻止ルール、制限ルール、エージェント設定ルー ルのみ)。 112 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. モニタリング フォレンジックデータ取得を監視 フォレンジックデータ取得を監視 Monitor > Forensics Retrieval[ 監視 > フォレンジック取得 ] ページでは、ログ、WildFire のアップデート、 メ モリダンプの収集などについての情報を確認でき、中央からデータファイルを管理することができます。 各フォレンジックデータ ファイルについて表示される項目、行える操作は以下の表の通りです。 Forensics Retrieval[ フォレンジック取得 ] ページでは上部に項目名が並んだ表とともに、フォレンジック データ取得を管理するためのアクションが表示されます。 項目 説明 ファイル名 ルール固有の ID 番号。 アップロード状況 アップロードの状態(Failed[ 失敗 ]、In Progress[ 進行中 ] など) 。 マシン名 フォレンジックデータの提供元となったマシンの名前。 ファイル タイプ フォレンジックデータの種類(例:ログ、WildFire、ダンプ)。 ファイルサイズ フォレンジックデータのファイルサイズ。 作成日時 取得ルールが作成された、あるいは最後に変更された日時。 Download[ダウンロード] フォレンジックデータ ファイルをダウンロードします。 ボタン Delete[ 削除 ] ボタン フォレンジックデータ ファイルを削除します。 列の見出しを選択すると、その項目を基準にして表の項目を昇順に並べ替えられます。表の項目を降順 に並び替えるには、再度列の見出しを選択します。表示項目を絞るには、列の右側にあるフィルターア イコン をクリックしてフィルタリング基準を 2 つまで選択します。さらに、メニューアイコン をク リックして Export Logs[ ログをエクスポート ] を選択すれば、ログを CSV ファイルにエクスポートする こともできます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 113 フォレンジックデータ取得を監視 114 • Traps 3.3 管理者ガイド モニタリング © Palo Alto Networks, Inc. ルールについて 以下では、各ルールに関連する基本的な要素やプロセスに関する説明を行います。 エンドポイントポリシールールの概要 一般的なルールの要素および動作 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 115 エンドポイントポリシールールの概要 ルールについて エンドポイントポリシールールの概要 ポリシールールの種類 ポリシーの実施 ポリシールールの種類 エンドポイント セキュリティポリシーは、特定の保護手法を扱う複数のポリシーで構成されます。保護 を行ったり、Traps 設定を管理したり、エンドポイントに対してアクションを実行したりできるのは、各 ポリシーの基となるルールがあるためです。特定のオブジェクトを対象にするルールや、特定の条件を 満たした際に効力を発揮するルールを設定することにより、お客様の組織のエンドポイントのセキュリ ティが向上します。 ESM コンソールで設定可能なポリシーの種類は以下の表の通りです。 ポリシー 説明 エクスプロイト阻止 エクスプロイト阻止ルールは、エンドポイント上で実行されるプロセスを保護する方 法を決定します。エクスプロイト阻止ポリシーの各ルールは、プロセスを保護するの に使用する保護モジュールの種類を指定します。詳細は、「エクスプロイト阻止ルー ル」を参照してください。 マルウェア防止 マルウェア防止ルールは保護モジュールを使用し、悪意のある実行ファイルによって 生じる典型的な挙動をブロックします。マルウェア防止ポリシーの各ルールは、不審 な挙動をブロックするのに使用する保護モジュールの種類を指定します。またこの ルールには、ルールの例外を規定するホワイトリストを含めることもできます。詳細 は、「マルウェア防止ルール」を参照してください。 制限 制限ルールは、エンドポイント上で実行ファイルがどこから、どのように実行できる のかを指定し、攻撃の幅を減らします。詳細は、「制限ルール」を参照してください。 WildFire WildFire ルールは、実行ファイルのハッシュと、任意で未知のファイルのハッシュを WildFire クラウドに送信することで実行ファイルの防止前・防止後の分析を可能にしま す。詳細は、「WildFire ルール」を参照してください。 フォレンジック フォレンジックルールは、メモリダンプおよびフォレンジックファイルの収集に関す る設定を行えるようにします。詳細は、「フォレンジックルール」を参照してくださ い。 エージェントの設定 アクション エージェント設定ルールでは、ロギング、ハートビート頻度およびコンソールへのア クセス性に関わる Traps エージェントの設定値を変更することができます。詳細は、 「Traps 設定ルールの管理」を参照してください。 アクションルールは、エンドポイント上で管理者用アクションを実行できるようにしま す。ワンタイムの管理者用アクションには、Traps のアンインストールおよびアップグ レード、ライセンスのアップデート、Traps ソフトウェアの防御、およびデータファイ ルの削除などがあります。詳細は、「Traps のアクションルール」を参照してください。 116 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ルールについて エンドポイントポリシールールの概要 ポリシーの実施 Traps は、ルールに関連のあるポリシーの種類に応じてそのルールを評価します。エクスプロイト阻止 ルール、マルウェア防止ルール、および制限ルールは、指定済みの対象オブジェクト、条件、設定に ルールがマッチしている場合に、プロセスあるいは実行ファイルが起動する際にのみ評価されます。す べてのユーザー、グループ、組織ユニット、アクティブディレクトリに表示されるコンピューター、ま たは Traps がインストールされたエンドポイントを対象オブジェクトにできます。Endpoint Security Manager は Traps がサーバーに送信するメッセージによってエンドポイントを特定します。条件には、完 全一致するファイル、ファイルおよびファイルバージョン、もしくはエンドポイントに存在するはずの レジストリパスなどがあります。また、ファイルパスで定義された特定のバージョンの実行ファイルに 対する条件を定義することもできます。 定期的なハートビート通信により、Traps エージェントは ESM サーバーから最新のエンドポイント セ キュリティポリシーを取得します。ハートビート設定を調整することでエンドポイント上のセキュリ ティポリシーのアップデート頻度を定義することができます。Traps コンソールでは、手動で最新のセ キュリティポリシーを取得することも可能です。エンドポイントがセキュリティポリシーの更新および 対象オブジェクト、条件、およびエンドポイントの設定に合致するルールを受け取ると、Traps はエー ジェント設定またはアクションポリシールールを適用します。 Traps はセキュリティポリシーの各ルールを ID 番号の大きさに基づいて評価します。ID 番号が大きいほ ど、ルールの優先度が高くなります。最近作成もしくは変更されたルールには大きな ID 番号が割り当て らるため、最初に評価されることになります。階層的にルールを評価する Palo Alto Networks のファイ アウォールとは異なり、Traps はエンドポイントのセキュリティポリシー内で順次すべてのルールを評価 します。 複数のルールの重要な設定内容が同じになっている場合(例:複数のルールが同じマルウェア防止モ ジュール用に構成されている場合)、Traps は優先されるルールを決定し、各ルールが衝突するのを防ぎ ます。Traps はルールの具体性の高さと ID 番号を基にして、優先順位を決定します。特定のプロセスを 対象にするよう設定したエクスプロイト阻止ルールとすべてのプロセスを対象にするよう設定したエク スプロイト阻止ルールを比較する場合など、一方のルールの適用範囲が他方より狭い場合、その範囲が 狭い(具体性が高い)ルールが優先されます。各ルールの適用範囲が同じ場合、Traps は ID 番号が大き い(作成日が新しい)ルールを優先します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 117 一般的なルールの要素および動作 ルールについて 一般的なルールの要素および動作 各ルールタイプごとに必須のフィールド、任意のフィールドがあり、組織のセキュリティポリシーの ニーズにあわせてカスタマイズできるようになっています。 エンドポイント セキュリティポリシーのルールを作成する一般的な手順は以下の表の通りです。 ルールの管理 トピック 当該ルールタイプ固有の設定、動作を定義します。 ルールタイプごとに必要な設定について、詳細 は以下をご参照ください。 • エクスプロイト阻止ルールの管理 • マルウェア防止ルールの管理 • WildFire のルールおよび設定の管理 • 実行ファイルの制限事項を管理 • Traps のアクションルールの管理 • エージェント設定ルールの管理 • フォレンジックルールおよび設定の管理 ルールに有効化の条件(適用されるルールに対してエンド ポイントが満たすべき条件)を追加します。 条件 対象オブジェクト(ユーザー、コンピューター、組織ユ 対象オブジェクト ニット、グループ、およびエンドポイント)を定義します。 ルールに分かりやすい名前をつけます。 ルールの命名または改名 保存し、任意でルールを有効化します。 • ルールの保存 • 保存したルールの管理 ページに表示されているルールをフィルタリングします。 ルールのフィルタリング すべての保護ルールを無効化または有効化します。 すべての保護ルールの無効化 / 有効化 条件 ルールの有効化の条件を定義 条件を指定してエンドポイントを含める / 除外する ルール条件の削除または変更 ルールの有効化の条件を定義 ルールの有効化の条件とは、エンドポイントにルールを適用する上でエンドポイントが満たすべき条件 です。各条件に対して、実行ファイルのパス、実行ファイルのパスおよびファイルバージョン、または エンドポイントに存在するはずのレジストリパスを指定することができます。 118 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ルールについて 一般的なルールの要素および動作 ルールの有効化の条件を定義 Step 1 Settings > Conditions[ 設定 > 条件 ] を選択します。Conditions[ 条件 ] ページでは、各条件に固有の ID[ID] 番号、Name[ 名前 ]、Description[ 説明 ]、および Path[ パス ](存在する場合)が表示されます。 Step 2 新しい条件を Add[ 追加 ] します。 Step 3 条件の Name[ 名前 ] および Description[ 説明 ] を入力します。 Step 4 特定の実行ファイルのパス、特定の範囲のバージョン番号を持つ実行ファイル、あるいは特定のレジスト リキーのいずれに条件をマッチさせるのか、マッチタイプを設定します。 • 特定の実行ファイル(あるいは特定のバージョンの実行ファイル)にマッチさせる場合、エンドポイン ト上に存在する実行ファイルの完全 Path[ パス ] を指定します。任意で、このパスにシステム変数を使 用することもできます。例えば %windir%\system32\calc.exe と指定すれば、この場所から計算機 の実行ファイルが実行された場合にルールを適用することができます。 • Path[ パス ] に特定の実行ファイルを指定した場合、実行ファイルのバージョン、あるいはバージョン番 号の範囲をマッチ条件として指定することもできます。バージョンの値を指定した場合、Traps は実行 ファイルが Path[ パス ] に指定された場所から実行されており、さらに Version[ バージョン ] が一致 する場合にのみルールを適用します。デフォルト設定では、条件が任意のバージョンのファイルにマッ チするようになっています。バージョンの数を限定するには、以下のいずれかから Version Comparison[ バージョン比較 ] オプションを選択肢、Version[ バージョン ] 番号を入力します。 • Equal[ 一致 ]— 完全一致するバージョンに適用されます。 • Greater[ 以上 ]— 指定したバージョンに一致する、あるいはそれより大きい場合に適用されます。 • Lesser[ 以下 ]— 指定したバージョンに一致する、あるいはそれより小さい場合に適用されます。 • Between[ 範囲指定 ]—2 つの値のどちらかと一致する、あるいはその間にあるバージョンに適用され ます。例えば、条件をバージョン 8 ~ 9 の Internet Explorer にマッチさせる場合は Path[ パス ] に C:\Program Files\Internet Explorer\iexplore.exe と入力し、Version Comparison:Between[ バージョン比較(範囲指定)] を選択して Version[ バージョン ] に 8 および 9 を 入力します。 • Regex[ 正規表現 ]—.NET Framework 4 の正規表現を使用してマッチさせます。 詳細については Microsoft の正規表現言語要素 (https://msdn.microsoft.com/en-us/library/az24scfc(v=vs.100).aspx)をご参照ください。 例えば、バージョン 3.1.x(3.1 を含む)にマッチさせる場合の正規表現:3\.1(\.[0-9]+)? バージョン 3.1.0 ~ 3.1.9 のみにマッチさせる場合: 3\.1\.[0-9] バージョン 3.2 および 3.4 のみにマッチさせる場合: 3\.[24] • 以下のいずれかから始まるレジストリエントリー用の完全なRegistry Path[レジストリパス]を指定しま す。 LocalMachine、ClassesRoot、Users、PerformanceData、CurrentConfig あるいは DynData。 Traps はローカルシステムとして実行されるため、レジストリパス CurrentUser を指定すること はできません。 Traps は、指定されたパスがエンドポイントのレジストリ内に含まれている場合にのみルールを適用し ます。また、特定のレジストリ Key[ キー ] あるいは Data[ データ ] の値(String および DWord のみ) をマッチ条件として設定することもできます。 例えば、IPv6 が有効なエンドポイントにルールを適用させたい場合、次のレジストリ設定とマッチす る条件を指定します。 • Registry Path[ レジストリパス ]:LocalMachine\SYSTEM\CurrentControlSet\services\ TCPIP6\Parameters\EnableICSIPv6 • Key[ キー ]:DisabledComponents • Data[ データ ]:0 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 119 一般的なルールの要素および動作 ルールについて ルールの有効化の条件を定義 (Continued) Step 5 条件を Save[ 保存 ] します。 これでマッチ条件を指定して、ルールを受け取るエンドポイントを含める / 除外することができるように なりました。条件を指定してエンドポイントを含める / 除外するを参照してください。 条件を指定してエンドポイントを含める / 除外する 条件を設定することで、マッチ条件に一致するエンドポイントに対してのみルールを有効にすることが できます。例えば、Windows XP のクライアントシステムにマッチさせる条件を考えてみます。マッチ 結果を対象として含有めるリストにこの条件を追加すると、Windows XP で実行されているクライアン トシステムに対してのみルールが適用されるようになります。逆に、マッチ結果を対象から外すリスト に前述の条件を追加すると、Windows XP 以外で実行されているクライアントシステムすべてにルール が適用されるようになります。どちらかのリスト(含有あるいは除外)に追加した条件は、もう一方の リストには追加できません。 条件を指定してエンドポイントをルールに含める / 除外する流れは以下の通りです。 条件を指定してエンドポイントを含める / 除外する Step 1 ルール設定ページで Conditions[ 条件 ] タブを選択します。 Step 2 条件を選択し、含有 / 除外リストの Add[ 追加 ] します。その際、Ctrl キーを押しながら選択を行うと、条件 を複数選択できます。 Step 3 ルールの設定を行い、ルールを Save[ 保存 ] あるいは Apply[ 適用 ] します(ルールの保存を参照)。 ルール条件の削除または変更 ルールの有効化の条件とは、エンドポイントにルールを適用する上でエンドポイントが満たすべき条件で す。条件を作成すると、Conditions[ 条件 ] ページからそのルールを削除または変更することができます。 ルール条件の変更または削除 Step 1 Settings > Conditions[ 設定 > 条件 ] を選択します。Conditions[ 条件 ] ページでは、各条件に固有の ID 番 号、Name[ 名前 ]、および Description[ 概要 ] が表示されます。 Step 2 変更または削除する条件を選択します。 Step 3 以下のいずれかを実行します。 • 条件を破棄するには、Delete[ 削除 ] をクリックします。 • 条件設定を変更し、変更を Save[ 保存 ] します。 120 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ルールについて 一般的なルールの要素および動作 対象オブジェクト 対象オブジェクトは、ルールの範囲や、ルールの適用対象となるエンドポイントを定義します。以下の いずれかをオブジェクトとして選択できます。 対象オブジェクト 説明 ユーザー Active Directory で定義されたユーザー。 グループ Active Directory で定義されたユーザーグループ。 コンピューター Active Directory で定義されたコンピューターまたはモバイルデバイスの名前。 組織ユニット ユーザー、グループ、コンピューター、および他の組織ユニットを配置可能な Active Directory 内の区分。 既存のエンドポイント Traps エージェントがインストールされたコンピューターまたはモバイルデバイ ス。Endpoint Security Manager は、Traps エージェントから受信する通信メッ セージによって既存のエンドポイントを識別します。 アクティブディレクトリで定義されたオブジェクトの場合、入力と同時に ESM コンソールが自動補完を 行ってくれます。 Traps を実行中でないコンピューターも自動補完の候補に挙がることがあります。 すべてのオブジェクト、選択した一部のオブジェクト、または除外リストに登録されたものを除くすべ てのオブジェクトに対してルールを適用することができます。 ユーザーおよびグループに対して定義したルールは、ログインしているエンドポイントに関わらず対象 のユーザーおよびグループに対して適用されます。 ルールの命名または改名 ESM コンソールはルールの詳細および作成時刻に基づいてルールの名前と説明を自動生成します。自動 生成された名前を上書きするには、Name[ 名前 ] タブを選択し、Activate automatic description[ 説明を自 動生成 ] オプションの選択を解除し、ルールの名前と説明を適宜入力します。 同じ種類のルールの場合、変更・更新日が新しいルールの方が古いものよりも優先されます。 ルール名を変更するとそのルールの変更日も更新されることになり、変更を加えたルールが他 の古いルールをオーバーライドする可能性が出てきます。 ルールの説明項目は、ルールを作成した理由などをメモするのに使用します。例えば発生した 問題のインシデント ID や、お問い合わせ番号のリンクを含めることができます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 121 一般的なルールの要素および動作 ルールについて ルールの保存 ルールの種類に応じて必要となるすべてのフィールドを埋めなければルールを保存できません。赤い背 景のタブにより、入力が必須の項目が分かるようになっています。 ルールの保存または変更を試みる前に、必須フィールドを埋めます。 ルールに対する必須フィールドを指定すると、以下のいずれかのアクションが選択可能になります。 アクション 説明 Save [ 保存 ] ルールを有効化せず保存します。ルールのステータスは Inactive[ 無効 ] となり、 後から有効化することができます。これは無効なルール、新しいルール、コピー されたデフォルトルールでのみ利用できるオプションです。 Apply [ 適用 ] ルールを保存し、即座にルールを有効化します。ESM サーバーは次回のハート ビート通信の際に、更新済みのルールを Traps エージェントに送信します。しか し、エンドポイントの Traps コンソールで Check-in now[ すぐにチェックイン ] をクリックすれば、その場でポリシーを更新することができます。 保存したルールの管理 保存したルールの名前と説明が、対象のシステムログおよび表に表示されます。 ルールを選択すると、詳細を表示して以下のいずれかのアクションを実行できます。 アクション Duplicate [ 複製 ] 説明 (アクションルールのみ)既存のルールを基にして新規ルールを作成します。 Delete [ 削除 ] 不必要なルールをシステムから削除します。 同時に複数のルールを削除するには、表上部のメニュー で Delete Selected (non-Default)[ 選択中のもの(デフォルト以外)を削除 ] を選択します。 Activate/Deactivate [ 有効化 / 無効化 ] 保存済みかつ適用されていないルールは、現在のセキュリティポリシーに追加す ることで Activate[ 有効化 ] することができます。有効なルールは現在のセキュ リティポリシーで削除することで Deactivate[ 無効化 ] できますが、システムか らは削除されません。 同時に複数のルールを有効化あるいは無効化するには、ルールを選択してから表 上部のメニュー で Activate Selected[ 選択中のものを有効化 ] あるいは Deactivate Selected[ 選択中のものを無効化 ] を選択します。すべてのエクスプロ イトルール、マルウェアルール、およびフォレンジックルールを無効化 / 有効化 する方法については、すべての保護ルールの無効化 / 有効化をご参照ください。 Edit [??] ルールの定義を編集します。このオプションを選択するとルール設定ダイアログ が開き、ルールの定義を変更することができます。詳細は、「エクスプロイト阻止 ルールの作成」を参照してください。 122 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ルールについて 一般的なルールの要素および動作 アクション 説明 Import rules/Export selected[ ルールをイン ポート / 選択中のものを エクスポート ] 表上部のアクションメニュー で、ルールのインポートや選択したルールのエ クスポートができます。ルールをエクスポートすると、選択したルールが XML ファイルとして保存されます。詳細は、「ポリシーファイルのインポート・エクス ポート」を参照してください。 Show Default Rules[ デ フォルトルールを表示 ]/Hide Default Rules[ デ フォルトルールを非表示 ] 表上部のアクションメニュー で、デフォルトルールを展開したり非表示にし たりできます。表示中にデフォルトルールを選択するとルールの詳細状やルール をコピーするオプションなどが表示されます。このコピーを行えば、デフォルト ポリシーの設定を基にして新しいルールを作成することができます。詳細は、「デ フォルトのポリシールールを表示 / 非表示」を参照してください。 ルールのフィルタリング ESM コンソールにある各ルールの概要および管理ページには、お客様の組織のセキュリティポリシーを 定義するルールについての詳細情報が表示されます。各列の上部にあるフィルタリング機能 を使用し てルールを限定することで、ESM コンソールに表示されるルールの数を減らすことができます。この フィルタリング機能を使用して値を 1 つあるいは 2 つ指定することで、ルールのステータス、ルール名、 ルールの説明あるいは変更日で表示を絞り込むことができます。 各列で使用できる演算子は、その列の種類によって異なります。例えばテキストを表示する列について は、次のいずれかの演算子を使用して文字列を検索し、列にフィルターをかけることができます。Is equal to[ 一致 ]、 Is not equal to[ 不一致 ]、 Starts with[ 先頭の文字列 ]、 Contains[ 含む ]、 Does not contain[ 含まない ]、 あるいは Ends with[ 末尾の文字列 ]。日付を表示する列については、次のいずれかの演算子を使用して特 定の日あるいは期間を指定してフィルタリングすることができます。Is equal to[ 一致 ]、Is not equal to[ 不 一致 ]、Is after or equal to[ 以後(入力した日を含む)]、Is after[ 以後(入力した日を含まない)]、Is before or equal to[ 以前(入力した日を含む)]、あるいは Is before[ 以前(入力した日を含まない)]。 ESM コンソールでは、有効なフィルターがある列にはフィルターが適用中であることを示すアイコン が表示されるとともに、青くハイライト表示されます。フィルターを解除するには、アイコンをク リックして Clear[ 解除 ] を選択します。 ルールをフィルタリングする際に使用できる値、演算子、列は次の表の通りです。 列 演算子 値 ルールのステータス • • • • • • 一致 不一致 先頭の文字列 含む 含まない 末尾の文字列 • • • • • 名前 • • • • • • 一致 不一致 先頭の文字列 含む 含まない 末尾の文字列 < 文字列 > © Palo Alto Networks, Inc. 保留中 — まだ適用されていない保存済みのルール。 有効 — 適用されているルール。 無効 — 有効でないルール。 過去のルール — 削除済みのルール。 移行したルール — 古いバージョンにて作成され、新しい バージョンをサポートするようアップデートされたルー ル。 Traps 3.3 管理者ガイド • 123 一般的なルールの要素および動作 ルールについて 列 演算子 値 説明 • • • • • • < 文字列 > 変更日時 • 一致 • 不一致 • 以後(入力した日を含 む) • 以後(入力した日を含 まない) • 以前(入力した日を含 む) • 以前(入力した日を含 まない) 一致 不一致 先頭の文字列 含む 含まない 末尾の文字列 <mm/dd/yyyy> すべての保護ルールの無効化 / 有効化 エンドポイントを保護するセキュリティポリシーが組織内のエンドポイントに対して問題を引き起こし た際、デフォルトポリシールールを含むすべての有効なポリシールールを速やかに無効化することがで きます。保護を無効化するとすべての制限の効果が解除され、次の各タスクが停止します。 今後のあらゆるプロセスに対する Traps インジェクション WildFire に対する検証 今後のデータ収集 すべての保護が無効になっている状態で行ったセキュリティポリシールールに対する変更は、保護を再 び有効化するまでは効力を持ちません。 保護を無効化して問題を解決した後、すべての保護を同時に有効化することで、全ポリシールールを復 元することができます。(保護を有効化しても、以前に無効化しているルールは有効化されません) 単体のルールもしくは少数のルールのみを無効化する必要がある場合には、各ルールタイプ別に用意さ れているルール管理ページでルールを個別に選択して無効化することができます。 すべての保護ルールの無効化 / 有効化 Step 1 ESM コンソールから、いずれかのルール管理ページを選択します。例:Policies > Malware > Restrictions [ ポリシー > マルウェア > 制限 ] Step 2 以下のいずれかを実行します。 • 保護を無効化するには、Disable All Protection[ すべての保護を無効化 ] をクリックします。ESM はすべ てのルールを無効化し、次回の Traps エージェントとのハートビート通信の際、更新されたセキュリ ティポリシーをエンドポイントに送信します。 • 保護を有効化するには、Enable All Protection[ すべての保護を有効化 ] をクリックします。ESM はすべ てのルールを再び有効化し、次回の Traps エージェントとのハートビート通信の際、更新されたエンド ポイント保護用のセキュリティポリシーをエンドポイントに送信します。 124 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. ルールについて 一般的なルールの要素および動作 デフォルトのポリシールールを表示 / 非表示 Endpoint Security Manager のセキュリティポリシーには、様々なソフトウェアが有する共通の脆弱性や 侵入経路を悪用した攻撃やエクスプロイトを防ぐ定義済みのルールが初期状態で含まれています。 新しいルールを設定する際は、デフォルトの挙動を引き継ぐことができます。あるいは必要に応じてそ の設定をオーバーライドすることで、お客様の組織のセキュリティポリシーをカスタマイズすることも 可能です。 セキュリティポリシーに表示されるルールの数を減らすために、各デフォルトルールは単一のデフォル トポリシー以下に格納されています。表示を展開してデフォルトポリシーのルールを確認するには、 ページ上部にあるアクションメニュー で Show Default Rules[ デフォルトルールを表示 ] を選択しま す。ルールのリストを格納するには、Hide Default Rules[ デフォルトルールを非表示 ] にする操作を行い ます。 デフォルトルールはコピーし、設定を変更することでオーバーライドすることができます。類似のルー ルがある場合、新しいルールが古いものよりも優先されます。Clone[ コピー ] オプションは、Show Default Rules[ デフォルトルールを表示 ] する操作を行ってから任意のルールを選択すると表示される詳細 情報の中にあります。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 125 一般的なルールの要素および動作 126 • Traps 3.3 管理者ガイド ルールについて © Palo Alto Networks, Inc. エクスプロイト阻止 プロセス管理 エクスプロイト阻止ルールの管理 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 127 プロセス管理 エクスプロイト阻止 プロセス管理 デフォルト設定で Endpoint Security Manager が保護する対象となるのは、Windows 環境で最もよく利 用され、かつ脆弱性が高いプロセスです。これらのプロセスに関する詳細情報、例えば保護タイプ、当 該プロセスを実行中のコンピューターの数、当該プロセスが最初に確認された日時などの情報は Process Management[ プロセス管理 ] ページで確認できます。 プロセスは Protected[ 保護中 ]、Unprotected[ 未保護 ]、Provisional[ 一時的保護 ] のいずれかに分類され ます。Provisional[ 一時的保護 ] ステータスは、プロセスがテストランの状態(通常、エンドポイントお よびルールの数が少ない状態)にあり保護されていることを示します。テストランが完了し、関連する ルールに必要な調整を加えた後で、当該プロセスの保護タイプを Protected[ 保護中 ] に変更できます。 WildFire を有効にする(WildFire の有効化を参照)か、エージェント設定ルールを作成して新しいプロ セスの情報を収集する(新規プロセス情報の収集を参照)ことで、新規プロセスの収集を有効にできま す。エンドポイントで新しい実行ファイルあるいはプロセスが実行されると、Traps がそのことを Endpoint Security Manager に報告します。 また、サードパーティー製のアプリケーションを保護することも可能です。その際、当該プロセスの情 報を収集するために Process Management[ プロセス管理 ] ページにある保護対象のプロセスを示すリスト にそれらのアプリケーションを追加する必要はありません。 プロセス保護 Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加 プロセスのインポート / エクスポート プロセスの表示、変更、削除 Traps により現在保護されているプロセスを表示 128 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エクスプロイト阻止 プロセス管理 プロセス保護 Traps 3.3 ESM コンソールがデフォルトで保護するプロセスは以下のとおりです。 デフォルト設定で保護対象となるプロセス • • • • • • • • • • • • • • • • • • • • • • • • • • 7z.exe 7zfm.exe 7zg.exe acrobat.exe acrord32.exe acrord32info.exe amp.exe applemobiledeviceservic e. exe apwebgrb.exe armsvc.exe browser_broker.exe bsplayer.exe chrome.exe cmd.exe corelcreatorclient.exe corelcreatormessages.ex e ctfmon.exe cuteftppro.exe divx player.exe divx plus player.exe divxconverterlauncher.e xe divxupdate.exe dllhost.exe excel.exe explorer.exe filezilla.exe • • • • • • • • • • • • • • • • • • • • • • • • • • firefox.exe flashfxp.exe fotoslate4.exe foxit reader.exe foxitreader.exe ftp.exe ftpbasicsvr.exe groovemonitor.exe hxmail.exe i_view32.exe icq.exe icqlite.exe iexplore.exe infopath.exe ipodservice.exe itunes.exe ituneshelper.exe journal.exe jqs.exe microsoft.photos.exe microsoftedge.exe microsoftedgecp.exe mirc.exe msaccess.exe msnmsgr.exe mspub.exe • • • • • • • • • • • • • • • • • • • • • • • • • • nginx.exe notepad.exe notepad++.exe nslookup.exe opera.exe opera_plugin_wrapper.ex e outlook.exe plugin-container.exe powerpnt.exe pptview.exe qttask.exe quicktimeplayer.exe rar.exe reader_sl.exe realconverter.exe realplay.exe realsched.exe rundll32.exe runtimebroker.exe safari.exe skype.exe soffice.exe spoolsv.exe svchost.exe sws.exe taskeng.exe • • • • • • • • • • • • • • • • • • • • • • • • • taskhost.exe telnet.exe unrar.exe vboxservice.exe vboxsvc.exe vboxtray.exe video.ui.exe visio.exe vlc.exe vpreview.exe webkit2webprocess.exe wftp.exe winamp.exe winampa.exe winrar.exe winword.exe winzip32.exe winzip64.exe wireshark.exe wmiprvse.exe wmplayer.exe wmpnetwk.exe wwahost.exe xftp.exe xpsrchvw.exe Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプ ロセスを追加 プロセスとは、オペレーティングシステムが実行するプログラムのアクティブなインスタンスのことで す。コアシステムのプロセスの名前を含めて、現在実行中のアクティブなプロセスはすべてエンドポイ ントの Windows タスク マネージャで確認できます。コアシステムのプロセスの多くがオペレーティン グシステムによって保護されており、名前を変更することはできません。そのようなシステムのプロセ スを変更(例:calc.exe のプロセス名を calc1.exe に変更)すると、プロセスの機能が停止するおそれが あります。さらに Traps はプロセスを名前で識別するため、プロセス名を変更すると Traps がその新し い名前のプロセスに対して保護ルールを適用できなくなります。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 129 プロセス管理 エクスプロイト阻止 ESM コンソールは、最もよく利用され、かつ脆弱性が高いプロセスを保護するエクスプロイト阻止ポリ シーをデフォルトで使用するよう設定されています。比較的使用頻度の低いサードパーティ製あるいは 自社製のアプリケーションを保護するには、保護するプロセスのリストにそのプロセス名を追加します。 エクスプロイト阻止ポリシーの各ルールはエクスプロイト阻止モジュール(EPM:exploit protection module)を使用して単一 / 複数のプロセスを特定の種類のエクスプロイトから保護したり、脆弱性を改善 したりします。また設定により、Traps がすべてのプロセスで EPM を有効にするか、特定の名前のプロ セスでのみ有効にするかを指定できます。保護するプロセスのリストに新しいプロセスを追加するれば、 エクスプロイト阻止ルールがすべてのプロセスに適用されて自動的にプロセスが保護されるため、設定 を変更する必要はありません。 プロセスを継続的にしっかりと保護できるよう、頻繁に使用するシステムのプロセス名はでき るだけ変更しないでください。プロセス名をどうしても変更しなければいけない場合は、保護 するプロセスに名前を変更したプロセスを追加し、元のプロセス名に対して有効になっていた 保護ルールが必ず反映されるようにしてください。さらに必要に応じてそのプロセスにエクス プロイト阻止ルールを追加で設定し、しっかりと保護するようにしてください。 お客様の組織の重要なアプリケーションにまで保護範囲を広げることで、日常業務に支障をきたすこと なく最大限のセキュリティを確保することができるようになります。Protected[ 保護中 ]、Provisional[ 一時的保護 ]、あるいは Unprotected[ 未保護 ] としてプロセスを追加し、Process Management[ プロセス 管理 ] ページにて構成を行ってください。 Protected[ 保護中] のプロセスと Provisional[ 一時的保護 ] のプロセスに対してはエクスプロ イト阻止ルールのみ設定できます。 初期状態で Protected[ 保護中 ] としてすでに追加されているプロセスには変更を加えること ができません。ご不明な点がある場合は、Palo Alto Networks のサポート チームまでお問い 合わせください。 Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加 Step 1 Process Management[ プロセス管理 ] ページに移動します。 130 • Traps 3.3 管理者ガイド ESM コンソールから、Policies > Exploit > Process Management[ ポリシー > エクスプロイト > プロセス管理 ] を選択します。 © Palo Alto Networks, Inc. エクスプロイト阻止 プロセス管理 Protected[ 保護中 ]、Provisional[ 一時的保護 ]、Unprotected[ 未保護 ] のプロセスを追加 (Continued) Step 2 Step 3 新しいプロセスを追加します。 保護中のプロセスに加えた変更を保存 します。 1. Add[ 追加 ] をクリックします。 2. Process Name[ プロセス名 ] を入力します。 3. 次の中から Protection Type[ 保護タイプ ] を選択します。 • Protected[ 保護中 ]— プロセスに対して、セキュリティ ルールに基づく保護が有効になっていることを示します。 • Provisional[ 一時的保護 ]— 通常の保護中のプロセスと、 保 護中のプロセスとしてテストランが行われているプロセ スとを論理的に区別できるようになります。 • Unprotected[ 未保護 ]— プロセスに対して、セキュリティ ルールに基づく保護が有効になっていないことを示しま す。 Create[ 作成 ] をクリックします。 プロセスのインポート / エクスポート ESM コンソールのエクスポート機能 / インポート機能を利用して、セキュリティポリシーで使用するプロ セス定義のバックアップをとることができます。インポート機能 / エクスポート機能を使用すれば、新 しいサーバーに移行する前、サーバーのアップグレードを行う前、あるいは管理対象のプロセスを独立 した複数サーバーに導入する前に、プロセスのバックアップをとることができます。また、エクスポー トの対象とするプロセスの範囲は全体か、あるいは一部かを指定した上で XML ファイルに保存できま す。インポート機能を利用すると、デフォルトのプロセスと後から追加されたプロセスの一覧を示す既 存のリストにインポート後のプロセスが追加されるとともに、その保護タイプが表示されます。 プロセスのインポート / エクスポート Step 1 Process Management[ プロセス管理 ] ページに移動します。 Step 2 プロセスをインポート / エクスポートし • プロセスをインポートするには、アクションメニュー をク ます。 リックし、Import Processes[ プロセスをインポート ] を選択 します。インポートするプロセスについての詳細情報が含まれ たファイルを Browse[ 参照 ] し、Upload[ アップロード ] し ます。アップロードが完了すると、表にプロセスが表示されま す。 • プロセスをエクスポートするには、エクスポートしたいプロセ スを選択します。アクションメニュー から Export Selected[ 選択中のものをエクスポート ] を選択します。ESM コ ンソールにより、プロセスが XML ファイルに保存されます。 © Palo Alto Networks, Inc. ESM コンソールから、Policies > Exploit > Process Management[ ポリシー > エクスプロイト > プロセス管理 ] を選択します。 Traps 3.3 管理者ガイド • 131 プロセス管理 エクスプロイト阻止 プロセスの表示、変更、削除 お客様の組織のセキュリティポリシーによって保護されるすべてのプロセスが ESM コンソールの Processes Management[ プロセス管理 ] ページに表示されます。プロセスが関連付けられているすべての ルールからプロセスを削除しなければ、プロセスに変更を加えたり、削除を行ったりできません。 プロセスの表示、変更、削除 Step 1 Process Management[ プロセス管理 ] ページに移動します。 ESM コンソールから、Policies > Exploit > Process Management[ ポリシー > エクスプロイト > プロセス管理 ] を選択します。 Step 2 Process Management[プロセス管理]の 表の上部にあるページ送り機能を使用すれば、非表示になってい 表でプロセスを確認します。 るセクションを閲覧できます。 ここには次の項目が表示されます。 • Process[ プロセス ]— プロセスの実行ファイルのファイル名。 • Protection Type[ 保護タイプ ]—Protected[ 保護中 ]、 Unprotected[ 未保護 ]、Provisional[ 一時的保護 ] のいずれか。 • Computers[ コンピューター]— プロセスを実行しているエンド ポイントの数。 • Linked Rules[ 関連ルール ]— プロセスが関連付けられている ルールの数。 • Discovered On[ 発見されたエンドポイント ]— プロセスが最初 に発見されたエンドポイントの名称。 • First Seen[ 発見日時 ]—(未知のプロセスを報告するルールを設 定した後で)当該エンドポイントにて初めてプロセスが確認 された日時。 Step 3 プロセスを削除あるいは変更します。 プロセスを使用しているルールがある場合は、まずそのルールか らプロセスへの参照を解除(削除)する必要があります。プロセ スへの参照を解除すれば、そのプロセスの名前を選択して次の作 業を行えるようになります。 • プロセスの Delete[ 削除 ]。 • Process Name[ プロセス名 ] を変更し、変更を Save[ 保存 ]。 • Protection Type[ 保護タイプ ] を変更し、変更を Save[ 保存 ]。 Traps により現在保護されているプロセスを表示 エンドポイントでユーザーが保護されたプロセスを開いた、あるいは保護されたプロセスを作成した際、 Traps エージェントは当該プロセスに Exploitation Protection Module(EPM)という保護モジュールを挿 入します。各プロセスにどの EPM を挿入するのかは、エンドポイントのセキュリティポリシールールに より決定されます。 Traps コンソール、あるいは Cytool というコマンドライン型のインターフェースを使用して、Traps により現 在保護されているプロセスを確認できます(Traps により現在保護されているプロセスを表示を参照) 。 Traps により現在保護されているプロセスは、Traps コンソールの Protection[ 保護 ] タブに表示されます。 132 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エクスプロイト阻止 プロセス管理 各プロセスについて、Traps はその名称、概要、固有の ID 番号、プロセスを開始した時刻、メモリを割 り当てるレジスタを表示します。 Traps により現在保護されているプロセスを表示 Step 1 次のようにして Traps コンソールを起動します。 • Windows のタスクトレイにある Traps のアイコン をダブルクリックあるいは右クリックし、Console [ コンソール ] を選択します。 • Traps がインストールされているフォルダから CyveraConsole.exe を実行します。 Traps コンソールが起動します。 Step 2 Advanced > Protection[ 詳細 > 保護 ] タブを選択し、保護されたプロセスを表示します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 133 エクスプロイト阻止ルールの管理 エクスプロイト阻止 エクスプロイト阻止ルールの管理 エクスプロイト阻止ルール エクスプロイト阻止ルールのヒエラルキー エクスプロイト阻止モジュール(EPM) デフォルトのエクスプロイト阻止ポリシー エクスプロイト阻止ルールの作成 エクスプロイト阻止ルールからエンドポイントを除外 エクスプロイト阻止ルール エクスプロイト阻止ルールはエクスプロイト阻止モジュール(EPM)を使用し、お客様の組織の各プロ セスを特定のタイプのエクスプロイトから保護します。EPM とは、有効化することでメモリ破損やロ ジックの欠陥に関わるプログラムの脆弱性を狙った攻撃から単一 / 複数のプロセスを保護できるコード モジュールのことです。 デフォルトのエクスプロイト阻止ポリシーには、頻繁に使用する保護されたプロセスに対して有効な一 連のエクスプロイト阻止ルールが予め設定されています。お客様の組織の重要なプロセスやアプリケー ションを追加で保護する場合、保護対象あるいは一時的保護の対象となるプロセスのリストにそれらを 追加し、エクスプロイト阻止ルールを加える設定を行います。例えば、お客様の組織で使用する 2 つの プロセス(例:ProcessA.exe および ProcessB.exe)を、Return-Oriented Programming(ROP)と呼ば れるメモリ破損を狙うタイプの攻撃から保護する場合、保護するプロセスのリストにそれらのプロセス を追加し、ROP 軽減 EPM(ROP Mitigation EPM)を有効化するエクスプロイト阻止ルールを作成しま す。ユーザーがファイルあるいは URL を開く際、そのファイルの実行開始に関与する保護対象のプロセ スに対して Traps エージェントがコードを挿入し、EPM を有効化します。ROP チェーンにおいて使用す る API をエクスプロイトする意図があるコードがそのファイルに見つかった場合、Traps がメモリ破損を 狙った攻撃をブロックします。セキュリティイベントによって防護措置が開始されると、Traps エージェ ントは後のフォレンジック調査に向けてメモリのスナップショットをとっておきます。 Traps エージェントは定期的に ESM サーバーから最新のセキュリティポリシーを取得します。プロセスを 保護する際に Traps が有効化する EPM の種類、および Traps が保護するプロセスはセキュリティポリ シーで指定されます。 Policies > Exploit > Protection Modules[ ポリシー > エクスプロイト > 保護モジュール ] ページではエクスプ ロイト阻止ルールの概要をご覧いただけます。ここでルールを選択すると、ルールの詳細、およびその ルールに対して実行可能な操作(Delete[ 削除 ]、Activate[ 有効化 ]/Deactivate[ 無効化 ]、Edit[ 編集 ]) が表示されます。詳細は、「エクスプロイト阻止ルールの管理」を参照してください。 セキュリティポリシールールの EPM に変更を加える前に、Palo Alto Networks のサポート チームにご相談ください。 134 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エクスプロイト阻止 エクスプロイト阻止ルールの管理 エクスプロイト阻止ルールのヒエラルキー Traps のルールのメカニズムは、セキュリティポリシーに新たなエクスプロイト阻止ルールを追加した場 合、設定されたすべてのルールを、各エンドポイントのために評価されるひとつの効果的なポリシーに 統合するようにできています。2 つ以上のルールが衝突するおそれがある場合には、Traps が以下の項目 を考慮し、どちらのルールが効力を持つのかを決定します。 Process specificity[ プロセスに対する具体性の高さ ]— より具体的なルールの優先度が高くなります。 例えば、あらゆるプロセスをカバーするよう設定されたルールよりも、特定のプロセスに対して有効 なルールのほうが優先度が高くなります。 Modification date[ 変更日 ]— 新しく作成 / 変更されたルールのほうが、古いルールより優先されます。 エクスプロイト阻止モジュール(EPM) EPM の種類、および各モジュールが回避するエクスプロイトの種類は、次の表に記載の通りです。 名前 タイプ 説明 CPL 保護 ソフトウェアの マルウェアの侵入を促すおそれのある、Windows コントロールパネルの ロジックの欠陥 ショートカットアイコンに関するディスプレイの脆弱性の問題を解決しま す。 DEP メモリ破損 データ実行防御(DLP)。データ保存を目的としたメモリ領域を実行可能な コードとして走らせる攻撃を回避します。 DLL セキュリティ メモリ破損 完全に信頼できない領域から極めて重要な DLL のメタデータにアクセスさ れるのを防ぎます。 DLLハイジャックの ソフトウェアの 安全でない領域から DLL を読み込んでプロセスを操作しようとする DLL ハ 防止 ロジックの欠陥 イジャック攻撃を防ぎます。 例外のヒープ スプ メモリ破損 レー チェック プロセスが不正にクラッシュした(エクスプロイトを示唆する)場合、イン スタンスのヒープスプレーを検出します。 フォントの保護 ソフトウェアの 頻繁にエクスプロイトの手段として利用される、フォントの不正な扱いを防 ロジックの欠陥 ぎます。 GS Cookie ソフトウェアの バッファオーバーランを利用し、バッファサイズの制限が適用されないコー ロジックの欠陥 ドをエクスプロイトする頻繁に見られる攻撃手法を防ぎます。バッファオー バーランは、Windows のバッファ セキュリティチェックの脆弱性の結果と して生じます。記憶領域を割り当てるのに使用されるセキュリティクッキー のサイズが変化した場合、スタックが上書きされた可能性が示唆されます。 ここで値の不整合を検出すると、プロセスが停止します。 Heap Corruption Mitigation メモリ破損 ダブルフリーなどヒープ破損に関する脆弱性を狙った攻撃を防ぎます。 ホット パッチの防 ソフトウェアの システムファンクションを悪用して DEP およびアドレス空間配置のランダ 止 ロジックの欠陥 ム化(ASLR)を回避されるのを防ぎます。 JIT の軽減 メモリ破損 © Palo Alto Networks, Inc. Just-In-Time(JIT)コンパイラを利用し、攻撃者がオペレーティングシス テムのメモリ軽減を回避するのを防ぎます。ニンジャモードでは、このモ ジュールのためのホワイトリストや高度なフックを構成することもできま す。 Traps 3.3 管理者ガイド • 135 エクスプロイト阻止ルールの管理 エクスプロイト阻止 名前 タイプ 説明 ライブラリの事前 割り当て メモリ破損 エクスプロイトで頻繁に悪用される特定のモジュールの配置換えを徹底的に 行います。 メモリ制限のヒー メモリ破損 プ スプレー チェッ ク メモリ破損が急激に増加(エクスプロイトが進行中であることを示唆)した 際、Palo Alto Networks 独自のアルゴリズムに基づいてヒープスプレーのイ ンスタンスを検出します。 Null 逆参照の防止 メモリ破損 悪意のあるコードがメモリ領域のアドレス 0 にマッピングするのを防ぎ、 Null 参照に関する脆弱性の問題を解決します。 パックされた DLL メモリ破損 この DLL セキュリティモジュールのエクステンションは、後にメモリ内で アンパックされる、パック化された DLL のセキュリティを高めます。 定期的なヒープ ス メモリ破損 プレー チェック 事前に設定した間隔でヒープ領域を検査し、Palo Alto Networks 独自のアル ゴリズムに基づいてヒープスプレーのインスタンスを検出します。 ランダムな事前割 り当て メモリ破損 プロセスがメモリ割り当てを行う際のエントロピーを増大させ、エクスプロ イトが成功する確率を減らします。 ROP の軽減 メモリ破損 ROP チェーンにおいて利用される API を保護することで Return-Oriented Programming(ROP)の使用を防止します。 SEH の保護 メモリ破損 頻繁にエクスプロイトの対象となる制御構造体であり一連のファンクション レコードを格納する連結リストである Structured Exception Handler(SEH) がハイジャックされるのを防止します。 シェルコードの事 前割り当て メモリ破損 ヒープスプレーによってウイルスの温床となりやすいメモリの特定領域を予 約しておき、保護します。 ShellLink 保護 ソフトウェアの シェルリンクのロジックの脆弱性の問題を解決します。 ロジックの欠陥 SysExit メモリ破損 ROP チェーンにおいて利用される API を保護することで Return-Oriented Programming(ROP)の使用を防止します。 UASLR メモリ破損 ASLR(モジュールの位置のランダム化)を改善、あるいは導入を完全にし てエントロピー、堅牢性、実行率を高めます。 デフォルトのエクスプロイト阻止ポリシー 様々なソフトウェアが有する共通の脆弱性を悪用した攻撃やエクスプロイトを防ぐエクスプロイト阻止 ルールが、デフォルト設定で Endpoint Security Manager のセキュリティポリシーに含まれています。エ クスプロイト阻止ポリシーのデフォルト設定は以下の表のとおりです。新しいエクスプロイト阻止ルー ルを構成する際は、Mode[ モード ] および User Notification[ ユーザー通知 ] の列に示されているデ フォルトの挙動を引き継ぐことができます。あるいはその設定をオーバーライドすることでお客様の組 織のセキュリティポリシーの要件を満たすことも可能です。Advanced EPM および EPM の設定を行う際 はニンジャモード のパスワードを入力する必要があります。 EPM デフォルトで有効 モード ユーザー通知 CPL 保護 一部のプロセ スに対して オン 136 • Traps 3.3 管理者ガイド 通知 ニンジャモード © Palo Alto Networks, Inc. エクスプロイト阻止 エクスプロイト阻止ルールの管理 EPM デフォルトで有効 モード ユーザー通知 DEP 一部の OS に 対して 防御 オン DLL セキュリティ 防御 オン DLL ハイジャックの防止 通知 オン 例外のヒープ スプレー チェック 防御 オン フォントの保護 防御 オン GS Cookie 防御 オン ヒープ破損の軽減 防御 オン ホット パッチの防止 防御 オン 防御 オン 防御 オン メモリ制限のヒープ スプレー チェック 防御 オン Null 逆参照の防止 防御 オン パックされた DLL デフォルトでリス 防御 トは空 定期的なヒープ スプレー チェック 一部のプロセ スに対して ニンジャモード 汎用 JIT の軽減 一部のプロセ スに対して ライブラリの事前割り当て マスター SEH マスター VEH 防御 オン ランダムな事前割り当て 防御 オン ROP の軽減 防御 オン SEH の保護 防御 オン シェルコードの事前割り当て 防御 オン ShellLink 保護 防御 オン SysExit 防御 オン 防御 オン 防御 オン T01 互換性 UASLR 一部のプロセ スに対して URI 保護 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 137 エクスプロイト阻止ルールの管理 エクスプロイト阻止 エクスプロイト阻止ルールの作成 エクスプロイト阻止ルールはエクスプロイト阻止モジュール(EPM)を使用し、お客様の組織の各プロ セスを特定のタイプのエクスプロイトから保護します。 エクスプロイト阻止ルールを作成すると、お客様の組織で頻繁に使用するプロセスを保護するのに使用 するモジュールを指定できます。各モジュールはメモリ破損やロジックの欠陥に関わるプログラムの脆 弱性をエクスプロイトする試みを防ぎ、DLL ハイジャックやヒープ破損といった特定の攻撃手法を回避 します。特定の種類の攻撃に対して脆弱性があり得るプロセスを保護するよう、EPM モジュールを有効 にしてください。 追加するエクスプロイト阻止ルールそれぞれについて EPM 固有の設定を行い、ルールを適用するプロセ ス(単一のプロセス、複数のプロセス、すべてのプロセスを指定可能)を選択します。通常、この設定 項目には EPM の有効化、Traps の挙動、ユーザー通知が含まれます。 他のタイプのルールと同様に、適用するルールのために満たす必要がある対象オブジェクトおよび条件 を指定することでエクスプロイト阻止ルールの範囲を縮小することができます。すべてのユーザー、グ ループ、組織ユニット、アクティブディレクトリに表示されるコンピューター、または Traps エージェ ントがインストールされた既存のエンドポイントを対象オブジェクトにできます。条件は特定のファイ ル、特定のバージョンのファイル、あるいはエンドポイントに存在するはずのレジストリパスを参照す ることができます。 追加の EPM および詳細な設定内容は、ニンジャモード 以外では表示・アクセスすることができなくなっ ています。このような EPM の構成や詳細設定を行う際は管理者パスワードを入力する必要があります。 エクスプロイト阻止ルールの構成は上級者向けの機能です。エクスプロイト阻止ルールをオー バーライドしたり変更を加えたりする際は、Palo Alto Networks のサポートチームまでご相談 ください。 138 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エクスプロイト阻止 エクスプロイト阻止ルールの管理 エクスプロイト阻止ルールの作成 Step 1 新しいエクスプロイト阻止ルールを設 定します。 Policies > Exploit > Protection Modules[ポリシー > エクスプロイ ト > 保護モジュール ] を選択し、新しいルールを Add[ 追加 ] します。 Step 2 EPM インジェクションを設定します。 EPM インジェクションはデフォルトで有効になっています。お 客さまのシステムの保護対象のプロセスについて、すべてのエク スプロイト保護を無効にする場合は、EPM のリストの下部にあ る Disable All EPM Injection[ すべての EPM インジェクションを 無効化 ] オプションを選択します。 Step 3 EPM モジュールの設定を行います。 1. リストから EPM を選択してから Details[ 詳細 ] セクションで 設定を行います。EPM の設定内容は各タイプによって異な りますが、いずれもプロセスを終了させるかどうか、セキュ リティイベントの発生についてユーザーに通知するかどうか の設定を行うことができます。 2. さらに EPM を追加・設定する場合は、この操作を繰り返し ます。EPM の各タイプについての情報は、エクスプロイト 阻止ルールをご参照ください。 EPM の定義を変更するとルールを評価する順序が変わ るため、保護レベルに影響が生じる場合があります (ポリシーの実施を参照)。お客様の組織のセキュリ ティについて妥協してしまう前に、Palo Alto Networks のサポートチームに一度ご相談ください。 Step 4 ルールを適用するプロセスを選択しま 1. す。 2. 新しいプロセスのエクスプロイト阻止 ルールを構成する前に、Policies > Exploit > Process Management[ ポリ シー > エクスプロイト > プロセス管理 ] ページでプロセスおよび保護タイプ を定義しておく必要があります。プロ セスを新規に追加する方法については、 3. Protected[ 保護中 ]、Provisional[ 一時 的保護 ]、Unprotected[ 未保護 ] のプ ロセスを追加をご参照ください。プロ セスの保護タイプを変更(例: Unknown[未知]からProtected[保護中 ] へ)する方法については、プロセス の表示、変更、削除をご参照ください。 Processes[ プロセス ] タブを選択します。 ドロップダウンリストからプロセスの種類(Protected[ 保護 中 ] あるいは Provisional[ 一時的保護 ] のいずれか)を選択 し、リストの表示項目を絞ります。一時的保護のプロセスと はテストランが行われているプロセスのことであり、保護中 のプロセスとは別に監視されます。デフォルト設定でセキュ リティポリシーが保護するプロセスのリストは、プロセス保 護でご確認いただけます。 ルールを適用するプロセスを選択し、Add[ 追加 ] をクリック します。もしくは、保護中のプロセスおよび一時的保護のプ ロセスすべてにルールを一括適用したい場合は All Processes[ すべてのプロセス ] を選択します。 Step 5 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照く ださい。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 139 エクスプロイト阻止ルールの管理 エクスプロイト阻止 エクスプロイト阻止ルールの作成 (Continued) Step 6 (任意)制限ルールを適用する対象オブ 対象オブジェクトをより小さな範囲に限定するには、Objects[ オ ジェクトを定義します。 ブジェクト ] タブを選択し、Users[ ユーザー ]、Computers[ コ ンピューター ]、Groups[ グループ ]、Organizational Unit[ 組織 ユニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 7 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 8 エクスプロイト阻止ルールを保存しま す。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。 これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Exploit > Protection Modules[ ポリシー > エクスプ ロイト > 保護モジュール ] ページでルールを選択し、 Activate[ 有効 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Protection Modules [ 保護モジュール ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効化 ] したりできます。 エクスプロイト阻止ルールからエンドポイントを除外 エンドポイントがエクスプロイト阻止ポリシーに反するアプリケーションを立ち上げようとすると、 Traps エージェントがプロセスを停止させ、その悪意のあるプロセスについて Endpoint Security Manager に報告します。セキュリティイベントを引き起こしたプロセス、および攻撃を防いだエクスプロイト阻 止モジュール(EPM:Exploit Prevention Module)についての詳細な情報は Security Events > Threats[ セ キュリティイベント > 脅威 ] ページで確認できます。 ポリシールールを削除 / 変更することなくあるプロセスを特定のエンドポイントにのみ許可する場合は、 セキュリティイベントの詳細を加味して除外ルールを作成します。特定のエンドポイントに除外ルール を定義すると、当該エンドポイントでプロセスを停止させたことがある EPM が無効になります。 意図せず組織のセキュリティを低下させることがないよう、除外ルールを作成するのは最小限 にしてください。 また、組織オブジェクト単位で適用される除外ルールを作成することも可能です(エクスプロイト阻止 ルールの作成を参照)。 エクスプロイト阻止ルールからエンドポイントを除外 Step 1 Threats[ 脅威 ] ページを開きます。 140 • Traps 3.3 管理者ガイド ESM コンソールから、Security Events > Threats[ セキュリティイ ベント > 脅威 ] を選択します。 © Palo Alto Networks, Inc. エクスプロイト阻止 エクスプロイト阻止ルールの管理 エクスプロイト阻止ルールからエンドポイントを除外 (Continued) Step 2 イベントを選択します。 除外ルールを適用するセキュリティイベントを選択します。セ キュリティイベントに関する詳細情報、アクションが表示されま す。 Step 3 除外ルールを作成します。 1. Create[ 作成 ] をクリックし、対象となる EPM およびエンド ポイントの詳細情報を含むルールの事前設定を行います。エ クスプロイト阻止ルール以外の場合はこのボタンが無効に なっています。 2. 必要に応じて、Processes[ プロセス ]、Conditions[ 条件 ]、 Objects[ オブジェクト ] および Name[ 名前 ] タブにある詳細 情報を確認します。 3. ルールを Apply[ 適用 ] してすぐに有効化するか、Save[ 保存 ] のみを行って後から有効化します。 1. Traps コンソールを起動します。 2. Check-in now[ すぐにチェックイン ] を選択し、最新のセ キュリティポリシーをリクエストします。 3. Advanced > Policy[ 詳細 > ポリシー] を選択し、当該ルール が表示されることを確認します。 4. 対象のエンドポイント上でアプリケーションを起動し、ユー ザーがプロセスを正常に実行できることを確認します。 Step 4 除外ルールにより、特定のエンドポイ ントでプロセスの実行が許可されるこ とを確認します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 141 エクスプロイト阻止ルールの管理 142 • Traps 3.3 管理者ガイド エクスプロイト阻止 © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止フロー WildFire のルールおよび設定の管理 実行ファイルのためのハッシュを管理 実行ファイルの制限事項を管理 マルウェア防止ルールの管理 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 143 マルウェア防止フロー マルウェアの防止 マルウェア防止フロー マルウェア防止エンジンは、次の 3 つの機能を軸にしてエンドポイントを保護します。 WildFire による既知・未知の実行ファイルの分析 ファイルの身元を検証する制限ポリシールール 悪意のあるプロセスが原因で発生することが多い挙動に対処するマルウェア防止モジュール 第 1 段階:ハッシュ判定の評価 第 2 段階:制限ポリシーの評価 第 3 段階:マルウェア防止ポリシーの評価 144 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止フロー 第 1 段階:ハッシュ判定の評価 WildFire が有効になっている場合(WildFire の有効化を参照) 、Traps は SHA-256 アルゴリズムを使用し てユーザーまたはエンドポイントが開こうとするすべての実行ファイルに対してユニークなハッシュ値 を算出します。Traps は次に、ファイルが有害か安全かに関する公式決定(WildFire 判定と呼ばれる)と ハッシュが一致しているかどうかを判別するためにローカルキャッシュを検索します。ハッシュがロー カルキャッシュの判定と一致しない場合、Traps は ESM サーバーにクエリを送信します。さらに ESM サーバーもそのハッシュの判定を持っていない場合、ESM サーバーは WildFire にクエリを送信します。 この評価ステージに関しては、以下のセクションで詳細に説明します。 ローカルキャッシュ検索(エンドポイント上) サーバーキャッシュ検索(データベース) WildFire 検索 判定の自動更新 判定の手動更新 ローカルキャッシュ検索(エンドポイント上) ユーザーが実行ファイルを開く際、Traps エージェントはローカルキャッシュ内のハッシュ判定を検索し ます。ローカルキャッシュはエンドポイントの C:\ProgramData\Cyvera\LocalSystem フォルダに保存さ れており、そのキャッシュには、ユーザーまたはマシンがエンドポイント上で実行を試みるすべての ファイルに対するハッシュおよびそれに対応する判定が含まれています。キャッシュのサイズはエンド ポイント上で開かれたユニークな実行ファイルの数に応じて調整されます。さらに、サービスの保護が 有効になっている場合(サービス保護の管理を参照)、ハッシュへのアクセスは Traps エージェントから のみ可能であり、変更することはできません。 有害であるというハッシュ判定が出た場合、Traps は Endpoint Security Manager にセキュリティイベン トを報告するとともに、悪意のあるファイルの終了処理に関する設定に従って次のいずれかの対応を行 います。 悪意のある実行ファイルをブロック ファイルに関してユーザーに通知するが、ファイルの実行は許可 ユーザーに通知することなく問題のログをとり、ファイルの実行を許可 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 145 マルウェア防止フロー マルウェアの防止 対象のファイルが安全であるというハッシュ判定が出た場合、Traps は次の評価ステージに進みます(第 2 段階:制限ポリシーの評価を参照)。 ローカルキャッシュ内にハッシュが存在しない、または未知の判定が存在する場合、Traps は ESM サー バーにクエリを送り、サーバーキャッシュ内にハッシュ判定があるかどうかを確認します。 サーバーキャッシュ検索(データベース) ハッシュ判定についてのクエリを受け取った ESM サーバーは(データベース内の)サーバーキャッシュ を検索し、既知の判定がある場合は Traps に判定を返します。サーバーキャッシュには、組織内のすべ てのエンドポイントにおいて開かれたあらゆる実行ファイルに対する判定が含まれています。 ハッシュ検索によりファイルが安全であるという判定が出た場合、Traps は次の評価ステージに進みます (第 2 段階:制限ポリシーの評価を参照)。ハッシュ検索により有害であるという判定が出た場合には、 Traps はセキュリティイベントを記録し、悪意のあるファイルに対するセキュリティポリシーに従って ファイルを操作します(通常はブロックします)。 そのハッシュに対する判定がサーバーキャッシュ内に無い、あるいは Unknown[ 未知 ] という判定があっ た場合(これは、以前にそのハッシュを検索するよう WildFire がリクエストを受け取っていながら、ファ イルの分析は行わなかったことを意味します) 、ESM サーバーは次に WildFire にクエリを送信します。 WildFire 検索 Palo Alto Networksの脅威インテリジェンスチームやWildFireの利用者から受信したサンプルファイルを 含めて、WildFire は受信・分析したあらゆるファイルに対する判定を保存します。 ハッシュ判定についてのクエリを受け取った WildFire は検索を行い、安全、有害、あるいは未知という 判定を ESM サーバーに返します。ESM サーバーはサーバーキャッシュ内の判定を更新し、クエリ送信 の発端となった Traps エージェントに判定を返します。 未知という判定が出た実行ファイルを自動的に WildFire に分析させるには、分析用ファイル(各ファイ ル 100MB まで)を自動的に WildFire に送信するよう ESM サーバーの設定を行います。ファイルを分析 した WildFire はそのファイルに対する判定を更新し、以降そのハッシュに関するクエリを受信した際は、 更新済みの判定を返すようになります。 未知のファイルの自動アップロードが無効になっている場合(デフォルト設定)、分析のため に WildFire に送信するファイルを手動で選択することができます。未知のファイルの自動 アップロードを有効にする方法は、WildFire の有効化をご参照ください。 ESM サーバーが WildFire にアクセスできない場合、ESM サーバーは No Connection[ 未接続 ] というハッ シュ判定をキャッシュするとともに、クエリ送信の発端となった Traps エージェントにその判定を返し ます。 未知・未接続・有害という判定が出たファイルの終了処理に関する設定に基づき、Traps はファイルをブ ロックするか、ユーザーがファイルを開くことを許可します。判定の自動更新および判定の手動更新に 記載の通り、ハッシュやその判定を保存しておくことができます。 146 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止フロー 判定の自動更新 新しいファイルを受信・分析する際、WildFire はハッシュおよび判定を保存する拡張型データベースを 更新します。 ハッシュおよび WildFire 判定のキャッシュを最新の状態に維持するために、ESM サーバーは定期的に WildFire にクエリを送り、ハッシュ判定の変更(例えば安全から有害に)があるかどうか確認します。 ESM サーバーは 30 分に 1 回、未知という判定が出たファイルに関するクエリを最大 500 件のユニークな ハッシュのまとまりとして WildFire に送信します。また、過去 30 日間に判定が変更された、有害・安 全判定を持つファイルに関するクエリも WildFire に対して送信します。既知のファイルの判定の変更に 関するクエリは、1,440 分(24 時間)に 1 回送信されます。ESM コンソールでは、クエリの頻度および WildFire が過去何日間の判定変更を検索するかについて、変更を加えることができます(WildFire の有 効化を参照)。 判定の手動更新 WildFire が分析したそれぞれの安全もしくは有害な実行ファイルに関する詳細な WildFire レポートのコ ピーを取得することができます(WildFire レポートの表示を参照)。このレポートには、ファイル情報、 実行ファイルの挙動の概要、およびネットワークとホストのアクティビティに関する詳細情報が含まれ ています。WildFire レポートの情報を利用して、判定をオーバーライドするか、あるいは既知のものの うちでは最新の WildFire 判定に戻すかを決定できます。WildFire レポートを確認した結果その評価が 誤っていると判断した場合は、ファイルにフラグを立てて Palo Alto Networks にさらに詳細な分析を任 せることもできます(不正確な判定を報告を参照)。 判定のオーバーライドにより、サーバーキャッシュ内の特定のファイルに対する判定のみが変更される ため、WildFire やグローバルセキュリティポリシーは影響を受けません(WildFire の判定をオーバーラ イドを参照)。ESM コンソールは、オーバーライドされた判定を Hash Control[ ハッシュ制御 ] ページに 表示します。オーバーライドの内容は取り消さない限り維持されます。取り消した際には、ESM サー バーが最後に保持していた状態に判定が戻されます。 WildFire 判定が変更されている可能性があり、さらに ESM サーバーがその判定について WildFire にポーリ ングを行うのを待てない場合は、WildFire の決定内容を再確認することができます。この操作を行うと 即座に WildFire にクエリが送信され、そのハッシュの最新の判定を得ることができます。 ESM サーバーは次回のハートビート通信の際に、以前に対象ファイルを開いたことがあるすべてのエン ドポイントに対して判定の変更(WildFire の更新、あるいは手動によるオーバーライドによる変更)に 関する情報を送信します。 第 2 段階:制限ポリシーの評価 第 1 段階:ハッシュ判定の評価に記載の通り、ユーザーあるいはマシンが実行ファイルを開こうとする 際、Traps はまずその実行ファイルのハッシュ判定を評価します。悪意がない実行ファイルだった場合、 Traps は次にその実行ファイルがどの制限ルールにも違反していないことを確認します。例えば、無署名 の実行ファイルをブロックしたり、ネットワーク上から実行される実行ファイルをブロックする制限ルー ルを設けている場合があるかもしれません。実行ファイルがいずれかの制限ルールの適用対象となる場 合、Traps はファイルの実行を阻止するとともに Endpoint Security Manager にセキュリティイベントを報 告し、さらに各制限ルールの内容によってはその防止イベントに関する情報をユーザーに通知します。 実行ファイルの適用対象となる制限ルールが無い場合、Traps はそのファイルの実行を許可し、次に不審 な挙動からエンドポイントを保護する各ルールを評価します(第 3 段階:マルウェア防止ポリシーの評 価を参照)。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 147 マルウェア防止フロー マルウェアの防止 第 3 段階:マルウェア防止ポリシーの評価 実行ファイルが WildFire(第 1 段階:ハッシュ判定の評価を参照)および制限ポリシー(第 2 段階:制 限ポリシーの評価を参照)のどちらからもブロックされない場合、Traps はそのファイルの実行を許可し ます。実行ファイルがマルウェア防止ポリシーで定義してある不審な挙動に該当する動きを見せた場合、 Traps はファイルの実行を阻止して不審な挙動を停止させます。例えば、リモートスレッドの生成を阻止 するスレッドインジェクションルールを定めているケースも考えられます。開始された実行ファイルが リモートスレッドを生成しようとする場合、Traps はそのファイルの実行を停止させ、Endpoint Security Manager にセキュリティイベントを報告します。 148 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 WildFire のルールおよび設定の管理 WildFire のルールおよび設定の管理 WildFire の有効化 WildFire ルール WildFire ルールの設定 WildFire の有効化 WildFire は、未知の実行ファイルなどの見慣れないファイルを分析するのに使用する、Palo Alto Networks のサンドボックス製品です。WildFire には、検査したファイルすべてに対する判定が保持され ています。安全なファイルの場合には安全、マルウェアの場合には有害という判定が出ます。Traps と共 に提供される WildFire インテグレーションは、お客様の Traps エンドポイントソリューションに WildFire の分析機能を統合できるオプションサービスです。 ユーザーあるいはマシンがエンドポイント上で実行ファイルを開こうとすると、Traps は SHA-256 アル ゴリズムを使用してハッシュと呼ばれるユニークな識別子を算出し、これが WildFire のデータベースに 反しないかをチェックします。WildFire によりファイルを既知のマルウェアだと確認された場合、Traps エージェントはファイルをブロックし、Endpoint Security Manager に通知します(詳細は実行ファイル のためのハッシュを管理をご参照ください)。デフォルト設定では WildFire インテグレーションが無効に なっています。WildFire の有効化する場合は次の作業を行ってください。 WildFire の有効化 Step 1 ESM コンソールで Settings > ESM > WildFire[ 設定 > ESM > WildFire] を選択します。 Step 2 WildFire の通信設定を有効にします。 • Allow External Communication with WildFire[WildFire との外部通信を許可 ] を選択し、ESM が WildFire を介してハッシュをチェックできるようにします。 • Allow Upload Executable Files to WildFire[実行ファイルをWildFireにアップロードするのを許可]を選択 し、ESM が分析用ファイルを WildFire に送信できるようにします。このアップロードオプションを解 除しても ESM サーバーは WildFire を介して判定をチェックできますが、分析用ファイルを送信するこ とはできません。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 149 WildFire のルールおよび設定の管理 マルウェアの防止 WildFire の有効化 (Continued) Step 3 Unknown Verdicts Recheck Interval[ 未知の判定の再確認間隔 ] 欄には、 未知のファイルについて ESM サーバー が WildFire にハッシュを再送信する間隔(分単位)を入力します。エンドポイントがサーバーにはじめて ハッシュを送信するときや、WildFire がそのファイルを以前に分析していない、あるいは分析が完了してい ない場合には、ファイルは未知という判定を受けます(範囲は 1 ~ 20、160。デフォルトの値は 30) 。 Step 4 Benign/Malware Recheck Verdict Interval[ 安全 / マルウェア判定の再確認間隔 ] 欄には、安全 / マルウェア が出ている既知のハッシュ値を ESM サーバーが WildFire を介して再確認する間隔(分単位)を入力しま す(範囲は 1 ~ 20、160。デフォルトの値は 1,440)。 Step 5 Upload Retry Interval (Minutes)[ アップロード再試行間隔 ] 欄には、WildFire へのアップロードが成功しな かったファイルのアップロードを再び試行する間隔(分単位)を入力します(範囲は 1 ~ 20,160。デ フォルトの値は 1,440)。 Step 6 ESM サーバーは 24 時間あるいは Step 4 で指定されている時間に一度 WildFire にクエリを送信し、判定があ る場合は、どの判定が過去 30 日間(デフォルトの値)に変更されたか確認を行います。Verdict change check interval[ 判定の変更をチェックする間隔 ] 欄に 1 ~ 30 日の間で値を設定すれば、ESM サーバーが過去 何日間まで遡って変更された判定に対してクエリを送信するのか指定することができます。例えば、値を 15 に設定すると、ESM サーバは過去 15 日間に変更された判定に対するクエリを送信します。 Step 7 ハッシュおよびファイルをチェックするのに使用する WildFire のクラウド ウェブアドレス (https://wildfire.paloaltonetworks.com)を入力します。 Step 8 デフォルトでは、ESM サーバーが分析のために WildFire に送信するファイルは 100MB までとなっていま す。最大ファイルサイズを変更する場合は 1 ~ 100(MB)の間で値を入力します。手動・自動を問わず、 この最大サイズを超過したファイルが WildFire に送信されることはありません。 Step 9 変更を Save[ 保存 ] します。 WildFire ルール WildFire ルールを設定し、対象オブジェクトの各グループのために行う実行ファイルの分析に関する挙動 を細かく設定します。すべてのユーザー、グループ、組織ユニット、アクティブディレクトリに表示さ れるコンピューター、または Traps エージェントがインストールされたエンドポイントを対象オブジェ クトにできます。Endpoint Security Manager は Traps がサーバーに送信するメッセージによってエンド ポイントを特定します。 WildFire の各ルールについて次の項目を設定できます。 分析のために WildFire に未知のファイルを送信するかどうか Traps が悪意のある実行ファイルについてユーザーに通知を行うかどうか サーバーや WildFire と未接続の状態における Traps の挙動 WildFire がプロセスを認識しない場合の Traps の挙動 WildFire ルールの作成および編集は WildFire[WildFire] の概要および管理ページで行うことができます (Policies > Malware > WildFire[ ポリシー > マルウェア > WildFire]) 。ルールを選択すると、ルールの詳細、 およびそのルールに対して実行可能な操作(Delete[ 削除 ]、Activate[ 有効化 ]/Deactivate[ 無効化 ]、 Edit[ 編集 ])が表示されます。 詳細は、「WildFire の有効化」を参照してください。 150 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. WildFire のルールおよび設定の管理 マルウェアの防止 WildFire ルールの設定 WildFire が有効になっている場合、Traps は各実行ファイルに対してユニークなハッシュ値を算出し、 ファイルのステータスを WildFire で確認します。WildFire ルールを設定することで、設定を微調整し 様々な対象オブジェクトに対して機能を有効にすることができます。 WildFire ルールの設定 Step 1 WildFire が有効になっていることを確 認します。 WildFire の有効化を参照してください。 Step 2 新しい WildFire ルールを設定します。 1. Policies > Malware > WildFire[ ポリシー > マルウェア > WildFire] を選択します。 2. 新規ルールを Add[ 追加 ] するか、既存のルールを選択し Edit[ 編集 ] します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 151 WildFire のルールおよび設定の管理 マルウェアの防止 WildFire ルールの設定 (Continued) Step 3 (任意)WildFire の設定を行います。初 1. 期設定では WildFire はデフォルトポリ シーの挙動を引き継ぐようになっていま すが、お客様の組織の要件に合わせてこ の設定を上書きすることも可能です。 152 • Traps 3.3 管理者ガイド 以下のオプションのいずれかを選択して WildFire Activation[WildFire の有効化 ] を行います。 • Yes[ はい ]—WildFire インテグレーションを有効化し、 Traps がハッシュ判定を生成してローカルキャッシュの ハッシュと照らし合わせられるようにします。 • No[ いいえ ]—WildFire インテグレーションを無効にしま す。 2. Action[ アクション ] を指定 —WildFire により実行ファイルが 有害であると判断されたときの Traps の挙動を指定します。 • デフォルトポリシーで定義された挙動を使用するには、 Inherit[ 継承 ] を選択します(学習モード) 。 • 悪意のある実行ファイルをブロックするには、 Prevention[ 防止 ] を選択します。 • ユーザーに実行ファイルを開くことを許可するとともに 問題をログに記録し、悪意のあるファイルについてユー ザーに通知するには、Notification[ 通知 ] を選択します。 • ユーザーに有害な実行ファイルを開くことを許可し、問 題の記録のみ行いユーザへの通知は行わない場合、 Learning[ 記録 ] を選択します。 3. User Alert[ ユーザーアラート ] のドロップダウンリストから On または Off を選択し、Traps が有害な実行ファイルに関し てユーザーに通知するかどうかを指定します。 4. Traps が ESM サーバーに未知のファイルをアップロードでき るようにするためには、Upload Unknown Executable[ 未知 の実行ファイルをアップロード ] のドロップダウンリスト から Enabled[ 有効 ] を選択します。 5. WildFireがプロセスを認識しない場合のTrapsの挙動として、 Unknown Process Behavior[ 未知のプロセスの動作 ] を選択 します。 • Continue[ 続行 ] を選択すると、ユーザーは未知の実行 ファイルを開くことができます。 • 未知の実行ファイルをブロックするには、Terminate[ 終 了 ] を選択します。 6. ユーザーが未知の実行ファイルを開く際、Traps が ESM サー バーに接続できない場合の Traps の挙動を設定します。ニン ジャモードのアイコン をクリックしてスーパーバイザー のパスワードを入力し、次のいずれかのオプションを選択 します。 • Continue[ 続行 ] を選択すると、Traps が ESM サーバーある いは Wildfire との接続を確立できずファイルの安全性を 確認できない場合でも、実行ファイルを開くことを許可 します。 • Terminate[終了]を選択すると、 TrapsがESMサーバーある いは Wildfire との接続を確立できずファイルの安全性を確 認できない場合には、実行ファイルをブロックします。 © Palo Alto Networks, Inc. マルウェアの防止 WildFire のルールおよび設定の管理 WildFire ルールの設定 (Continued) Step 4 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 Step 5 (任意)WildFire ルールを適用する対象 オブジェクトを定義します。デフォル トで、お客様の組織のすべてのオブ ジェクトに新しいルールが適用される ようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニ ット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、そ れまでの通信メッセージから既存のエンドポイントを特定し ます。 Step 6 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 7 WildFire ルールを保存します。 © Palo Alto Networks, Inc. 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。 これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > WildFire[ ポリシー > マルウェア > WildFire] ページでルールを選択し、Activate[ 有効化 ] をク リックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも WildFire[WildFire] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効化 ] したりできます。 Traps 3.3 管理者ガイド • 153 実行ファイルのためのハッシュを管理 マルウェアの防止 実行ファイルのためのハッシュを管理 WildFire インテグレーションが有効になっている場合、Traps は SHA-256 アルゴリズムを使用してエンド ポイント上で実行された実行ファイルに対するユニークなハッシュ値を算出し、WildFire と照らし合わ せて確認します。Hash Control[ ハッシュ制御 ] ページには、WildFire に送られた各ハッシュに対する WildFire の反応が表示されます。 WildFire が既に分析を行ってマルウェアだと判明している実行ファイルについては、WildFire はその実行 ファイルが Malicious[ 有害 ] であると返します。WildFire が既に分析を行い、悪意のあるコードや挙動 が含まれていないと判断している実行ファイルについては、WildFire はその実行ファイルが Benign[ 安 全 ] であると返します。WildFire が以前に分析したことが無い実行ファイルの場合、WildFire は Unknown[ 未知 ] のステータスを返し、 ESM サーバーが WildFire に全くアクセスできなかった場合は、ESM サーバーがそのファイルのステータスを No Connection[ 未接続 ] にします。WildFire インテグレーショ ンの設定で、有害、安全、未知、接続なしの各判定に対する動作を指定できます(WildFire の有効化を 参照) 。 ハッシュの表示と検索 ハッシュのエクスポートおよびインポート WildFire レポートの表示 WildFire の判定をオーバーライド WildFire の決定内容を再確認 不正確な判定を報告 分析用ファイルを WildFire へアップロード ハッシュの表示と検索 Hash Control[ ハッシュ制御 ] ページでは、 お客様の組織の Traps エージェントによって報告された実行ファ イルのハッシュおよびその判定がすべて表形式で表示されます。ページ上部の検索フィールドに文字列 の全体または一部を入力すれば、結果をフィルタリングすることができます。検索エンジンはハッシュ 値やプロセス名で検索を行い、一致する結果を返します。完全なハッシュ値による検索がヒットすると、 条件に完全に合致するハッシュが 1 件のみ返ってきます。プロセス名による検索がヒットすると、その プロセス名にマッチするあらゆるハッシュが帰ってきます。 154 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルのためのハッシュを管理 ハッシュのエクスポートおよびインポート Hash Control[ ハッシュ制御 ] ページでは、エンドポイントでユーザーあるいはマシンが開こうと試みたす べての実行ファイルに関連付けられたハッシュおよび判定に関する情報が表示されます。アクションメ ニュー からエクスポート機能を使用すれば、新しいサーバーに移行する前やサーバーのアップグレー ドを行う前、あるいは独立した複数のサーバーにハッシュ記録を配布する前に、ハッシュ記録のバック アップをとっておくことができます。エクスポートの対象となるハッシュ記録の範囲は全体か、あるい は一部かを指定した上で、XML ファイルに保存できます。ハッシュレコードをインポートすると、既存 のハッシュ制御テーブルに新たなハッシュが追加されます。 ハッシュファイルのエクスポートおよびインポート Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を選択 します。 Step 2 以下のいずれかを実行します。 • ハッシュ記録のバックアップ / エクスポートを行う場合は、対象のハッシュ記録の横にあるボックスに チェックを入れます。表の上部にあるアクションメニュー で Export Selected[ 選択中のものをエク スポート ] を選択します。ESM コンソールにより、選択済みのハッシュ記録が XML ファイルに保存さ れます。 • ポリシールールの復元 / インポートを行う場合は、表の上部にあるアクションメニュー で Import Hashes[ ハッシュのインポート ] を選択します。XML ファイルを参照し、Upload[ アップロード ] をク リックします。 WildFire レポートの表示 ハッシュ制御の判断材料として、WildFire が分析する各実行ファイルについての WildFire レポートのコ ピーを利用することができます。ESM サーバーによってキャッシュされるこのレポートは、ESM コン ソールの Hash Control[ ハッシュ制御 ] ページにて利用することができます。各レポートには、ファイル 情報、実行ファイルの挙動の概要、およびネットワークとホストのアクティビティに関する詳細情報が 含まれています。 WildFire レポートの表示 Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を選択 します。 Step 2 レポートを閲覧したいハッシュを検索し、選択します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 155 実行ファイルのためのハッシュを管理 マルウェアの防止 WildFire レポートの表示 (Continued) Step 3 WildFire Report[WildFire レポート ] をクリックします。ESM コンソールがキャッシュされたレポートを表 示します。 Step 4 レポート内容を確認し、必要に応じて追加の措置を講じます。 • WildFire の判定をオーバーライド • WildFire の決定内容を再確認 • 不正確な判定を報告 WildFire の判定をオーバーライド WildFire の公式判定に影響を与えることなく、ファイルを許可するかブロックするかに関する WildFire の 判定をローカルでオーバーライドすることができます。これは、グローバルセキュリティポリシーを変 更することなく、特定の状況・特定のエンドポイントの具体的なファイルに例外を設定する際に役立ち ます。判定をオーバーライドした後、ESM コンソールは Hash Control[ ハッシュ制御 ] ページにおいて WildFire 判定に関するすべての変更を表示します。オーバーライドは取り消されるまで維持されます。取 り消しを行うと、判定はサーバーが最後に保持していた状態に戻されます。 例えば、WildFire が特定のハッシュに対する判定を返し、そのファイルが未知のものであると示してい るケースを考えます。セキュリティポリシーによってすべての未知のファイルをブロックする設定に なっており、さらに対象のファイルが安全であると考えられる場合に、グローバルポリシーを変更する ことなく特定のファイルの実行を許可するようにポリシーをオーバーライドすることができます。その 後、ファイルが分析され、そのファイルが有害であるとする新たな判定を WildFire が返した場合には、 Hash Control[ ハッシュ制御 ] ページでその判定の変更内容を確認することができます。この場合、オー バーライドを取り消し、セキュリティポリシーが悪意のあるファイルをブロックするのを許可すること ができます。 156 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルのためのハッシュを管理 WildFire の判定をオーバーライド Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を選択 します。 Step 2 特定のハッシュに対する WildFire 判定を確認するには、以下のいずれかを実行します。 • ハッシュ値やプロセス名を検索するには、ページ上部の検索を使用します。 • 各ページ上部の右側にあるページ送り機能を使用すれば、表の別の部分を確認できます。 Step 3 ユーザーが実行ファイルを開こうとしたエンドポイントを確認する場合は、Agent List[ エージェントリス ト ](プロセスのハッシュのインスタンスが 5 つ以上の場合にのみ利用可能)を選択します。 Step 4 実行ファイルに関する WildFire レポートを確認し、判定をオーバーライドするという判断が正しいかどう か確かめます。WildFire レポートの表示を参照してください。 Step 5 ハッシュ記録を選択し、そのファイルの実行を Allow[ 許可 ] するか、 実行を Block[ ブロック ] するか指定し ます。このオーバーライドによって WildFire の公式判定が影響を受けることはありませんが、一方でお客 様の組織のローカル セキュリティポリシーにある判定は変更されます。WildFire 判定が誤っている可能 性がある場合は、Palo Alto Networks に問題を報告することもご検討ください。不正確な判定を報告を参 照してください。 Step 6 WildFire の公式判定とローカルポリシーのアクションの整合性が保たれているかどうか定期的にご確認く ださい。 Step 7 オーバーライドは必要性がなくなり次第、解除します。アクションメニュー にて Revert to WildFire Verdict[WildFire 判定に戻す ] を選択します。ESM コンソールにより、ESM サーバーが最後に保持していた 状態に判定が戻されます。 WildFire の決定内容を再確認 あるファイルに対する判定が WildFire により変更された可能性がある場合、その判定を WildFire に求め るクエリを ESM サーバーに強制的に送信させることができます。判定が変更されたことを示す返答が WildFire から返ってきた場合、ESM サーバーは自身のローカルサーバー キャッシュ内の判定を更新しま す。そして次回の Traps エージェントとのハートビート通信の際に、ESM サーバーはユーザーが実行 ファイルを開こうとしたエンドポイントに対して判定を送信します。 WildFire 判定の再確認 Step 1 ESM コンソールから、Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を選択 します。 Step 2 特定のハッシュに対する WildFire 判定を確認するには、以下のいずれかを実行します。 • ハッシュ値やプロセス名を検索するには、ページ上部の検索を使用します。 • 各ページ上部の右側にあるページ送り機能を使用すれば、表の別の部分を確認できます。 Step 3 ハッシュ記録を選択し、プロセスのハッシュについての詳細情報を確認してから Recheck[ 再確認 ] をク リックします。同時に複数の記録を確認する場合は、対象のハッシュ記録のチェックボックスすべてに チェックを入れてから、アクションメニュー で Recheck with WildFire[WildFire を利用して再確認 ] を選択します。この操作を行うと即座に WildFire にクエリが送信されます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 157 実行ファイルのためのハッシュを管理 マルウェアの防止 不正確な判定を報告 WildFire にファイルを再度分析させて公式判定を変更したい場合は、Policies > Malware > Hash Control [ ポ リシー > マルウェア > ハッシュ制御 ] ページで Report Incorrect Verdict[ 不正確な判定を報告 ] する機能 を使用します。この操作を行えば、ファイルにフラグを立てて Palo Alto Networks にさらに詳細な分析 を任せることができます。 誤ったファイル判定を報告する際、お客様のメールアドレスや、判定が誤っていると判断した理由など の詳細情報を提供することができます。メールアドレスをあわせて報告した場合、分析結果を含む通知 がメールで送信されます。WildFire が判定を変更した場合、ESM コンソールも更新された判定を Hash Control[ ハッシュ制御 ] ページに表示します。 不正確な判定を報告 Step 1 Step 2 判定を探し、WildFire に報告します。 その判定が誤っていると判断した理由 など、詳細情報をレポートに入力しま す。 1. ESM コンソールから、Policies > Malware > Hash Control[ ポ リシー > マルウェア > ハッシュ制御 ] を選択します。 2. 検索枠に完全 / 部分的なハッシュ値あるいはプロセス名を入 力し、検索アイコンをクリックしてハッシュのリストの フィルタリングを行います。 3. ハッシュの行を選択して展開させ、ハッシュの詳細情報を 表示してから Report as Incorrect[ 不正確なハッシュを報告 ] をクリックします。 1. 報告する内容、判定を確認します。 2. (任意)Palo Alto Networks が再分析を行った後、メール通 知を受け取りたい場合はメールアドレスを入力します。 3. (推奨、ただし任意)判定に同意できない理由がよく分かる ような詳細情報を入力します。 4. [Submit] をクリックします。 分析用ファイルを WildFire へアップロード Traps ソリューションの統合前、WildFire は通常、ファイアウォールから送信・アップロードされた実行 ファイル、もしくは WildFire ポータルを使用して送信された実行ファイルのみを分析していました。こ れは、よく利用する実行ファイルのいくつかが分析されない可能性がったことを意味します。なぜなら、 従来の方法ではこれらのファイルを送信することは珍しかったからです。ESM サーバーおよび WildFire にとって未知の実行ファイルの数を減らすために、手動もしくは自動で WildFire に未知の実行ファイル を送信し、その場で分析を行うことが可能です。自動で未知のファイルを WildFire に送信する方法につ いては、WildFire の有効化をご参照ください。 未知のファイルの自動送信オプションが無効になっている場合、状況によっては手動でファイルをアッ プロードすることも可能です。ユーザーが未知の実行ファイルを開く際、Traps はそのファイルをフォレ ンジックフォルダにアップロードします(WildFire の有効化する際に Step 8 で設定したファイルサイズ を超過していないファイルのみ)。次に、ファイルの手動アップロードを開始する際、ESM サーバはファ イルをフォレンジックフォルダから WildFire へと送信します。 WildFire が分析を完了し、判定とレポートを返した後に、ESM サーバーは変更された判定をすべての Traps エージェントに送信し、ポリシーを実行します。 未知のファイルの自動送信機能が有効なエージェント、あるいは手動によりそれらを送信するエージェ ントが増えると、あらゆるユーザーにとって、未知のファイルの総数が劇的に減少するはずです。 158 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルのためのハッシュを管理 分析用ファイルの WildFire へのアップロード Step 1 ESM コンソールから、 Policies > Malware > Hash Control[ ポリシー > マルウェア > ハッシュ制御 ] を選択 します。 Step 2 特定のハッシュに対する WildFire 判定を確認するには、以下のいずれかを実行します。 • ハッシュ値やプロセス名を検索するには、ページ上部の検索を使用します。 • 各ページ上部の右側にあるページ送り機能を使用すれば、表の別の部分を確認できます。 • 表の項目をフィルタリングするには、列の右側のフィルタアイコン をクリックし、フィルタリング 基準を 2 つまで指定します。例えば、Verdict[ 判定 ] 列を未知のファイルでフィルタリングします。 Step 3 プロセスのハッシュのより詳細な情報を確認するには行を選択し、ファイルを WildFire に Upload[ アップ ロード ] します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 159 実行ファイルの制限事項を管理 マルウェアの防止 実行ファイルの制限事項を管理 制限ルールによって、ネットワーク上のエンドポイントにおいて Traps エージェントが実行ファイルを どのように操作するかという点について、制限や例外を定義することができます。 制限ルール 制限ルールの変数およびワイルドカード 新規制限ルールの追加 グローバルホワイトリストの管理 ローカルフォルダのブラックリストへの登録 ネットワークフォルダのホワイトリストへの登録 外部メディア制限および例外の定義 子プロセスの制限を定義 Java の制限および例外の定義 未署名の実行ファイルの制限および例外を定義 制限ルール 制限ルールは、ユーザーがどこから、どのように実行ファイルを実行できるのかを定義することで、攻 撃が発生し得る箇所を減らします。設定できる制限の種類は次の表の通りです。 制限ルール 説明 特定のフォルダから実行 ファイルを実行 多くの攻撃シナリオは、悪意のある実行ファイルを特定のフォルダに作成して実 行することを基本にしています。エンドポイントのローカルにある temp および download フォルダ、そしてネットワークフォルダへのアクセスを制限することが 有効な対策になります。また、特定のフォルダをホワイトリストに登録し、この 一般的な制限に例外を加えることもできます。詳細は、グローバルホワイトリス トの管理、ローカルフォルダのブラックリストへの登録およびネットワークフォ ルダのホワイトリストへの登録をご参照ください。 外部メディアから実行 ファイルを実行 悪意のあるコードにより、リムーバブルディスクや光学ドライブといった外部メ ディアを通してエンドポイントへのアクセスを掌握されることもあります。この 問題を防ぐために実行ファイルの制御に関する制限を設け、ネットワーク内のエ ンドポイントに接続された外部メディアからファイルが実行されるのを阻止する ことができます。詳細は、「外部メディア制限および例外の定義」を参照してくだ さい。 子プロセスを生成するプ ロセス 悪意のあるコードは、無害なプロセスに悪意のある子プロセスを作成させること により実行されます。適切な制限ルールを定義することで悪意のあるコードをブ ロックすることが可能です。詳細は、「子プロセスの制限を定義」を参照してくだ さい。 160 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 制限ルール 説明 ブラウザから実行される Java プロセス リモートホストからインポートされインターネットブラウザ上で実行される Java のプロセスを通して悪意のあるコードが侵入することがあります。こういった攻 撃を防止するために、信頼できない Java アプレットがブラウザ上でオブジェクト を実行しないように設定しつつ、信頼できる特定のプロセスをホワイトリストに 登録してエンドポイント上で実行できるようにします。どの操作(読み込み、書 き込み、実行)を許可するかは、プロセスファイルの種類、場所、レジストリパ スに応じて選択することができます。詳細は、「Java の制限および例外の定義」を 参照してください。 署名のないプロセスを実 行 デジタル署名のある署名付きのプロセスは、信頼できる配布元から取得されたも のであることがわかります。すべての正当なアプリケーションが署名を持ってい ることが最善ですが、常にこれが可能というわけではありません。未署名のプロ セスに対して制限を加えると、明示的にホワイトリストに登録したプロセス以外 のすべての未署名のプロセスの実行が阻止されます。また、延期期間を定義する ことも可能です。これは、エンドポイントのディスク上に未署名のプロセスが最 初に書き込まれてから一定期間、実行を阻止するというものです。悪意のある実 行ファイルをディスクに書き込んで即時に攻撃が行われる場合もあるため、マル ウェア攻撃を防ぐ際は延期期間を使用して、署名されていないプロセスを制限す ることが有効です。詳細は、「未署名の実行ファイルの制限および例外を定義」を 参照してください。 いずれの制限に対しても、対象オブジェクト、条件、制限の種類、および実行ファイルを管理するため に取るアクションを指定します。すべてのユーザー、グループ、組織ユニット、アクティブディレクト リに表示されるコンピューター、または Traps エージェントがインストールされたエンドポイントを対 象オブジェクトにできます。Endpoint Security Manager は Traps エージェントがサーバーに送信する メッセージによってエンドポイントを特定します。条件は特定のファイル、特定のバージョンのファイ ル、あるいはエンドポイントに存在するはずのレジストリパスを参照することができます。 ユーザーが実行ファイルを開こうとするとき、Traps エージェントは(もし存在すれば)どの制限ルール を適用すべきか評価を下し、適用されたそのルールに関連するアクションを実行します。このアクショ ンにより、Traps エージェントがファイルの実行を阻止するかどうか、制限ルールが適用されたユーザー へ通知を行うかどうかが左右されます。 制限ルールの作成および編集は Restrictions[ 制限 ] の概要および管理ページで行うことができます (Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ])。ルールを選択すると、ルールの詳細、 およびそのルールに対して実行可能な操作(Delete[ 削除 ]、Activate[ 有効化 ]/Deactivate[ 無効化 ]、 Edit[ 編集 ])が表示されます。詳細は、 「実行ファイルの制限事項を管理」を参照してください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 161 実行ファイルの制限事項を管理 マルウェアの防止 制限ルールの変数およびワイルドカード ローカルやネットワークフォルダの挙動など、制限ルールを設定する際にファイルやフォルダ(複数可) をホワイトリストあるいはブラックリストに登録します。指定するパスは完全パスでも、ワイルドカー ド(「*」や「?」)や環境変数を含む部分的なパスでも構いません。 制限ルールで使用できるワイルドカード 制限ルールで使用できる環境変数 例 : 制限ルールの変数およびワイルドカードの使用 制限ルールで使用できるワイルドカード ファイル名、特定のフォルダやフォルダパスの先にあるファイル、特定のフォルダやフォルダパスに含 まれているファイルを指定するために制限ルールで使用できるワイルドカードは、次の表の通りです。 値 目的 ? 任意の 1 文字にマッチします。例:Wor?.exe は Word.exe および Worm.exe に マッチします。 * 任意の文字列にマッチします。例:Word*.exe は Word11.exe および Word2013.exe にマッチします。 制限ルールで使用できる環境変数 制限ルールはワイルドカードだけでなく、全ユーザー、システム全体に共通の変数を含む環境変数もサ ポートしています。また制限ルールは、他の環境変数に展開しないものであれば複数の環境変数を使用 できるようになっています。Windows OS でサポートされている多くの環境変数を使用することができ ますが、次の特定の変数を含む一部の環境変数はサポートされていません。 環境変数 %USERNAME% プライベートな環境変数 他の環境変数を定義に含むような再帰的な環境変数(例:%SystemDrive% を定義に含む %MySystemDrive%) Windows でサポートされている環境変数、そのターゲット値については次のトピックで説明しています。 Windows Vista 以降でサポートされている環境変数 Windows XP でサポートされている環境変数 162 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 Windows Vista 以降でサポートされている環境変数 Windows Vista以降のエンドポイントでサポートされている環境変数およびターゲット値は次の表の通り です。 環境変数 %CommonProgramFiles(x86)% および %ProgramFiles% は、マシン固有の値に 展開します。つまり、64-bit のマシンの場合、32-bit のプロセスを実行していても環境変数は 64-bit の値に展開されます。32-bit のマシンの場合、この環境変数はアプリケーションから提 供されたファイルパスに展開します。 環境変数 値の例 %ALLUSERSPROFILE% C:\ProgramData %CommonProgramFiles% C:\Program Files\Common Files %CommonProgramFiles(x86)% (64-bit のみ)C:\Program Files (x86)\Common Files %CommonProgramW6432% (64-bit のみ)C:\Program Files\Common Files %ProgramFiles% C:\Program Files %ProgramFiles(x86)% (64-bit のみ)C:\Program Files (x86) %ProgramW6432% (64-bit のみ)C:\Program Files (x86) %ProgramData% C:\ProgramData %SystemDrive% C: %SystemRoot% C:\Windows %TEMP%???%TMP% C:\Users\<username>\AppData\Local\Temp %USERPROFILE% C:\Users\<username> %windir% C:\Windows %COMPUTERNAME% <computername> %ComSpec% %SystemRoot%\system32\cmd.exe %FP_NO_HOST_NAME% NO %NUMBER_OF_PROCESSORS% 1 %OS% Windows_NT %PATH% %SystemRoot%\system32;%SystemRoot%... %PATHEXT% .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC %PROCESSSOR_ARCHITECTURE% AMD64 %PROCESSOR_IDENTIFIER% Intel64 Family 6 Model 69 Stepping 1, GenuineIntel %PROCESSOR_LEVEL% 6 %PROCESSOR_REVISION% 4501 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 163 実行ファイルの制限事項を管理 マルウェアの防止 Windows XP でサポートされている環境変数 Windows XP のエンドポイントでサポートされている環境変数およびターゲット値の例は次の表の通り です。 環境変数 値の例 %ALLUSERSPROFILE% C:\Documents and Settings\All Users %CommonProgramFiles% C:\Program Files\Common Files %ProgramFiles% C:\Program Files %SystemDrive% C: %SystemRoot% C:\Windows %TEMP%???%TMP% C:\Documents and Settings\<username>\Local Settings\Temp %USERPROFILE% C:\Documents and Settings\<username> %windir% C:\Windows %COMPUTERNAME% <computername> %ComSpec% %SystemRoot%\system32\cmd.exe %FP_NO_HOST_NAME% NO %NUMBER_OF_PROCESSORS% 1 %OS% Windows_NT %PATH% %SystemRoot%\system32;%SystemRoot% %PATHEXT% .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC %PROCESSSOR_ARCHITECTURE% x86 %PROCESSOR_IDENTIFIER% x86 Family 6 Model 58 Stepping 9, GenuineIntel %PROCESSOR_LEVEL% 6 %PROCESSOR_REVISION% 3a09 164 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 例 : 制限ルールの変数およびワイルドカードの使用 次の表は、ファイル名(場所を問わない)、特定のフォルダやフォルダパスの先にあるファイル、特定の フォルダやフォルダパスに含まれているファイルを指定するために制限ルールでワイルドカードや変数 を使用する例を示しています。 例 結果 C:\temp\a.exe C:\temp フォルダから実行された場合にのみ、a.exe ファイルだけにマッチします。 %TEMP%\a.exe Windows Vista 以降のマシンの場合、C:\Users\<username>\AppData\Local\Temp から、Windows XP のマシンの場合、C:\Documents and Settings\<username>\Local Settings\Temp フォルダから実行された場合にの み、a.exe ファイルだけにマッチします。 C:\temp* C:\temp フォルダ、あるいはファイルパスが C:\temp から始まる任意のフォルダま たはサブフォルダから実行されたファイルにマッチします(例: C:\temp\folder\a.exe、C:\temp1\a.scr、および 。 C:\temporary\folder\b.exe) C:\temp\* C:\temp\ フォルダまたはサブフォルダから実行されたファイルにマッチします (例:C:\temp\a.scr および C:\temp\temp2\b.exe)。 C:\temp\a?.exe C:\temp\ フォルダから実行された、ファイル名が「a」で始まり、その後に任意の 1 文字が続くファイルにマッチします(例:C:\temp\a1.exe および C:\temp\az.exe) 。 C:\temp*.exe C:\ ドライブから実行された、ファイル名が「temp」で始まり、拡張子が .exe の実 行ファイル(例:C:\temp1.exe および C:\temporary.exe)、およびファイルパス が C:\temp で始まるフォルダまたはサブフォルダから実行された、拡張子が .exe の実行ファイル(例:C:\temp\folder\a.exe、C:\temp1\b.exe、および C:\temporary\folder\c.exe)にマッチします。 C:\temp\*.exe %SystemDrive%\temp\*.exe 、あるいはファイルパス C:\temp\(または同様の %SystemDrive%\temp\ フォルダ) が C:\temp\ で始まるフォルダまたはサブフォルダから実行された、拡張子が .exe の実行ファイルにマッチします。 *\a.exe どこから実行されたかにかかわらず、a.exe ファイルにのみマッチします。 %SystemDrive%\%MyVar% 、%SystemDrive%(大 %MyVar% がファイル名と同一である場合(例:myfile.exe) 抵の場合は C:\)フォルダから実行されたファイル名にマッチします。 a.exe C:\temp C:\temp\ © Palo Alto Networks, Inc. (Java あるいは未署名の実行ファイル制限ルールのみ)どこから実行されたかにか かわらず、a.exe ファイルにのみマッチします。 Java および未署名の実行ファイル制限ルールの場合、ファイル名の末尾に .exe を含める必要があります。 完全パスではないため、いずれの実行ファイルにもマッチしません(部分的なパス で指定する場合はワイルドカードを 1 文字以上使用する必要があります)。 Traps 3.3 管理者ガイド • 165 実行ファイルの制限事項を管理 マルウェアの防止 新規制限ルールの追加 新規制限ルールを作成し、エンドポイント上のどこから、どのように実行ファイルが実行されるかにつ いて制限を定義します。 新規制限ルールの追加 Step 1 新しい制限ルールを設定します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 追加する制限ルールの種類を選択しま す。 以下のいずれかのオプションを選択し、セキュリティポリシー に追加する制限の種類に応じて設定を行います。 • Local Folder Behavior[ ローカルフォルダの挙動 ]— エンドポイ ント上のローカルフォルダへのアクセスを制限します。詳細 は、「ローカルフォルダのブラックリストへの登録」を参照し てください。 • Network Folder Behavior[ネットワークフォルダの挙動]—ネッ トワークフォルダへのアクセスを制限します。詳細は、「ネッ トワークフォルダのホワイトリストへの登録」を参照してく ださい。 • External Media[ 外部メディア ]— 詳細は外部メディア制限およ び例外の定義をご参照ください。 • Child Processes[ 子プロセス ]— 無害なプロセスから生成された 悪意のある子プロセスをブロックします。詳細は、「子プロセ スの制限を定義」を参照してください。 • Java— 信頼出来ない Java アプレットがブラウザ上でオブジェク トを実行するのを阻止するとともに、信頼できる特定のプロ セスをホワイトリストに登録し、必要に応じて実行できるよ うにしておきます。詳細は、「Java の制限および例外の定義」 を参照してください。 • Unsigned Executables[ 未署名の実行ファイル ]— 明示的に許可 したプロセス以外のすべての未署名のプロセスがエンドポイ ント上で実行されるのを阻止します。詳細は、「未署名の実行 ファイルの制限および例外を定義」を参照してください。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 166 • Traps 3.3 管理者ガイド 対象オブジェクトの範囲を指定するには、Objects[ オブジェクト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。Endpoint Security Manager は Active Directory にユーザー、コンピュー ター、組織ユニットを認証するクエリを送信するか、それまでの 通信メッセージから既存のエンドポイントを特定します。 © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 新規制限ルールの追加 (Continued) Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されます。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 グローバルホワイトリストの管理 ローカルフォルダおよび外部メディアからの実行ファイルの実行を許可し、特定のフォルダにおいて親 プロセスから生成される子プロセスを許可するには、グローバルホワイトリストを設定します。Java の プロセス、未署名の実行ファイルおよびスレッドインジェクションに対する既存のホワイトリスト機能 と同様に、パターンマッチにはフルパスおよびパス変数を指定することができ、またワイルドカードを 使用してマッチさせることもできます(% は類似の語に、* は任意の文字にマッチ)。 ホワイトリスト中の項目はブラックリストに登録された項目より優先され、セキュリティポリシーにお いて最初に評価されます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 167 実行ファイルの制限事項を管理 マルウェアの防止 グローバル制限ルールの設定 Step 1 Policies > Malware > Restriction Settings[ ポリシー > マルウェア > 制限 > 設定 ] を選択します。 Step 2 ホワイトリストに登録されていない場所から開かれた実行ファイル、あるいはブロック期間に達していな い実行ファイルを Traps がブロックするかどうかを設定するには、Action[ アクション ] を以下のいずれ かから指定します。 • Notification[ 通知 ]— 実行ファイルとプロセスへのアクセスをブロックしませんが、 ホワイトリストに登 録されていない場所からファイルが開かれた場合にはログを取り、イベントを ESM に報告します。 あるいは • Prevention[ 防止 ]— 実行ファイルおよびプロセスをブロックします。 Step 3 ホワイトリストにない場所から実行ファイルが開かれる際に Traps がユーザーに通知を行うかどうかを指 定するには、User Alert[ ユーザーアラート ] を以下のいずれかから設定します。 • On— ユーザに通知します。 あるいは • Off— ユーザに通知しません。 Step 4 Local Folder[ ローカルフォルダ ]、 Child Process[ 子プロセス ]、 または Media Control[ メディア制御 ] のホ ワイトリストの領域の隣にあるフォルダ追加アイコン をクリックし、完全パスあるいは部分的なパ スを入力します。例:C:\Windows\filename.exe ホワイトリストもワイルドカード(制限ルールの変数およびワイルドカードを参照)、および %windir% といった環境変数をサポートしています。 Step 5 未署名のファイルに対するブロック期間を指定するには、Allow signed executables and block unsigned executables created [ 生成された未署名のファイルをブロックし、署名付きの実行ファイルを許可 ] オプ ションを選択します。次に、ホワイトリストに登録されていない未署名の実行ファイルを Traps がブロッ クする期間(分単位)を設定するか、Any time[ 常に ] を選択して Traps が未署名の実行ファイルを必ず ブロックするように指定します。 Traps はブロック期間に関わらず、あらゆる署名付きの実行ファイルが実行されるのを許可します。 外部メディアで実行される未署名の実行ファイルに対しては、ブロック期間を指定することができ ません。 Step 6 Commit[ コミット ] をクリックして、設定変更内容を適用します。 168 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 ローカルフォルダのブラックリストへの登録 多くの攻撃手法は、悪意のある実行ファイルを「temp」や「download」といった通常存在するローカル フォルダに書き込み、実行することがベースになっています。これらのローカルフォルダ、実行ファイ ル、あるいはプロセスを生成できるファイルへのアクセスを制限する場合は、それぞれをブラックリスト に追加します。ブラックリストに登録されたファイル、あるいはブラックリストフォルダ内のファイルを ユーザーが開こうとすると、Traps はそれをブロックし、ESM にセキュリティイベントを報告します。 一般的な制限に例外を認可するには、フォルダをホワイトリストに追加します(グローバルホワイトリ ストの管理をご参照ください)。 ローカルフォルダのブラックリストへの登録 Step 1 新しい制限ルールを設定します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 ローカルフォルダをブラックリストに 追加します。 フォルダあるいはファイル名を指定す る際は、完全パスまたは部分的なパス を使用します。構文の例については制 限ルールの変数およびワイルドカード を参照してください。 1. Local Folder Behavior[ ローカルフォルダの挙動 ] を選択しま す。 2. ファイルの実行を制限するオプションを選択し、フォルダを 追加するアイコン をクリックしてブラックリスト領域に フォルダパスを追加します。 3. フォルダを複数追加する必要がある場合はこのステップを繰 り返します。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照く ださい。 Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニ ット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 169 実行ファイルの制限事項を管理 マルウェアの防止 ローカルフォルダのブラックリストへの登録 (Continued) Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 ネットワークフォルダのホワイトリストへの登録 リモートフォルダに悪意のある実行ファイルを書き込むことをベースにした攻撃手法を防ぐために、 ネットワークフォルダの挙動を指定する制限ルールを作成し、実行ファイルの実行を許可するネット ワーク領域を定義することができます。ユーザーが制限ルールに指定されていないフォルダから実行 ファイルを開こうとすると、Traps はそれをブロックし、ESM サーバーにセキュリティイベントを報告 します。 ネットワークフォルダのホワイトリストへの登録 Step 1 新しい制限ルールを設定します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 ネットワークフォルダの挙動を定義し ます。 フォルダあるいはファイル名を指定す る際は、完全パスまたは部分的なパス を使用します。構文の例については制 限ルールの変数およびワイルドカード を参照してください。 1. Network Folder Behavior[ ネットワークフォルダの挙動 ] を 選択します。 2. 特定のネットワークフォルダから実行ファイルが実行される のを許可するには、チェックボックスを選択し、フォルダ追 加アイコン をクリックし、完全パスまたは部分的なパス をホワイトリスト領域に追加します。 3. フォルダを複数追加する必要がある場合はこのステップを繰 り返します。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照く ださい。 Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 170 • Traps 3.3 管理者ガイド 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニ ット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 ネットワークフォルダのホワイトリストへの登録 (Continued) Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 外部メディア制限および例外の定義 悪意のあるコードは、リムーバブルディスクや光学ドライブといった外部メディアを利用してエンドポ イントへのアクセスを掌握することがあります。この種の攻撃を防ぐために、エンドポイントに接続さ れた外部メディア上で実行ファイルが実行されるのを阻止する制限ルールを定義することができます。 外部メディアの制限を定義することで、外部ドライブから実行ファイルを実行しようとするすべての試 みを阻止することができます。 外部メディア制限および例外の定義 Step 1 新しい制限ルールを設定します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 外部メディアの挙動制限を定義します。 1. デフォルトでは、リムーバブルディス 2. クおよび光学ドライブから悪意のない 未知のアプリケーションを実行するこ とが許可されています。 External Media[ 外部メディア ] を選択します。 アプリケーションの実行を阻止したい外部メディアの種類を チェックボックスで選択します。 • Removable Drives • Optical Drives Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照く ださい。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 171 実行ファイルの制限事項を管理 マルウェアの防止 外部メディア制限および例外の定義 (Continued) Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニ ット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。 これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 子プロセスの制限を定義 攻撃者は正当なプロセスに悪意のある子プロセスを生成し、エンドポイントの制御を掌握することがあ ります。制限ルールを定義し、あるプロセスから子プロセスが開始されるのを防ぎます。 子プロセス制限および例外の定義 Step 1 新しい制限ルールを設定します。 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Step 2 子プロセスの挙動制限を定義します。 デフォルトでは、保護されたプロセス からの子プロセス生成が許可されてい ます。 1. Child Processes[ 子プロセス ] を選択します。 2. Select Processes[ プロセス選択 ] の検索枠に保護対象のプロ セス名を入力し、プロセスを選択します。入力と同時進行 で、ESM コンソールに検索語とマッチする保護対象のプロ セスが表示されます。 保護するプロセスのリストを変更する方法については、 プロセス管理をご参照ください。 3. プロセス名をさらに追加する必要がある場合はステップ 2 を 繰り返します。 172 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 子プロセス制限および例外の定義 (Continued) Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニ ット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、そ れまでの通信メッセージから既存のエンドポイントを特定しま す。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 Java の制限および例外の定義 リモートホストからインポートされインターネットブラウザ上で実行される Java のプロセスを通して、 悪意のあるコードが侵入することがあります。こういった攻撃を防止するために、Java アプレットがブ ラウザ上でオブジェクトを実行しないよう Traps を設定し、信頼できる特定のプロセスだけをホワイト リストに登録して実行できるようにすることが可能です。ホワイトリストオプションを使用すれば、こ れらのプロセスが読込・書込可能なファイルの種類、場所およびレジストリパスを選択できます。 Java の制限および例外の定義 Step 1 新しい制限ルールを設定します。 © Palo Alto Networks, Inc. Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Traps 3.3 管理者ガイド • 173 実行ファイルの制限事項を管理 マルウェアの防止 Java の制限および例外の定義 (Continued) Step 2 Java のプロセスの制限を定義します。 1. デフォルトでは、Java のプロセス 2. の制限は無効になっています。 Java 制限ルールを有効にすること で、Java のプロセスに対する制限 を設定できるようになりますが、 これによりいずれかの EPM ルー ルが有効 / 無効になることはあり 3. ません。 174 • Traps 3.3 管理者ガイド Java を選択します。 Java Activation [Java の有効化 ] ドロップダウンリストで、 ルールを有効にする場合は On を、無効にする場合は Off を 選択します。 Java が無効になっている場合、他の設定項目は指定で きなくなります。 Javaプロセスがウェブブラウザ上から子プロセスを呼び出そ うとした、あるいはレジストリ設定やシステムファイルを 変更しようとした際に取る Action[ アクション ] を設定しま す。 • Inherit[継承]—デフォルトポリシーから動作を受け継ぎま す。 • Prevention[ 防止 ]—Java プロセスを終了させます。 • Notification[ 通知 ]— 問題についてのログを記録し、Java プロセスの続行を許可します。 4. Javaプロセスがウェブブラウザ上から子プロセスを呼び出そ うとした、あるいはレジストリ設定やシステムファイルを 変更しようとした際の User Alert[ ユーザーアラート ] の挙 動を設定します。 • Inherit[継承]—デフォルトポリシーから動作を受け継ぎま す。 • On— ユーザに通知します。 • Off— ユーザに通知しません。 5. Java Whitelisted Processes [Java ホワイトリストのプロ セス ] セクションでプロセスを追加するボタン をクリッ クし、ブラウザからの実行を許可する Java のプロセス (例:AcroRd32.exe)を指定します。プロセスをさらに追加 する場合はこのステップを繰り返します。 6. Javaのプロセスがレジストリの設定変更を行えるようにする には、Registry Modifications[ レジストリ変更 ] のドロップ ダウンリストから Enabled[ 有効 ] を選択し、レジストリの パーミッションを設定します。 a. それぞれのレジストリパスについて、各パーミッション (Read[ 読込 ]、Write[ 書込 ] および Delete[ 削除 ])を Allow[ 許可 ]、Block[ ブロック ] または Inherit[ 継承 ] (デフォルト設定)のいずれかかから設定します。 b. さらにレジストリパスを追加する必要がある場合は、レ ジストリパスを追加するボタン をクリックします。 7. Java のプロセスがファイルの読み込み / 書き込みができるか どうかを指定するには、File System Modifications[ ファイ ルシステムの変更 ] のドロップダウンリストから Enabled[ 有効 ] を選択し、ファイルのパーミッションを設定します。 a. それぞれの新しいファイルパターンに対して各権限(読 込・書込)を Allow[ 許可 ]、Block[ ブロック ] または Inherit[ 継承 ](デフォルト設定)のいずれかに設定しま す。 b. ファイルパターンを追加するボタン をクリックして新 しいファイルパターンを追加します。 8. Browsers[ ブラウザ ] リストから、Java 保護を有効にするブ ラウザを選択します。 © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 Java の制限および例外の定義 (Continued) Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 制限ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 未署名の実行ファイルの制限および例外を定義 デジタル署名のある署名付きのプロセスは、信頼できる配布元から取得されたものであることがわかり ます。すべての正当なアプリケーションが署名を持っていることが最善です。未署名のプロセスに対し て制限を加えると、明示的に許可したプロセス以外のすべての未署名のプロセスの実行が阻止されます。 また、延期期間を定義することも可能です。これは、エンドポイントのディスク上に未署名のプロセス が最初に書き込まれてから一定期間、実行を阻止するというものです。悪意のある実行ファイルをディ スクに書き込んで即時に攻撃が行われる場合もあるため、マルウェア攻撃を防ぐ際は延期期間を使用し て、署名されていないプロセスを制限することが有効です。 未署名の実行ファイルの制限および例外を定義 Step 1 新しい制限ルールを設定します。 © Palo Alto Networks, Inc. Policies > Malware > Restrictions[ ポリシー > マルウェア > 制限 ] を選択し新規ルールを Add[ 追加 ] します。 Traps 3.3 管理者ガイド • 175 実行ファイルの制限事項を管理 マルウェアの防止 未署名の実行ファイルの制限および例外を定義 (Continued) Step 2 未署名の実行ファイルの制限を定義し ます。 1. Unsigned Executables[ 未署名の実行ファイル ] を選択しま す。 2. ユーザーが未署名の実行ファイルを開く際に取る Action [ アクション ] を設定します。 • Inherit[継承]—デフォルトポリシーから動作を受け継ぎま す。 • Prevention[ 防止 ]— プロセスをブロックします。 • Notification[ 通知 ]— 問題についてのログを記録し、プロ セスの続行を許可します。 3. ユーザーが未署名の実行ファイルを開く際の User Alert [ ユーザーアラート ] の挙動を設定します。 • Inherit[継承]—デフォルトポリシーから動作を受け継ぎま す。 • On— ユーザに通知します。 • Off— ユーザに通知しません。 4. 実行ファイルがエンドポイントのディスクに初めて書き込 まれてから一定の時間、その未署名のプロセスの実行を阻 止する場合は、Blacklist Period[ ブラックリストの期間 ] (分単位)を指定します。 5. ブラックリストの期間が満了するのを待たずに速やかにプ ロセスの実行を許可する場合は、プロセスを追加するボタ ン をクリックし、そのプロセスを Whitelisted Processes[ ホワイトリストに登録済みのプロセス ] に追加し ます。 6. 特定のフォルダ以下にあるすべてのプロセスについて、ブ ラックリストの期間が満了するのを待たずに速やかに実行 を許可する場合は、フォルダを追加するボタン をクリッ クし、そのフォルダを Whitelisted Paths[ ホワイトリストに 登録済みのパス ] に追加します。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す が含まれていません。 る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 Step 4 (任意)制限ルールを適用する対象オブ ジェクトを定義します。デフォルトで、 お客様の組織のすべてのオブジェクト に新しいルールが適用されるように なっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、そ れまでの通信メッセージから既存のエンドポイントを特定しま す。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 176 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 実行ファイルの制限事項を管理 未署名の実行ファイルの制限および例外を定義 (Continued) Step 6 制限ルールを保存します。 © Palo Alto Networks, Inc. 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。 これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Malware > Restrictions[ポリシー > マルウェア > 制 限 ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Restrictions[ 制限 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 Traps 3.3 管理者ガイド • 177 マルウェア防止ルールの管理 マルウェアの防止 マルウェア防止ルールの管理 マルウェア防止ルールによりマルウェアに関連する挙動を制限することができます。これが有効になっ ている場合、これらのモジュールは、ポリシーで指定されたプロセスにのみプロセスインジェクション を許可するホワイトリストモデルを使用します。ESM ソフトウェアとともに事前設定されているデフォ ルトのマルウェア防止ポリシーは、正当だと判断されているプロセスが他のプロセス、モジュールに挿 入されるよう、例外を許可します。 Traps のルールのメカニズムは、セキュリティポリシーに新たなマルウェア防止ルールを追加した場合、 設定されたすべてのルールを、各エンドポイントのために評価されるひとつの効果的なポリシーに統合 するようにできています。2 つ以上のルールが衝突する恐れがある場合には、例えば変更日などの判断 基準により、どちらのルールが効力を持つかが決定されます。例えば、新しく作成 / 編集されたルール は、古い日付やタイムスタンプを持つ他のルールよりも優先されます。そのため、あらゆる新しいマル ウェア防止ルールがデフォルトポリシーをオーバーライドすることでその効力を低下させる、あるいは エンドポイントを不安定にする可能性があります。また、ユーザー定義のホワイトリストは異なるルー ル間で結合されず、そのルールが優先される場合にのみ評価されることになります。 新しいマルウェア防止ルールを設定する際はデフォルトポリシーをオーバーライドすることを 避け、ネットワークの不安定化を防ぐように注意してください。 マルウェア防止ルールの設定に関してご質問がある場合は、サポートチームまたは担当のセー ルスエンジニアまでお問い合わせください。 誤ってデフォルトポリシーをオーバーライドしてしまわないように、デフォルトポリシーがカバーして いないプロセスにのみ新しいルールを設定することを推奨します。新しいルールを設定する際は、親プ ロセスのマルウェアモジュール防御を有効にし、デフォルトのポリシー設定を使用するか、あるいは ルール設定をカスタマイズしてお客様の組織に合ったものにすることができます。すでに保護中のプロ セスを対象にしているセキュリティポリシーに変更を加えるためにデフォルトポリシーをインポート / 変更し、お客様のセキュリティポリシーの要件を満たしたい場合は、次の流れで作業を行うことを推奨 いたします。 マルウェア防止ルール スレッドインジェクション保護の設定 スレッドインジェクション ホワイトリストの管理 サスペンドガード保護の設定 サスペンドガード ホワイトリストの管理 マルウェア防止ルール マルウェア防止ルールは、マルウェアによって引き起こされる一般的なプロセスに対処するマルウェア モジュールを使用して、悪意のないファイルに偽装したり紛れ込んだりするマルウェアが実行されるの を阻止します。 オプトイン(特定のプロセスを保護するためにモジュールを有効化するもの)であるエクスプロイト阻 止ルールと異なり、マルウェア防止ルールはオプトアウト(モジュールを有効化してすべてのプロセス を保護した上で例外的なプロセスを指定し、マルウェア防止モジュールで禁止されている動作を一部の プロセスにのみ許可するもの)です。 すべてのプロセスに対してマルウェア防止モジュールの挿入を有効にしたり、お客様の組織の一部のプ ロセスに対してのみ保護を有効化したりすることができます。 178 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止ルールの管理 正当なプロセスの実行を許可するために、他のプロセスに挿入する親プロセスをホワイトリストに登録 することができます。ホワイトリストの詳細オプションはニンジャモード でのみ使用できます。Palo Alto Network のサポートチームやセールスエンジニアが各マルウェアモジュールに対してきめ細かい追 加設定を行えるのは、この高度なホワイトリスト設定のおかげです。 以下の表では、マルウェア防止モジュールについて説明します。 マルウェア防止ルール 説明 サスペンドガード 攻撃者が一時休止状態のプロセスを生成し、プロセスが開始する前にコードを挿入・ 実行するというよくある手法を用いたマルウェアを阻止します。サスペンドガードは ソースプロセス モードで有効化でき、ユーザー通知を設定することも可能です。さら に、子プロセスを呼び出せる機能的モジュールをホワイトリストに登録しておくこと もできます。詳細は、「サスペンドガード保護の設定」を参照してください。 スレッド インジェクショ 悪意のあるコードはリモートスレッドおよびプロセスを生成することで侵入経路を確 ン 保することもあります。リモートスレッドおよびプロセスの生成を停止するためにス レッドインジェクションを有効化し、ソースプロセスまたは目的プロセスまたはス レッドのいずれかに対する制限を指定することができます。その後、特定のフォルダ をホワイトリストに登録し、一般の制限ルールに対する例外を許可できます。詳細は、 「スレッドインジェクション保護の設定」を参照してください。 スレッドインジェクション保護の設定 プロセスは、プロセス内のコードのある部分を実行する一つ以上のスレッドを含むことができます。い くつかの攻撃手法は、悪意のあるコードをプロセスに挿入し、リモートスレッドを生成、残留性を獲得 して感染したシステムを制御することをベースにしています。 デフォルトポリシーには、悪意のあるリモートスレッドの生成を防止し、他のプロセスにスレッドを挿 入しなければならない正当なプロセスを許可するためのルールが含まれています。 新しいスレッドインジェクション ルールを設定する際はデフォルトポリシーをオーバーライ ドすることを避け、ネットワークの不安定化を防ぐように注意してください。 マルウェア防止ルールの設定に関してご質問がある場合は、サポートチームまたは担当のシス テムエンジニアまでお問い合わせください。 プロセスがまだデフォルトポリシーによって保護されていない場合、新しいルールを作成してデフォル トのスレッドインジェクション設定を使用するプロセスに対してスレッドインジェクション保護を有効 にしたり、必要に応じてお客様のセキュリティポリシーに合うように設定を変更することができます。 設定には、プロセス名、Activation[ 有効化 ](On または Off)、Action[ アクション ](Prevention[ 防止 ] または Notification[ 通知 ])、User Alert[ ユーザーアラート ](On または Off)、ソースプロセスが挿入可 能なホワイトリスト登録済みプロセスが含まれます。 プロセスがすでにデフォルトセキュリティポリシーで保護されている場合、デフォルトのスレッドイン ジェクションを新しいルールとしてインポートし、お客様の組織の要件に合うように変更を加えること を推奨します。こうすることで、有効化されたポリシーによりデフォルトポリシーがオーバーライドさ れても変更点が保持されるとともに、デフォルトの設定も含まれるようになります。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 179 マルウェア防止ルールの管理 マルウェアの防止 スレッドインジェクション保護の設定 Step 1 スレッドインジェクション ルールの設 1. 定 以下のいずれかの作業を行います。 • 新しいルールを Add[ 追加 ] します。 • 既存のルールを選択して Edit[ 編集 ] します。 • デフォルトのポリシールールを確認(アクションメ ニュー で Show Default Rules[ デフォルトのルールを 表示 ] を選択)し、ルールを選んで Clone[ コピー ] しま す。 2. Thread Injection[スレッドインジェクション]を選択します。 Step 2 (任意)スレッドインジェクションの設 1. 定を行います。 デフォルトポリシーによって定義され た設定を使用するには、モジュールを 有効化し、Step 5 に進みます。 もしくは、デフォルト設定をオーバー 2. ライドし、お客様の組織のニーズに合 わせてスレッドインジェクション設定 をカスタマイズすることもできます。 Activation[ 有効化 ] のドロップダウンリストで、ルールを有 効にする場合は On を、無効にする場合は Off を選択しま す。 マルウェア防止モジュールが無効な場合、他の設定は 反映されません。 3. Step 3 (新規ルールのみ)単一のプロセスもし くはすべてのプロセスに対してスレッ ドインジェクション保護を有効化しま す。 Step 4 ソースプロセスが別のプロセスに挿入しようとする際に取 る Action[ アクション ] を設定します。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け継ぎま す。 • Prevention[ 防止 ]— プロセスを終了させます。 • Notification[ 通知 ]— 問題のログを取るとともに、プロセ スが別のプロセスに挿入することを許可します。 ソースプロセスが別のプロセスに挿入しようとする際の User Alert[ ユーザーアラート ] の動作を設定します。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け継ぎま す。 • On— プロセスが別のプロセスに対して挿入を試みた場合、 ユーザーに通知します。 • Off— プロセスが別のプロセスに対して挿入を試みても、 ユーザーに通知しません。 親プロセスに対してスレッドインジェクション保護を設定する には、Select a process[ プロセスを選択 ] オプションを選択し、 プロセス名を入力します。もしくはデフォルトのままにしてお き、All Processes[ すべてのプロセス ] にスレッドインジェク ション保護を適用します。 任意)対象のプロセスをホワイトリス 1. トに登録します。 デフォルトのマルウェア防止ルー 2. ルのホワイトリストをオーバーラ イドするのを避けるために、 Whitelist Actions[ ホワイトリスト のアクション ] は変更せずにデ フォルト設定の Merge[ 統合 ] の ままにしておくことを推奨します。 ニンジャモードのアイコン ワードを入力します。 をクリックし、管理者用パス リストにプロセスを追加します。 Step 5 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 180 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止ルールの管理 スレッドインジェクション保護の設定 (Continued) Step 6 (任意)マルウェア防止ルールを適用す る対象オブジェクトを定義します。デ フォルトで、お客様の組織のすべての オブジェクトに新しいルールが適用さ れるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 7 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 8 マルウェア防止ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。これは無効なルール、コピーさ れたルール、あるいは新しいルールでのみ利用できるオプ ションです。後からルールを有効化するには、Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保 護モジュール ] ページからルールを選択し、Activate[ 有効 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保護モジュール ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 スレッドインジェクション ホワイトリストの管理 対象となる特定のプロセスに正当なプロセスが挿入されなければならない場合、以下の流れに従って対 象のプロセスをスレッドインジェクション ホワイトリストに追加します。 スレッドインジェクション ホワイトリストの管理 Step 1 Step 2 フィルタリングを行い、特定のプロセ スを対象とするアクティブなスレッド インジェクション ルールを探します。 ルールのフィルタリングを行うこ の機能は、ルールの作成時に Auto Description [概要の自動生成]機能 を有効化している、あるいはルー ルの概要に手作業でプロセス名を 入力してある場合にのみ使用でき ます。 マルウェア防止ルールを変更します。 © Palo Alto Networks, Inc. 1. Policies > Malware > Protection Modules[ ポリシー > マル ウェア > 保護モジュール ] を選択します。 2. Description[ 概要 ] 列をフィルタリングするアイコンを選択 します。 3. Show item[ アイテム表示 ] 基準を Contains[ 含有 ] に設定し、 入力欄にプロセス名を入力します。 4. Filter[ フィルター ] を選択します。 ルールを選択して Edit[ 編集 ] します。ルールが無い場合はス レッドインジェクション保護の設定に従って作成します。 Traps 3.3 管理者ガイド • 181 マルウェア防止ルールの管理 マルウェアの防止 スレッドインジェクション ホワイトリストの管理 (Continued) Step 3 Step 4 対象のプロセスをホワイトリストに登 録します。 マルウェア防止ルールを保存します。 1. ニンジャモード のアイコンをクリックし、管理者用パス ワードを入力します。 2. 対象のプロセスをリストに登録します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。これは無効なルール、コピーさ れたルール、あるいは新しいルールでのみ利用できるオプ ションです。後からルールを有効化するには、Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保 護モジュール ] ページからルールを選択し、Activate[ 有効 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保護モジュール ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 サスペンドガード保護の設定 サスペンドガードは、攻撃者が一時休止状態のプロセスを生成し、プロセスが開始する前にコードを挿 入・実行するというよくある手法を用いたマルウェアを阻止します。有効になっている間、サスペンド ガードモジュールはすべてのプロセスをサスペンドガード攻撃から保護するとともに、ホワイトリスト を使用して、正当だと判断されているプロセスが別のプロセスあるいはモジュールに挿入されるのを許 可します。 デフォルトポリシーには、悪意のあるインジェクションを防止する一方で、他のプロセスにスレッドを 挿入しなければならない正当なプロセスを許可するルールが含まれています。 新しいサスペンドガード ルールを設定する際はデフォルトポリシーをオーバーライドするこ とを避け、ネットワークの不安定化を防ぐように注意してください。 マルウェア防止ルールの設定に関してご質問がある場合は、サポートチームまたは担当のシス テムエンジニアまでお問い合わせください。 プロセスがまだデフォルトセキュリティポリシーによって防御されていない場合、新しいルールを作成 してデフォルトのサスペンドガード設定を使用するプロセスに対してスペンドガード保護を有効にした り、必要に応じてお客様のセキュリティポリシーの要件を満たすように設定を変更することができます。 設定には、プロセス名、Activation[ 有効化 ](On または Off)、Action[ アクション ](Prevention[ 防止 ] または Notification[ 通知 ])、User Alert[ ユーザーアラート ](On または Off)、子プロセスを呼び出せる 機能的モジュールのホワイトリストへの登録などが含まれます。 プロセスがすでにデフォルトセキュリティポリシーで保護されている場合、デフォルトのサスペンド ガードポリシーを新しいルールとしてインポートし、お客様の組織の要件に合うように変更を加えるこ とを推奨します。こうすることで、有効化されたポリシーによりデフォルトポリシーがオーバーライド されても確実に変更点が保持されるとともに、デフォルトの設定も含まれるようになります。 182 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止ルールの管理 サスペンドガード保護の設定 Step 1 サスペンドガード ルールを設定しま す。 1. 以下のいずれかの作業を行います。 • 新しいルールを Add[ 追加 ] します。 • 既存のルールを選択して Edit[ 編集 ] します。 • デフォルトのポリシールールを確認(アクションメニュー で Show Default Rules[ デフォルトのルールを表示 ] を選択)し、ルールを選んで Clone[ コピー ] します。 2. Suspend Guard[ サスペンドガード ] を選択します。 Step 2 (任意)サスペンドガード設定を定義し 1. ます。 デフォルトポリシーによって定義され た設定を使用するには、モジュールを 有効化し、Step 5 に進みます。 Activation[ 有効化 ] のドロップダウンリストで、ルールを有 効にする場合は On を、無効にする場合は Off を選択しま す。 マルウェア防止モジュールが無効な場合、他の設定は 反映されません。 2. ソースプロセスが別のプロセスに挿入しようとする際に取 る Action[ アクション ] を設定します。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け継ぎま す。 • Prevention[ 防止 ]— プロセスを終了させます。 • Notification[ 通知 ]— 問題のログを取るとともに、プロセ スが別のプロセスに挿入することを許可します。 3. ソースプロセスが別のプロセスに挿入しようとする際の User Alert[ ユーザーアラート ] の動作を設定します。 • Inherit[ 継承 ]— デフォルトポリシーから動作を受け継ぎま す。 • On— プロセスが別のプロセスに対して挿入を試みた場合、 ユーザーに通知します。 • Off— プロセスが別のプロセスに対して挿入を試みても、 ユーザーに通知しません。 Step 3 (新規ルールのみ)単一のプロセスもし 親プロセスに対してサスペンドガード保護を設定するには、 くはすべてのプロセスに対してサスペ Select a process[ プロセスを選択 ] オプションを選択し、プロセス 名を入力します。もしくはデフォルトのままにしておき、All ンドガード保護を有効化します。 Processes[ すべてのプロセス ] にサスペンドガード保護を適用し ます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 183 マルウェア防止ルールの管理 マルウェアの防止 サスペンドガード保護の設定 (Continued) Step 4 (任意)機能および子プロセスをホワイ 1. トリストに登録します。デフォルト設 定では、サスペンドガード ルールが有 2. 効な場合、Traps は親プロセスのあらゆ るファンクションが子プロセスに挿入 されるのをブロックするようになてい ます。ファンクションや子プロセスに 対する挿入を明示的に許可する場合、 それらをホワイトリストに追加してお きます。 デフォルトのマルウェア防止ルー ルのホワイトリストをオーバーラ イドするのを避けるために、 Whitelist Actions[ ホワイトリスト のアクション ] は変更せずにデ フォルト設定の Merge[ 統合 ] の ままにしておくことを推奨しま す。 ニンジャモードのアイコン ワードを入力します。 をクリックし、管理者用パス デフォルトのホワイトリスト設定を Inherit[ 継承 ] するか、 Whitelist specific function and child processes[ 特定のファン クションと子プロセスをホワイトリストに登録 ] します。 次の項目を許可するようホワイトリストを設定します(複 数可)。 • 任意の子プロセスに挿入するあらゆるファンクション • 任意の子プロセスに挿入する特定のファンクション • 特定のプロセスに挿入するあらゆるファンクション • 特定の子プロセスに挿入する特定のファンクション 親プロセス毎に複数の組み合わせを追加する場合はこれを 繰り返します。 Step 5 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リスト に条件を追加する方法は、ルールの有効化の条件を定義をご参 照ください。 Step 6 (任意)マルウェア防止ルールを適用す る対象オブジェクトを定義します。デ フォルトで、お客様の組織のすべての オブジェクトに新しいルールが適用さ れるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 7 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 8 マルウェア防止ルールを保存します。 184 • Traps 3.3 管理者ガイド 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。これは無効なルール、コピーさ れたルール、あるいは新しいルールでのみ利用できるオプ ションです。後からルールを有効化するには、Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保 護モジュール ] ページからルールを選択し、Activate[ 有効 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されます。 ルールの適用あるいは保存後は、いつでも Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保護モジュール ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 © Palo Alto Networks, Inc. マルウェアの防止 マルウェア防止ルールの管理 サスペンドガード ホワイトリストの管理 親プロセスの正当な機能的モジュールが子プロセスに挿入する必要がある場合、以下の流れに従い、必 要に応じてその機能的モジュールあるいは子プロセスをホワイトリストに登録し、このモジュールが子 プロセスに挿入するのを明示的に許可します。 サスペンドガード ホワイトリストの管理 Step 1 フィルタリングを行い、特定のプロセ スを対象とするアクティブなスサスペ ンドガード ルールを探します。 ルールのフィルタリングを行うこ の機能は、ルールの作成時に Auto Description [概要の自動生成]機能 を有効化している、あるいはルー ルの概要に手作業でプロセス名を 入力してある場合にのみ使用でき ます。 1. Policies > Malware > Protection Modules[ ポリシー > マル ウェア > 保護モジュール ] を選択します。 2. Description[ 概要 ] 列をフィルタリングするアイコンを選択 します。 3. Show item[ アイテム表示 ] 基準を Contains[ 含有 ] に設定し、 入力欄にプロセス名を入力します。 4. Filter[ フィルター ] を選択します。 Step 2 マルウェア防止ルールを変更します。 ルールを選択して Edit[ 編集 ] します。ルールが無い場合はサス ペンドガード保護の設定に従って作成します。 Step 3 対象のプロセスをホワイトリストに登 録します。 デフォルトでは、ホワイトリストは親 プロセスのすべてのファンクションモ ジュールが子プロセスに挿入されるの を防ぎます。正当な機能的モジュール が子プロセスに挿入する必要がある場 合、そのモジュールあるいは子プロセ スをホワイトリストに登録し、挿入を 明示的に許可します。 1. ニンジャモードのアイコン ワードを入力します。 2. 次のいずれかの方法で、機能的モジュールあるいは子プロ セスをホワイトリストに Add[ 追加 ] します。 3. 次の項目を許可するようホワイトリストを設定します(複 数可)。 • 任意の子プロセスに挿入するあらゆるファンクション • 任意の子プロセスに挿入する特定のファンクション • 特定のプロセスに挿入するあらゆるファンクション • 特定の子プロセスに挿入する特定のファンクション 親プロセス毎に複数の組み合わせを追加する場合はこれを 繰り返します。 マルウェア防止ルールを保存します。 以下のいずれかを実行します。 • ルールを Save[ 保存 ] します。これは無効なルール、コピーさ れたルール、あるいは新しいルールでのみ利用できるオプ ションです。後からルールを有効化するには、Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保 護モジュール ] ページからルールを選択し、Activate[ 有効 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Policies > Malware > Protection Modules[ ポリシー > マルウェア > 保護モジュール ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 Step 4 © Palo Alto Networks, Inc. をクリックし、管理者用パス Traps 3.3 管理者ガイド • 185 マルウェア防止ルールの管理 186 • Traps 3.3 管理者ガイド マルウェアの防止 © Palo Alto Networks, Inc. エンドポイントの管理 以下のトピックでは、Endpoint Security Manager を用いてエンドポイントを管理する方法を説明してい ます。 Traps のアクションルールの管理 エージェント設定ルールの管理 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 187 Traps のアクションルールの管理 エンドポイントの管理 Traps のアクションルールの管理 各エンドポイント上で動作する Traps エージェントのワンタイムの動作を実行するのに、アクション ルールを使用します。 Traps のアクションルール 新しいアクションルールの追加 Traps が収集したデータの管理 エンドポイント上の Traps のアンインストールまたはアップグレード エンドポイント上の Traps ライセンスの更新または取り消し Traps のアクションルール アクションルールによって、各エンドポイント上で動作する Traps エージェントのワンタイムの動作を 実行することができます。対象オブジェクト、条件、および各エンドポイントで実行する以下のいずれ かの管理者用アクションを各々のアクションルールに対して指定する必要があります。 アクションルール 説明 Traps エージェントが生成 各エンドポイントには、過去のデータ、メモリダンプ、および検疫済みのファイ するデータファイルの管 ルを含む防止情報およびセキュリティ情報が保存されています。この種のアク 理 ションルールを使用することで、Traps エージェントがエンドポイント上で生成し たデータファイルを削除・取得できるようになります。詳細は、「Traps が収集し たデータの管理」を参照してください。 Traps ソフトウェアのアン Endpoint Security ManagerからTrapsをアンインストールまたはアップグレードす インストールまたはアッ るアクションルールを作成します。エンドポイントで Traps ソフトウェアをアッ プグレード プグレードするには、ESM サーバーにソフトウェアの zip ファイルをアップロー ドし、アクションルールを設定する際にパスを指定します。詳細は、「エンドポイ ント上の Traps のアンインストールまたはアップグレード」を参照してください。 Traps ライセンスの更新ま Endpoint Security Manager は Traps エージェントに対してライセンスを配布しま たは取り消し す。いつでもエンドポイントのライセンスの取り消しまたは更新ができます。詳 細は、「エンドポイント上の Traps ライセンスの更新または取り消し」を参照して ください。 Traps は、更新されたセキュリティポリシーを Traps エージェントが受け取るまでアクション ルールを適用しません。通常は次のサーバーとのハートビート通信の際に適用されます。ESM サーバーから最新のセキュリティポリシーを手動で取得するには、Traps コンソールで Check-in now[ すぐにチェックイン ] を選択します。 アクションルールの作成および編集は Actions[ アクション ] の概要および管理ページで行うことができ ます(Settings > Agent > Actions[ 設定 > エージェント > アクション ])。ルールを選択すると、ルールの 詳細およびその他の実行可能なアクション(Duplicate[ 複製 ]、Delete[ 削除 ]、ルールの Activate/Deactivate[ 有効化 / 無効化 ])が表示されます。詳細は、 「Traps のアクションルールの管理」を参 照してください。 188 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 Traps のアクションルールの管理 新しいアクションルールの追加 組織オブジェクト、条件、および各エンドポイントで実行するアクションを各々のアクションルールに 対して指定することができます。 新しいアクションルールの追加 Step 1 新しいアクションルールを作成します。 Settings > Agent > Actions[ 設定 > エージェント > アクション ] を選択し、新規ルールを Add[ 追加 ] します。 Step 2 実行するタスクの種類を選択します。 以下のいずれかの種類のアクションルールを選択し、種類に応じ て設定を行います。 • Agent Data[ エージェントデータ ]— 詳細は Traps が収集した データの管理をご参照ください。 • Agent Installation[エージェントインストレーション]—詳細は エンドポイント上の Traps のアンインストールまたはアップ グレードをご参照ください。 • Agent License[ エージェントライセンス ]— 詳細は エンドポイ ント上の Traps ライセンスの更新または取り消しをご参照く ださい。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこのステップを繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照く ださい。 Step 4 (任意)アクションルールを適用する対 象オブジェクトを定義します。デフォ ルトで、お客様の組織のすべてのオブ ジェクトに新しいルールが適用される ようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 アクションルールを保存します。 © Palo Alto Networks, Inc. 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Actions[ 設定 > エージェント > アクショ ン ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Actions[ アクション ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効化 ] したりできます。 Traps 3.3 管理者ガイド • 189 Traps のアクションルールの管理 エンドポイントの管理 Traps が収集したデータの管理 エンドポイントで実行されるワンタイムのアクションルールを設定すれば、Traps が収集したデータを管 理できます。Traps エージェントはこのアクションを一度しか実行しません。再び同じアクションを実行 する場合は、Settings > Agent > Actions[ 設定 > エージェント > アクション ] ページでアクションを Duplicate [ 複製 ] します。 Traps が収集するデータの管理するために設定できるアクションルールの種類は次の表の通りです。 アクション 説明 履歴の削除 各エンドポイントには、セキュリティ防止イベントに関する履歴が保存されてい ます。過去のデータを Traps コンソールから削除するにはこのオプションを選択 します。 メモリダンプの削除 メモリダンプは、防止イベントが起こった際のシステムメモリの内容の記録です。 対象オブジェクトからシステムメモリの記録を削除するにはこのオプションを選 択します。 隔離ファイルの削除 エンドポイントでセキュリティイベントが発生すると、Traps はメモリダンプおよ びイベントに関連する最近のファイルを取り込み、エンドポイント上のフォレン ジックフォルダにそれらを保存(隔離)します。セキュリティイベントに関連す るファイルを対象オブジェクトから削除するにはこのオプションを選択します。 エージェントが収集する データの取得 Traps はセキュリティイベントの履歴、メモリダンプおよびセキュリティイベント に関連するその他の情報を収集します。エンドポイントで起こったすべてのイベ ントから、保存された全情報を取得するにはこのオプションを選択します。この ルールが実行されると、Traps エージェントは防御されたプロセスのメモリダンプ を含む防止イベントに関係するすべてのデータを指定されたフォレンジックフォ ルダに送信します。 エージェントが収集する ログの取得 Traps はアプリケーションの詳細なトレースログを収集し、エンドポイント上で実 行されるプロセスやアプリケーションに関する情報を保存します。ログファイル を使用すればアプリケーションのデバッグや、ログに記録された問題を調査する ことが可能になります。このオプションを選択すると、エンドポイント上のすべ てのアプリケーションのトレース情報を取得するアクションルールが生成されま す。このルールが実行されると、Traps エージェントはすべてのログをフォレン ジックフォルダに送信します。 Traps が収集するデータの管理 Step 1 新しいアクションルールを作成します。 Settings > Agent > Actions[ 設定 > エージェント > アクション ] を選択し、新規ルールを Add[ 追加 ] します。 Step 2 エンドポイントに保存された Traps デー Agent Data[ エージェントデータ ] を選択し、以下のオプションの タに対して実行するタスクを設定しま いずれかを選択して Traps エージェントのデータを管理します。 す。 • 履歴の削除 • メモリダンプの削除 • 隔離ファイルの削除 • 収集したデータをエージェントから取得 • 収集したログをエージェントから取得 190 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps のアクションルールの管理 エンドポイントの管理 Traps が収集するデータの管理 (Continued) Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)アクションルールを適用する対 象オブジェクトを定義します。デフォ ルトで、お客様の組織のすべてのオブ ジェクトに新しいルールが適用される ようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 アクションルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Actions[ 設定 > エージェント > アクショ ン ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Actions[ アクシ ョン ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効化 ] したりできます。 エンドポイント上の Traps のアンインストールまたはアップグレード 新しいエージェントのアクションルールを作成し、対象オブジェクトから Traps をアンインストール、 もしくは ESM コンソールからアクセスできるソフトウェアを使用して Traps をアップグレードします。 エンドポイント上の Traps のアンインストールまたはアップグレード Step 1 新しいアクションルールを作成します。 Settings > Agent > Actions[ 設定 > エージェント > アクション ] を選択し、新規ルールを Add[ 追加 ] します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 191 Traps のアクションルールの管理 エンドポイントの管理 エンドポイント上の Traps のアンインストールまたはアップグレード (Continued) Step 2 エンドポイント上の Traps エージェント 1. に対して実行するタスクを定義します。 2. Agent Installation[ エージェントのインストール ] を選択後、 Uninstall[ アンインストール ] を選択して Traps ソフトウェア をアンインストールするか、Upgrade from path[ パスを 使ってアップグレード ] をクリックし、Traps ソフトウェア のアップグレードに使用するインストール用ファイルを参 照・選択します。 Uninstall Password[ アンインストール用パスワード ] を入力 します。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件のリ フォルトでは、新しいルールには条件 ストから条件を選び、その条件を Selected Conditions [ 選択済み の条件 ] リストに Add[ 追加 ] します。さらに条件を追加する必要 が含まれていません。 がある場合はこの作業を繰り返します。条件リストに条件を追加 する方法は、ルールの有効化の条件を定義をご参照ください。 Step 4 (任意)アクションルールを適用する対 象オブジェクトを定義します。デフォ ルトで、お客様の組織のすべてのオブ ジェクトに新しいルールが適用される ようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニ ット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 アクションルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Actions[ 設定 > エージェント > アクショ ン ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Actions[ アクション ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効化 ] したりできます。 エンドポイント上の Traps ライセンスの更新または取り消し 新しいアクションルールを作成し、エンドポイント上の Traps エージェントのライセンスを更新または 取り消します。 アクションルールを使用してライセンスを取り消す場合、Traps エージェントは ESM サーバーとの次回 のハートビート通信の際にそのアクションを実行します。エンドポイントでアクションルールが実行さ れると、Traps がエンドポイントの保護を停止するとともに、ESM サーバーがそのライセンスを別の Traps エージェントに割り当てられるようになります。エンドポイントあるいは Traps サービスが再ス 192 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps のアクションルールの管理 エンドポイントの管理 タート(再起動後など)する際、エージェントが ESM サーバーに新しいライセンスをリクエストしま す。Traps による保護を再開するには、新しいアクションルールを作成してその Traps エージェント用の ライセンスを更新する必要があります。 データベースからライセンスをすぐにリリースしたいような緊急の場面では、次回のハートビート通信 を待たずに Traps ライセンスの解除することもできます。 エンドポイント上の Traps ライセンスの更新または取り消し Step 1 新しいアクションルールを作成します。 Settings > Agent > Actions[ 設定 > エージェント > アクション ] を選択し、新規ルールを Add[ 追加 ] します。 Step 2 エンドポイント上の Traps ライセンスに Agent License[ エージェント ライセンス ] を選択した後、次のう 対して実行するタスクを定義します。 ちからアクションを選択します。 • Update[ アップデート ]— エンドポイントの Traps ライセンスを 更新します。 • Revoke[ 取り消し ]— ライセンスを取り消し、およびエンドポ イントの Traps エージェントサービスを停止します。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加 する必要がある場合はこの作業を繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照 ください。 Step 4 (任意)アクションルールを適用する対 象オブジェクトを定義します。デフォ ルトで、お客様の組織のすべてのオブ ジェクトに新しいルールが適用される ようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 アクションルールを保存します。 © Palo Alto Networks, Inc. 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Actions[ 設定 > エージェント > アクショ ン ] ページでルールを選択し、Activate[ 有効化 ] をクリック します。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Actions[ アクシ ョン ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効化 ] したりできます。 Traps 3.3 管理者ガイド • 193 エージェント設定ルールの管理 エンドポイントの管理 エージェント設定ルールの管理 中央からエージェント設定ルールを作成して Traps 関連の設定を変更します。 Traps 設定ルールの管理 新規エージェント設定ルールの追加 イベントログの設定 Traps コンソールへのアクセスを非表示または制限 エンドポイントと ESM サーバーの通信設定の定義 新規プロセス情報の収集 サービス保護の管理 アンインストール用パスワードの変更 カスタム ユーザー通知メッセージの作成 Traps 設定ルールの管理 エージェント設定ルールを使用し、Traps に関連する設定を中央から変更することができます。Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ページにて、 以下の Traps の設定を管理するルールを作成す ることができます。 エージェント設定 説明 イベントログ Traps エージェントがイベントログを管理する方法を決定します。これには、エン ドポイントログに割り当てるサイズに関する設定や、Windows イベントログにエ ンドポイントログを送信する任意の設定が含まれます。詳細は、「イベントログの 設定」を参照してください。 ユーザーの可視性および アクセス エンドユーザの Traps コンソールアプリケーションへのアクセス可否およびアク セス方法を決定します。オプションとして、管理者のみコンソールにアクセスで きるように設定することもできます。詳細は、「Traps コンソールへのアクセスを 非表示または制限」を参照してください。 ハートビート間隔 TrapsエージェントがESMサーバーにハートビートメッセージを送信する頻度を決 定します。最適な頻度は、組織内のエンドポイント数および通常のネットワーク 負荷によります。詳細は、「エージェントと ESM サーバー間のハートビート設定」 を参照してください。 新規プロセスの情報収集 Traps エージェントを設定し、エンドポイントから新規プロセスを収集します。こ のオプションが有効になっている場合、Traps はエンドポイント上で実行されるす べての新しいプロセスについて ESM サーバーに報告します。ESM コンソールの プロセス管理画面からプロセスを確認し、そのプロセスに関わるセキュリティ ルールを作成するかどうかを選択することができます。詳細は、 「新規プロセス情 報の収集」を参照してください。 194 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 エージェント設定 説明 サービス保護 Traps のレジストリ値やファイルを無効化または変更しようとするのを防ぎます。 このオプションが有効になっている場合、ユーザーは Traps エージェントサービ スをシャットダウンしたり変更することができません。詳細は、「サービス保護の 管理」を参照してください。 エージェントセキュリ ティ デフォルトでは、ユーザーおよび管理者は Traps アプリケーションをアンインス トールする際にパスワード入力を要求されます。パスワードを変更するにはこの オプションを選択します。詳細は、「アンインストール用パスワードの変更」を参 照してください。 通信 タイムアウト値を設定します。これは、ESM サーバーにアクセスできなくなった 際に Traps がサーバーに接続しようと試みるのを止めるまでの時間を示します。 猶予期間を設定し、いつ Traps が接続を再度確立しようと試みるのかを指定しま す。詳細は、「エージェントと ESM サーバー間の通信設定」を参照してください。 ユーザーアラート アラートの表示画像やフッター領域といった一般設定をカスタマイズします。ま た、保護モジュール、制限、未知のファイルに関連するユーザーアラートに表示 されるタイトルを設定することもできます。詳細は、「カスタム ユーザー通知 メッセージの作成」を参照してください。 Traps はエージェントが更新されたセキュリティポリシーを受け取るまでエージェント設定 ルールを適用しません。通常は次のサーバーとのハートビート通信の際に適用されます。ESM サーバーから最新のセキュリティポリシーを手動で取得するには、Traps コンソールで Check-in now[ すぐにチェックイン ] を選択します。 Settings [ 設定 ] ページでルールを選択すると、ルールの詳細、および実行可能なその他の操作(Delete [ 削除 ]、Activate[ 有効化 ]/Deactivate[ 無効化 ]、Edit[ 編集 ])が表示され、ここでルールを管理するこ とができます。詳細は、「エージェント設定ルールの管理」を参照してください。 新規エージェント設定ルールの追加 各々のエージェント設定ルールに対して、組織オブジェクト、条件、および適用する Traps 設定を指定 することができます。 新規エージェント設定ルールの追加 Step 1 新規エージェント設定ルールを作成し ます。 © Palo Alto Networks, Inc. Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Traps 3.3 管理者ガイド • 195 エージェント設定ルールの管理 エンドポイントの管理 新規エージェント設定ルールの追加 (Continued) Step 2 変更や設定したい設定のタイプを選択 します。 以下のいずれかを選択し、設定の種類に応じて設定します。 • Event Logging[イベントログ]—詳細はイベントログの設定をご 参照ください。 • User Visibility & Access[ ユーザーの可視性とアクセシビリテ ィ ]— 詳細は Traps コンソールへのアクセスを非表示または制 限をご参照ください。 • Heartbeat Settings[ ハートビート設定 ]— 詳細はエージェント と ESM サーバー間のハートビート設定をご参照ください。 • Process Management[ プロセス管理 ]— 詳細は新規プロセス情 報の収集をご参照ください。 • Service Protection[サービス保護]—詳細はサービス保護の管理 をご参照ください。 • Agent Security[ エージェントセキュリティ ]— 詳細はアンイン ストール用パスワードの変更をご参照ください。 • Communication Settings[ 通信設定 ]— 詳細はエージェントと ESM サーバー間の通信設定をご参照ください。 • ユーザーアラート Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条 件を追加する方法は、ルールの有効化の条件を定義をご参照く ださい。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。 これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 196 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 イベントログの設定 Windows イベントログはアプリケーション、セキュリティ、およびシステムのイベントを保存しており、 システム障害の原因を診断するのに役立ちます。エージェント設定ウィザードを使用し、Traps が遭遇し たセキュリティイベントを Windows イベントログに送信するかどうかを指定し、Traps がイベント情報 を保存するのに使う一時的なローカルストレージフォルダの割り当てサイズを設定します。 イベントログ設定の定義 Step 1 新規エージェント設定ルールを作成し ます。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Step 2 エンドポイントのイベントログを設定 します。 Event Logging[ イベントログ ] を選択し、次のいずれかの項目を 指定します。 • Set disk quota (MB)[ ディスククオータ(MB)]—Traps がイベ ントログを保存するために使用する一時的なローカルスト レージフォルダのサイズを指定します。割り当て量は MB 単 位で指定します。デフォルトは 5,120 です。範囲は 0 ~ 10,000,000 です。ストレージフォルダのサイズが割り当てら れている上限値に達すると、Traps はログを古い順から削除 し、新しいログを記録できるスペースを作ります。 • Write agent events in the Windows event log[Windows イベン トログにエージェントイベントを記録 ] オプション —Traps イ ベントを Windows イベントログに送信します。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 197 エージェント設定ルールの管理 エンドポイントの管理 イベントログ設定の定義 (Continued) Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化され ます。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 Traps コンソールへのアクセスを非表示または制限 デフォルトでは、ユーザーは Traps コンソールにアクセスして現在のエンドポイントのステータスに関 する情報や、セキュリティポリシーおよびセキュリティイベントの変化を確認できます。セキュリティ イベントが発生した際にイベントに関する通知を受け取ることもできます。この通知には、アプリケー ション名、発行元、および通知を引き起こしたエクスプロイト阻止や制限ルールの詳細を含むイベント に関する情報が含まれています。 エージェント設定ルールを作成すれば、コンソールへのアクセスレベルを変更し、ユーザーへの通知を 非表示にするかどうかを指定できます。 Traps コンソールへのアクセスを非表示または制限 Step 1 新規エージェント設定ルールを作成し ます。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Step 2 ユーザーの可視性およびエンドポイン トに対するアクセスレベルを設定しま す。 User Availability & Access[ ユーザーの可用性・アクセス ] を選択 し、以下のオプション(複数可)を選択します。 • Hide tray icon[ トレイアイコンを非表示 ]—Traps がエンドポイ ントの通知領域(システムトレイ)に表示するトレイアイコ ンを非表示にします。 • Disable access to the Traps console[Traps コンソールへのアク セスを拒否 ]— コンソールを開けなくします。 • Hide Traps user notifications[Traps ユーザー通知を非表示 ]— エージェントが防止 / 通知イベントに遭遇した際に Traps が 表示する通知を非表示にします。 198 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 Traps コンソールへのアクセスを非表示または制限 (Continued) Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 エンドポイントと ESM サーバーの通信設定の定義 エンドポイント上の Traps エージェントは、ハートビート メッセージやレポートを送信したり、未知の ハッシュ判定に関するクエリを送信したりして ESM サーバーと定期的に通信を行います。Traps はタイ ムアウト値として指定された時間を過ぎてもサーバーと接続を確立できない場合は接続の試行を中断し ますが、猶予期間を過ぎると再び接続を確立しようと試みます。 以下の流れに従ってエージェント設定ルールを ESM コンソールで作成することにより、ハートビート間 隔、レポート送信間隔、タイムアウト値や猶予期間のデフォルトの値を変更できます。 エージェントと ESM サーバー間のハートビート設定 エージェントと ESM サーバー間の通信設定 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 199 エージェント設定ルールの管理 エンドポイントの管理 エージェントと ESM サーバー間のハートビート設定 ハートビート通信の際、Traps エージェントは現在のセキュリティポリシーを要求し、Endpoint Security Manager へレスポンスを送信することで、エンドポイントのステータスを報告します。Traps エージェン トが ESM サーバーにハートビートのメッセージを送信する頻度を、ハートビートサイクルと呼びます。 最適な頻度は、組織内のエンドポイント数および通常のネットワーク負荷によります。 Traps は、開始、停止、クラッシュやエンドポイントで発見された新しいプロセスなど、サービスに関する 変更についての情報も報告します。Traps エージェントが報告を行う頻度を、レポート間隔と呼びます。 エージェントと ESM サーバー間のハートビート設定 Step 1 新規エージェント設定ルールを作成し ます。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Step 2 ハートビート メッセージの送信間隔や Heartbeat Settings[ ハートビート設定 ] を選択し、次の項目のい レポート通知の間隔を指定します。 ずれか、あるいは両方を設定します。 • Set distinct heartbeat cycle[ハートビート間隔を指定]—Trapsが ESM サーバーにハートビート メッセージを送信する間隔(分 単位)を変更します。範囲は 0 ~ 144,000、デフォルトの値 は 60 です。 • Set send reports interval[ レポート送信間隔を指定 ]— サービス の変更、クラッシュ、新規プロセスなどに関するレポート通 知を Traps エージェントが送信する間隔(分単位)を変更し ます。範囲は 0 ~ 144,000、デフォルトの値は 480(8 時間) です。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 200 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 エージェントと ESM サーバー間のハートビート設定 (Continued) Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 エージェントと ESM サーバー間の通信設定 デフォルトでは、あらゆる未知の実行ファイルが開始される際、Traps エージェントは No Connection [ 未接続 ] ポリシーを採用します。このポリシーは、Traps エージェントが ESM サーバーの探査を実行 し、利用可能なサーバーを近い順から並べたリストを作成するまでの間は有効になります。 利用可能なサーバーのリストを Traps エージェントが作成し、ユーザーが未知の実行ファイルを開いた 後、Traps はリストのトップにある ESM サーバーに向けてハッシュ判定のクエリを送信します。この サーバーにアクセスできない、あるいは指定された時間内にサーバーが応答しない場合、Traps エージェ ントは ESM サーバーに接続する試みを止め、この未知の実行ファイルを No Connection [ 未接続 ] と判 定します。ESM サーバーが利用できない状態にあることを Traps が確認する前にユーザーが他の未知の 実行ファイルを開いた場合、Traps はリストのトップにある ESM サーバーにそのハッシュ判定も求めま す。しかし、ESM サーバーが利用できない状態にあることを Traps が確認した後でユーザーが他の未知 の実行ファイルを開いた場合は、Traps は次にリストアップされている ESM サーバーにクエリを送信し ます。 また、Traps エージェントは ESM サーバーのリストに対して定期的にポーリングを実行し、どのサー バーが利用可能であり、さらにその中で最も距離が近いサーバーはどれかを確認します。その他のイベ ント、例えばエンドポイントの IP アドレスが変更された際も、Traps が ESM サーバーのリストを更新す る場合があります。 ESM サーバーとの接続を確立する際のタイムアウトおよび試行間隔は、以下の流れで変更できます。 エージェントと ESM サーバー間の通信設定 Step 1 新規エージェント設定ルールを作成し ます。 © Palo Alto Networks, Inc. Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Traps 3.3 管理者ガイド • 201 エージェント設定ルールの管理 エンドポイントの管理 エージェントと ESM サーバー間の通信設定 (Continued) Step 2 TrapsエージェントとESMサーバー間の Communication Settings[ 通信設定 ] を選択し、以下のオプション 通信設定を行います。 (複数可)を選択します。 • Set Agent-WildFire Process Verdict Timeout[ エージェント -WildFire プロセス判定のタイムアウトを設定 ]—ESM サー バーが判定のリクエストに応じるまでに Traps が待機できる 時間(秒単位)を設定します(デフォルトの値は 10)。この タイムアウト時間を過ぎると、Traps はプロセスを No Connection[ 未接続 ] と判定します。Traps は、ユーザーが Trapsコンソール上でCheck-In Now[すぐにチェックイン]をク リックしたか、あるいは未知のハッシュ判定について Traps が ESM サーバーにクエリを送信する必要がある場合にのみ接 続を確立しようと再度試みます。 エンドポイントとサーバーの接続が頻繁に切断される場 合は、このタイムアウト値を大きくすることを検討して ください。 • Set No Connection Refresh Interval[ 未接続時の更新間隔を設 定 ]—No Connection[ 未接続 ] 状態になった後、利用可能な ESM サーバーを Traps エージェントが再び確認するまでの時間 (分単位)を指定します(デフォルトの値は 1)。 • Set ESM Server Validation Interval[ESM サーバーの検証間隔を 設定 ]— エージェントが ESM サーバーのリストの整合性を検 証する間隔(時間)を指定します(デフォルトの値は 1)。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 202 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 エージェントと ESM サーバー間の通信設定 (Continued) Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 新規プロセス情報の収集 デフォルトで Traps が保護するのは、エンドポイントでかなり頻繁に使用されるプロセスです。さらに、 WildFire が有効になると、Traps は未知の実行ファイルについて自動的に Endpoint Security Manager に報 告を行います。WildFire が無効な場合はエージェント設定ルールを作成し、エンドポイントで実行され ているあらゆる新規プロセスの名前を Traps が収集し、さらにそれについて Traps が Endpoint Security Manager に報告できる状態にしておくことをお勧めします。ESM コンソールはそのプロセスを Unprotected[ 未保護 ] として Process Management[ プロセス管理 ] ページに表示します。 新規プロセス情報の収集 Step 1 新規エージェント設定ルールを作成し ます。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Step 2 エンドポイントでの新規プロセスの収 集を有効にします。 Process Management[ プロセス管理 ] ページを選択し、Collect new process information[ 新規プロセスの情報収集 ] を行うオプ ションを有効化します。 新規プロセスを検知した Traps は、そのプロセスについて ESM サーバーに報告を行います。ESM コンソールは、新規プロセス を未保護のプロセスとして Policies > Exploit > Process Management [ポリシー > エクスプロイト > プロセス管理 ]ペー ジにリストアップします。また、そのページでは保護タイプを変 更できます(プロセスの表示、変更、削除を参照)。保護タイプ を変更すれば、それを使用してエクスプロイト阻止ルールの作成 することができるようになります。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す が含まれていません。 る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 203 エージェント設定ルールの管理 エンドポイントの管理 新規プロセス情報の収集 (Continued) Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 Step 7 未保護のプロセスを定期的に確認し、 それらを既存のセキュリティルールに 追加すべきか、新しいルールを作成し て保護すべきかを判断します。 1. Policies > Exploit > Process Management[ ポリシー > エクス プロイト > プロセス管理 ] を選択します。 2. 保護タイプがUnprotected[未保護]のものでフィルタリング / 並べ替えを行います。 3. 各プロセスを確認し、保護タイプを変更すべきか判断しま す。 • テストとして実行しているセキュリティルールでそのプ ロセスを使用したい場合は、保護タイプを Provisional [ 一時的保護 ] に変更します。 • すべてのプロセスに適用される既存のルールを使用した い場合は、保護タイプを Protected[ 保護中 ] に変更しま す。プロセスの表示、変更、削除を参照してください。 また必要に応じて、特定のプロセスにのみ適用される ルールにそのプロセスを追加することもできます。 サービス保護の管理 サービス保護によって、エンドポイント上で実行される Traps サービスを保護することができます。 サービス保護が有効になっている場合、ユーザーは Traps エージェントに関連するレジストリ値やファ イルを変更したり、Traps サービスを停止、変更したりすることは絶対にできません。 204 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 サービス保護の管理 Step 1 新規エージェント設定ルールを作成し ます。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Step 2 サービス保護を有効にします。 Service Protection[ サービス保護 ] を選択した後、次のうちから オプションを選択します。 • サービス保護を有効化 • サービス保護を無効化 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加 する必要がある場合はこの作業を繰り返します。条件リストに 条件を追加する方法は、ルールの有効化の条件を定義をご参照 ください。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Unit[ 組織ユ ニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 205 エージェント設定ルールの管理 エンドポイントの管理 アンインストール用パスワードの変更 デフォルトでは、エンドポイントから Traps をアンインストールするには、インストール時に指定した アンインストール用パスワードを入力しなければなりません。エージェント設定ルールを作成すること でデフォルトのパスワードを変更します。 アンインストール用パスワードの変更 Step 1 新規エージェント設定ルールを作成し ます。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 Step 2 パスワードを変更します。 1. Agent Security[ エージェント セキュリティ] を選択した後、 さらに Set uninstall password[ アンインストール用パスワー ドを設定 ] オプションを選択します。 2. Traps をアンインストールする際にユーザーまたは管理者が 入力しなければならないパスワードを入力します。パスワー ドは最低 8 文字以上である必要があります。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェ クト ] タブを選択し、Users[ ユーザー ]、Computers[ コン ピューター ]、Groups[ グループ ]、Organizational Units[ 組織 ユニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 206 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. エンドポイントの管理 エージェント設定ルールの管理 カスタム ユーザー通知メッセージの作成 ファイルまたはプロセスがセキュリティポリシーに違反し、かつファイルをブロックするという終了動 作が設定されており、さらにユーザーに通知あるいはログに記録するよう指定されている場合に、Traps は防止および通知メッセージを表示し、ユーザーに通知を行います。エージェント設定ルールを使用し てアラートの表示画像やフッター領域といった一般設定をカスタマイズします。また、保護モジュール、 制限、あるいは未知のファイルに関連するユーザーアラートに表示されるタイトルを設定することもで きます。 カスタム ユーザー通知メッセージの作成 Step 1 新規エージェント設定ルールを作成し ます。 Step 2 (任意)すべてのユーザーアラート メッセージで使用するアイコンおよび フッター領域をカスタマイズします。 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] を選択 し、新規ルールを Add[ 追加 ] します。 1. User Alerts[ ユーザーアラート ] を選択し、さらに General Settings (icon and footer)[ 一般設定(アイコンとフッター) ] を選択します。 2. 以下のいずれかまたは両方のオプションをカスタマイズしま す。 • Icon[ アイコン ]— ユーザーアラート メッセージの Traps アイコンの位置に表示される画像を選ぶ場合、 新しい画像を Browse[ 参照 ] して Upload[ アップ ロード ] します。右側にプレビューが表示され、新し いアイコンを使用したユーザーアラート メッセー ジの表示例を確認することができます。 • Action/Footer[ アクション / フッター]— メッセージ下部に 表示する連絡先その他の情報を 250 文字以内で入力しま す。変更内容がリアルタイムで右側のプレビュー領域に 表示されます。メールアドレスを指定する際は、標準的 な HTML フォーマットを使用します。例: <a href="mailto://support@your_organization.com"> Help Desk</a> 3. © Palo Alto Networks, Inc. トリガーアクションを選択します。(Prevention Mode[ 防止 モード ]、Notification Mode[ 通知モード ] のいずれか) Traps 3.3 管理者ガイド • 207 エージェント設定ルールの管理 エンドポイントの管理 カスタム ユーザー通知メッセージの作成 (Continued) Step 3 (任意)ユーザーアラートのタイトルテ 1. キストを変更します。 User Alert Window[ユーザーアラート ウィンドウ]のドロッ プダウンリストで、ユーザーアラートの種類を次の中から選 択します。 • Protection Modules[保護モジュール]—Trapsがエクスプロ イト / マルウェア防止モジュールを起動してプロセスを 保護したり、不審な挙動をブロックしたりした際に表示 されるユーザーアラート。 • Execution Restrictions[ 実行制限 ]— ユーザーが制限ルール で制限されている場所から実行ファイルを開く際に Traps が表示するユーザーアラート • WildFire Unknowns-Terminate[WildFire― 未知のファイ ルを停止 ]— 未知のファイルに対する挙動として、 WildFireがプロセスを終了させるように設定されている状 況下において、ユーザーが未知の実行ファイルを開く際 に Traps が表示するユーザーアラート。 2. 特定の種類のユーザーアラートに表示されるタイトルテキス トを入力します。 3. トリガーアクションを選択します。(Prevention Mode[ 防止 モード ]、Notification Mode[ 通知モード ] のいずれか) Step 4 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 5 (任意)エージェント設定ルールを適用 する対象オブジェクトを定義します。 デフォルトで、お客様の組織のすべて のオブジェクトに新しいルールが適用 されるようになっています。 対象オブジェクトの範囲を指定するには、Objects[ オブジェク ト ] タブを選択し、Users[ ユーザー ]、Computers[ コンピュー ター ]、Groups[ グループ ]、Organizational Unit[ 組織ユニット ]、または Existing Endpoints[ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。 Endpoint Security Manager は Active Directory にユーザー、コン ピューター、組織ユニットを認証するクエリを送信するか、それ までの通信メッセージから既存のエンドポイントを特定します。 Step 6 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 7 エージェント設定ルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Settings > Agent > Settings[ 設定 > エージェント > 設定 ] ペー ジでルールを選択し、Activate[ 有効化 ] をクリックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Settings[ 設定 ] ペー ジに戻ってそのルールを Delete[ 削除 ] したり Deactivate[ 無効 化 ] したりできます。 208 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. フォレンジック フォレンジックの概要 フォレンジックルールおよび設定の管理 エージェント クエリ Chrome で URI 収集を有効化 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 209 フォレンジックの概要 フォレンジック フォレンジックの概要 フォレンジックフロー フォレンジックデータ型 フォレンジックフロー 第 1 段階:防止イベントの発動 第 2 段階:分析の自動化 第 3 段階:自動検知 第 4 段階:フォレンジックデータの収集 第 1 段階:防止イベントの発動 攻撃者がソフトウェアの脆弱性を狙ってエクスプロイトを行おうとした際、Traps モジュールが悪意のあ るプロセスを未然に遮り、攻撃を完全にブロックします。例えば、あるファイルが完全に信頼できない コードにより極めて重要な DLL のメタデータにアクセスしようとしているとします。この場合、組織の 各プロセスを保護するよう DLL セキュリティモジュールを有効化しているのであれば、DLL にアクセス しようと試みているプロセスを Traps が即座に停止させます。さらに Traps により状況がイベントログ に記録され、セキュリティイベントに関する情報がユーザーに通知されます。構成により、Traps が表示 する通知メッセージをカスタマイズすることも可能です(詳細はカスタム ユーザー通知メッセージの作 成を参照)。 エクスプロイトを防いだ後、第 2 段階:分析の自動化に記載の通り、Traps はイベントに関するデータの 収集・分析を行います。 第 2 段階:分析の自動化 エンドポイントでセキュリティイベントが発生すると Traps はメモリの状態を維持し、メモリダンプと 呼ばれるデータファイルに記録します。このメモリダンプは ESM コンソールにてカスタマイズ可能で、 サイズを小、中、大(全ての情報を含む)から設定でき、さらに Traps が自動的にメモリダンプをフォ レンジックフォルダにアップロードするのを許可するかどうかも指定できます。詳細は、「メモリダンプ の設定」を参照してください。 210 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. フォレンジック フォレンジックの概要 メモリダンプの生成後、Traps はそのファイルを解読、情報を抽出してイベント発生の原因を特定し、予 防措置の有効性を確認します。分析結果を確認すれば、イベントの詳細を把握して診断を行うことがで きます。 さらに第 3 段階:自動検知に記載の通り、イベントの種類によっては、Traps は自動検知ツールを使用し て悪意のあるプログラムをスキャンします。 第 3 段階:自動検知 メモリダンプの内容を分析した後、Traps は自動的に第 2 の分析を実行します。この分析結果は、予防措 置の有効性を検証する際に役立ちます。検知ツール(ROP チェーン検知、ヒープスプレー検知など)を 使用して行われるこの第 2 の分析ではイベントの性質についてより詳細な情報が得られ、悪意のある他 のプログラムの存在を明らかにすることができます。 検知ツールにより悪意のあるプログラムが見つかった場合、Traps は次のシンタックスによって情報をシ ステムログファイルに保存します:Traps prefix-unique client ID-event ID。さらに Traps は、検知が成 功したことを ESM サーバーに報告します。各検知ツールが悪意のある他のプログラムを発見したかどう かなど、結果が ESM コンソールによって未然防止イベントレコードの Traps Automatic Dump Analysis[Traps 自動ダンプ解析 ] セクションに表示されます。Traps がメモリの内容をキャプチャできな かった場合は不正なダンプファイルが生成されるか、あるいは第 2 の分析を完了できず、ESM コンソー ルによって防止イベントレコードのこのセクションが非表示にされます。 検知ツールが悪意のある他のプログラムを発見した場合、その防止イベントには実際の脅威が関係して いる可能性がかなり高いと考えられます。 セキュリティイベントへの対応や分析をさらに進めるには、Traps が収集したフォレンジックデータ (第 4 段階:フォレンジックデータの収集を参照)を確認します。 第 4 段階:フォレンジックデータの収集 ファイルの分析後、Traps はセキュリティイベントの情報を ESM に通知し、さらにフォレンジックフォ ルダにフォレンジックデータを送信できる状態になります。 フォレンジックデータを収集するというルールがセキュリティポリシーに含まれている場合、Traps は指 定されているタイプのデータを収集し、ファイルにしてフォレンジックフォルダにアップロードします。 攻撃を受けたプロセスに関して、設定によっては、アクセスのあった URI、ドライバ、ファイル、メモ リに読み込まれた DLL、さらにセキュリティイベントを引き起こした上位プロセスを Traps が収集する ことも可能です。詳細は、「フォレンジックデータ収集を設定」を参照してください。 デフォルトでは、Traps はウェブベースのバックグラウンド インテリジェント転送サービス(BITS) フォルダを利用し、使用されていないネットワーク帯域幅を通してデータをアップロードします。詳細 は、「デフォルトのフォレンジックフォルダの変更」を参照してください。 データを収集するようワンタイムのアクションルールを設定すれば、任意のセキュリティイベントにつ いてフォレンジックデータを手動で取得することも可能です。詳細は、「セキュリティイベントについて のデータを取得」を参照してください。フォレンジックデータのアップロードに関する状態を確認する には、Monitor > Data Retrieval[ 監視 > データ取得 ] を選択します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 211 フォレンジックの概要 フォレンジック フォレンジックデータ型 エンドポイントでセキュリティイベントが発生すると、Traps に次のような情報を収集させることができ ます。 フォレンジックデータ型 説明 メモリダンプ イベント発生時にキャプチャされたメモリの内容 アクセスされたファイル 読み込まれたモジュール 攻撃を受けたプロセスに関連してメモリに読み込まれた以下のようなファイル (イベントの詳細な分析に使用)。 • 関連する DLL の検索(パスを含む) • 「Temporary Internet Files」フォルダにある関連ファイル • 開いたファイル(実行ファイルおよびその他) セキュリティイベント発生時にシステムに読み込まれた PE イメージファイル。 アクセスされた URI セキュリティイベント発生時にアクセスのあったネットワークリソース、および ユニフォームリソース識別子 (URI) 情報には次のものが含まれています。 Traps エージェントは、 • URI(隠しリンク、および攻撃を受けた関連スレッドのフレームを含む) Chrome、Internet Explorer、Firefox ブラ • Java アプレットのソース URI、ファイル名、パス(親プロセスとその上位プロ セス、子プロセスを含む) ウザからアクセスされ • ブラウザプラグイン、メディアプレーヤー、メールクライアントからの URI の た URI のみを収集でき 問い合わせリスト ます。Chrome で URI 収集を有効にする場合 はプラグインをインス トールする必要があり ます(Chrome で URI 収集を有効化を参照)。 上位プロセス 以下を含む、セキュリティイベント発生時の上位プロセスに関する(ブラウザ、 ブラウザ以外、Java アプレットの子プロセスからの)情報。 • スレッドインジェクションの個々のソースと対象 • 制限された子プロセスの親とその上位プロセス 212 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. フォレンジック フォレンジックルールおよび設定の管理 フォレンジックルールおよび設定の管理 フォレンジックルール デフォルトのフォレンジックフォルダの変更 フォレンジックルールの作成 メモリダンプの設定 フォレンジックデータ収集を設定 セキュリティイベントについてのデータを取得 フォレンジックルール フォレンジック管理ルールにより、Traps がとらえたフォレンジックデータを中央から収集することがで きます。Policies > Forensics > Management [ ポリシー > フォレンジック > 管理 ] ページにてルールを作 成し、次のようなフォレンジック設定を管理することができます。 エージェント設定ルール 説明 メモリダンプ設定 メモリダンプのサイズ変更といったファイル設定を行ったり、Traps が自動的にメ モリダンプをサーバーに送信する機能を有効化したりすることができます。この 設定は、保護中のプロセスで発生した防止イベントにて収集されたデータにのみ 適用できます。詳細は、「メモリダンプの設定」を参照してください。 フォレンジックデータ収 集 アクセスされたファイル、メモリに読み込まれたモジュール、アクセスのあった URI、セキュリティイベントを発生させたプロセスの上位プロセスの情報といっ た、各セキュリティイベントが含有するフォレンジックデータを Traps に収集さ せます。詳細は、「フォレンジックデータ収集を設定」を参照してください。 デフォルトのフォレンジックフォルダの変更 ESM コンソールを使用してフォレンジックフォルダを変更する DB 構成ツールを使用してフォレンジックフォルダを変更する ESM コンソールを使用してフォレンジックフォルダを変更する Traps がウェブベースのフォレンジックフォルダにフォレンジックデータをアップロードしてはじめて、 防止成功やクラッシュなどといったセキュリティイベントに対する対応や分析をさらに進めることが可 能になります。ESM コンソールのインストール中、インストーラーによりバックグラウンド インテリ ジェント転送サービス(BITS)が有効化されます。これにより、使用されていないネットワーク帯域幅 を通してデータをアップロードすることができるようになります。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 213 フォレンジックルールおよび設定の管理 フォレンジック セキュリティイベントの分析を行うには、アクションルールを作成し、エンドポイントからフォレン ジックデータを取得します(Traps が収集したデータの管理を参照)。データを送信するようリクエスト を受け取った Traps は、ローカルか、あるいは初期インストールの際に指定したネットワークパス上に 存在するフォレンジックフォルダ(Endpoint Security Manager では検疫フォルダとも呼ばれる)にファ イルをコピーします。 Endpoint Security ManagerあるいはDB構成ツールを使用していつでもフォレンジックフォルダのパスを 変更することができます(DB 構成ツールを使用してフォレンジックフォルダを変更するを参照) 。また、 このフォルダの書き込み権限がすべてのエンドポイントに無ければなりません。 ESM コンソールを使用してフォレンジックフォルダを変更する Step 1 Settings > ESM > Settings[ 設定 > ESM > 設定 ] を選択します。 Step 2 BITS を使用してフォレンジックデータをアップロードするために、Server Configuration [ サーバー構成 ] のセクションの Forensic Folder URL[ フォレンジックフォルダ URL] 欄にウェブベースの URL を入力しま す。 フォレンジックフォルダと通信を行う際に SSL を使用し、フォレンジックデータを暗号化すること を強く推奨いたします。SSL を使用する場合は完全修飾ドメイン名(FQDN)を含め、ポート 443 を 指定します(例:HTTPS://ESMserver.Domain.local:443/BitsUploads)。SSL を使用しない場合は ポート 80 を指定します(例:http://ESMSERVER:80/BitsUploads)。 DB 構成ツールを使用してフォレンジックフォルダを変更する Traps がウェブベースのフォレンジックフォルダにフォレンジックデータをアップロードしてはじめて、 防止成功やクラッシュなどといったセキュリティイベントに対する対応や分析をさらに進めることが可 能になります。ESM コンソールのインストール中、インストーラーによりバックグラウンド インテリ ジェント転送サービス(BITS)が有効化されます。これにより、使用されていないネットワーク帯域幅 を通してデータをアップロードすることができるようになります。 セキュリティイベントの分析を行うには、アクションルールを作成し、エンドポイントからフォレン ジックデータを取得します(Traps が収集したデータの管理を参照)。データを送信するようリクエスト を受け取った Traps は、ローカルか、あるいは初期インストールの際に指定したネットワークパス上に 存在するフォレンジックフォルダ(Endpoint Security Manager では検疫フォルダとも呼ばれる)にファ イルをコピーします。 Endpoint Security Manager(ESM コンソールを使用してフォレンジックフォルダを変更するを参照)あ るいはデータベース(DB)構成ツールを使用していつでもフォレンジックフォルダのパスを変更するこ とができます ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでもサーバーの 基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者として実行する と、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」フォルダに格納され ています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 214 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. フォレンジック フォレンジックルールおよび設定の管理 DB 構成ツールを使用してフォレンジックフォルダを変更する Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[管理者として実行 ] を選 択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のサーバー設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = https://CYVERASERVER.Domain.local:443/BitsUploads MaxActions = 5000 Step 4 ウェブベースのフォレンジックフォルダの URL を入力します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server BitsUrl http://ESMserver.Domain.local:443/BitsUploads. フォレンジックフォルダと通信を行う際に SSL を使用し、フォレンジックデータを暗号化すること を強く推奨いたします。SSL を使用する場合は完全修飾ドメイン名(FQDN)を含め、ポート 443 を 指定します(例:HTTPS://ESMserver.Domain.local:443/BitsUploads)。SSL を使用しない場合は ポート 80 を指定します(例:http://ESMSERVER:80/BitsUploads)。 Step 5 (任意)dbconfig server show コマンドを実行し、フォレンジックフォルダのパスを確認します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig server show PreventionsDestFolder = \\ESMServer-New\Quarantine InventoryInterval = 284 HeartBeatGracePeriod = 4200 NinjaModePassword = Password2 BitsUrl = HTTPS://ESMserver.Domain.local:443/BitsUploads MaxActions = 5000 フォレンジックルールの作成 フォレンジックルールを作成し、メモリダンプの定義やフォレンジックデータ収集の設定を行います。 フォレンジックルールの作成 Step 1 新しいフォレンジックルールを設定し ます。 © Palo Alto Networks, Inc. Policies > Forensics > Management [ ポリシー > フォレンジック > 管理 ] の順に選択し、Add[ 追加 ] をクリックします。 Traps 3.3 管理者ガイド • 215 フォレンジックルールおよび設定の管理 フォレンジック フォレンジックルールの作成 (Continued) Step 2 構成するルールの種類を選択します。 フォレンジックルールの種類を以下のいずれかから選択し、その ルールの種類に応じて設定を行います。 • Memory Dump[ メモリダンプ ]— 詳細はメモリダンプの設定を ご参照ください。 • Forensics Collection[ フォレンジックコレクション ]— 詳細は フォレンジックデータ収集を設定をご参照ください。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)制限ルールを適用する対象オブ 対象オブジェクトをより小さな範囲に限定するには、Objects ジェクトを定義します。 [ オブジェクト ] タブを選択し、Users[ ユーザー ]、 Computers[ コンピューター ]、Groups[ グループ ]、 Organizational Unit[ 組織ユニット ]、または Existing Endpoints [ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニットを 認証するクエリを送信するか、それまでの通信メッセージから既 存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 フォレンジックルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Forensics > Management [ ポリシー > フォレンジッ ク > 管理 ] ページでルールを選択し、Activate[ 有効化 ] をク リックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Management[ 管理 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 メモリダンプの設定 保護中のプロセスがクラッシュ、あるいは異常終了した場合、メモリの内容やイベントに関するその他 のデータなどが Traps によってメモリダンプに記録されます。 メモリダンプのサイズを小、中、大(全ての情報を含む)に変更したり、Traps が自動的にメモリダンプ をフォレンジックフォルダにアップロードさせるかどうかを指定するなど、Traps によるプロセスのメモ リダンプの管理方法をカスタマイズするには、フォレンジックルールを作成します。 216 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. フォレンジック フォレンジックルールおよび設定の管理 メモリダンプの設定 Step 1 新しいフォレンジックルールを設定し ます。 Policies > Forensics > Management [ ポリシー > フォレンジ ック > 管理 ] の順に選択し、Add[ 追加 ] をクリックします。 Step 2 エンドポイント上で防止イベントが発 1. 生した際のメモリダンプを定義します。 2. Memory Dump[ メモリダンプ ] を選択した後、次のうちから オプションを選択します。 • Send the memory dumps automatically[ メモリダンプを自 動送信 ] を選択し、メモリダンプをサーバーに自動送信 させます。 • Memory dump size[ メモリダンプのサイズ ] オプションを 選択し、次にドロップダウンリストから Small[ 小 ]、 Medium[ 中 ]、Full[ 大 ] のいずれかを選び、メモリダンプ のファイルサイズを指定します。 Traps がメモリダンプを収集するソースプロセスを選択しま す(Specific processes[ 特定のプロセス ] および All processes[ すべてのプロセス ] のいずれかから選択。 複数可)。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)制限ルールを適用する対象オブ 対象オブジェクトをより小さな範囲に限定するには、Objects ジェクトを定義します。 [ オブジェクト ] タブを選択し、Users[ ユーザー ]、 Computers[ コンピューター ]、Groups[ グループ ]、 Organizational Unit[ 組織ユニット ]、または Existing Endpoints [ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニットを 認証するクエリを送信するか、それまでの通信メッセージから既 存のエンドポイントを特定します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 フォレンジックルールを保存します。 © Palo Alto Networks, Inc. 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Forensics > Management [ ポリシー > フォレンジッ ク > 管理 ] ページでルールを選択し、Activate[ 有効化 ] をク リックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Management[ 管理 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 Traps 3.3 管理者ガイド • 217 フォレンジックルールおよび設定の管理 フォレンジック フォレンジックデータ収集を設定 フォレンジックデータ収集オプションを設定することで、エンドポイントでセキュリティイベントが発 生した際にイベントの性質を正しく見極め、より正確な理解を得ることができるようになります。セ キュリティイベント発生時にアクセスされたファイル、メモリに読み込まれたモジュール、アクセスの あった URI、セキュリティイベントを発生させたプロセスの上位プロセスなどについての情報を、Traps に報告させることができます。 フォレンジックデータ収集を設定 Step 1 新しいフォレンジックルールを設定し ます。 Policies > Forensics > Management [ ポリシー > フォレンジック > 管理 ] の順に選択し、Add[ 追加 ] をクリックします。 Step 2 フォレンジックデータ収集を設定しま す。 Forensics Collection[ フォレンジックデータ収集 ] を選択し、 次の 項目の設定を行います。 • Report Accessed Files[ アクセスされたファイルを報告 ]— 攻撃 を受けたプロセスに関して、メモリに読み込まれたファイル の情報を収集してイベントをより詳細に検証したい場合は Enabled[ 有効 ] を選択します。 • Report Loaded Modules[ ロードされたモジュールを報告 ]— セ キュリティイベント発生時にシステムに読み込まれた PE イ メージファイルはどれかを報告させる場合は Enabled[ 有効 ] を選択します。 • Report Accessed URI[アクセスされたURIを報告]—ウェブ プラ グイン、メディアプレイヤー、メールクライアントから取得 したユニフォームリソース識別子 (URI) 情報、およびセキュ リティイベント発生時にアクセスされたネットワークリソー スを収集する場合は Enabled[ 有効 ] を選択します。 • Report Ancestor Processes[ 上位プロセスを報告 ]— アプリケー ションの中には、Java アプレットを子、孫、ひ孫 ... といった 具合に下位プロセスとして実行するものがあります。ブラウ ザ、ブラウザ以外、Java アプレットの子プロセスから得られ る下位プロセスについての情報を記録し、イベントの根元を 探く探りたい場合は Enabled[ 有効 ] を選択します。 別の方法として、各データタイプともフォレンジックデータ収集 を Disable[ 無効化 ] したり、デフォルトのセキュリティポリ シーの設定内容を Inherit[ 引き継ぐ ] こともできます。 Step 3 (任意)ルールに条件を追加します。デ 条件を指定するには、Conditions[ 条件 ] タブを選択して条件の フォルトでは、新しいルールには条件 リストから条件を選び、その条件を Selected Conditions [ 選択 が含まれていません。 済みの条件 ] リストに Add[ 追加 ] します。さらに条件を追加す る必要がある場合はこの作業を繰り返します。条件リストに条件 を追加する方法は、ルールの有効化の条件を定義をご参照くださ い。 Step 4 (任意)フォレンジックルールを適用す る対象オブジェクトを定義します。デ フォルトで、お客様の組織のすべての オブジェクトに新しいルールが適用さ れるようになっています。対象オブ ジェクトをより小さな範囲に限定する 場合: 218 • Traps 3.3 管理者ガイド 対象オブジェクトをより小さな範囲に限定するには、Objects [ オブジェクト ] タブを選択し、Users[ ユーザー ]、 Computers[ コンピューター ]、Groups[ グループ ]、 Organizational Unit[ 組織ユニット ]、または Existing Endpoints [ 既存のエンドポイント ] を Include [ 含有 ] または Exclude [ 除外 ] エリアに入力します。Endpoint Security Manager は Active Directory にユーザー、コンピューター、組織ユニットを 認証するクエリを送信するか、それまでの通信メッセージから既 存のエンドポイントを特定します。 © Palo Alto Networks, Inc. フォレンジック フォレンジックルールおよび設定の管理 フォレンジックデータ収集を設定 (Continued) Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 フォレンジックルールを保存します。 以下のいずれかを実行します。 • ルールを有効化せず Save[ 保存 ] します。これは無効なルール、 コピーされたルール、あるいは新しいルールでのみ利用でき るオプションです。ルールを有効化する準備が整ったら、 Policies > Forensics > Management [ ポリシー > フォレンジッ ク > 管理 ] ページでルールを選択し、Activate[ 有効化 ] をク リックします。 • ルールを Apply[ 適用 ] すると、すぐにルールが有効化されま す。 ルールの適用あるいは保存後は、いつでも Management[ 管理 ] ページに戻ってそのルールを Delete[ 削除 ] したり Deactivate [ 無効化 ] したりできます。 セキュリティイベントについてのデータを取得 エンドポイントでセキュリティイベントが発生すると、Traps はメモリの内容をはじめとした各種フォレ ンジックデータを収集し、エンドポイント上に保存します。フォレンジックデータを活用すれば、デ バッグを行ったり、アプリケーションが抱える問題を調べたりすることができます。このオプションを 選択すると、Traps が収集した情報を取得するよう、エージェント設定ルールが生成されます。Traps が エージェント設定ルールを受信した後は、エージェントによりすべてのログが指定済みのフォレンジッ クフォルダに送信されます。 一般的なルールを作成してエンドポイントからデータを取得する方法については、Traps が収集したデー タの管理をご参照ください。 セキュリティイベントについてのデータを取得 Step 1 ESM コンソールにて Security Events > Threats[ セキュリティイベント > 脅威 ] を選択して保護中のプロセ スに対するセキュリティイベントを表示するか、あるいは Monitor > Provisional Mode[ 監視 > 一時的保 護モード ] を選択して一時的保護のプロセスに関連したセキュリティイベントを表示します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 219 フォレンジックルールおよび設定の管理 フォレンジック セキュリティイベントについてのデータを取得 Step 2 データを取得するセキュリティイベントを選択します。セキュリティイベントに関する詳細情報、アク ションが表示されます。 Step 3 Retrieve Data[ データ取得 ] をクリックします。 ESM コンソールがエージェント設定ルールの事前設定を行 います。 Step 4 ルールの詳細を確認し、Apply[ 適用 ] をクリックしてルールをすぐに有効化するか、Save[ 保存 ] して後か らルールを有効化します。ESM サーバーとの次回のハートビート通信の際、Traps エージェントが新しい ルールを受信し、防御データをフォレンジックフォルダに送信します。 Step 5 フォレンジックデータのアップロードに関する状態を確認するには、Monitor > Data Retrieval[ 監視 > データ取得 ] を選択します。 Step 6 アップロード完了後、Download[ ダウンロード ] をクリックして防御データをローカルに保存するか、 フォレンジックフォルダまで移動します。不必要になった防御データは、任意で Data Retrieval [ データ 取得 ] 表から Delete[ 削除 ] できます。 220 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. フォレンジック エージェント クエリ エージェント クエリ エンドポイント上のシステムファイル、フォルダ、レジストリキーを検索する際は Agent Query[ エー ジェント クエリ ] を使用します。各クエリはワンタイムのアクションルールとしてリアルタイムに処 理されます。クエリを使用することで中央から複数のパラメーターを検索することが可能になります。 エージェント クエリの流れ エンドポイント上のファイル、フォルダやレジストリキーを検索 エージェント クエリの結果を表示 エージェント クエリの流れ エンドポイント上のファイル、フォルダやレジストリキーを検索するためにエージェント クエリを作 成した後、ESM サーバーがエージェントとの次回のハートビート通信の際にそのクエリをワンタイムの アクションルールとして送信します。クエリに対象オブジェクトや条件が含まれている場合、ESM サー バーはそれらの条件と一致するエンドポイントにのみクエリを送信します。対象オブジェクトや条件を 指定しなかった場合、ESM サーバーはすべてのエンドポイントにクエリを送信します。 クエリを受け取った Traps エージェントは、そのエンドポイント上でファイル名、フォルダ、ローカル エンドポイントのレジストリキーの検索を即座に開始します。クエリに複数の検索パラメーターが含ま れている場合、Traps は各クエリを個別に評価し、ヒットした検索条件が一つでもあれば報告を行いま す。システムファイルにマッチした場合、Traps エージェントはさらにそのファイルのメタデータをキャ プチャします。次回のハートビート通信の際、Traps エージェントがその情報を ESM サーバーに送信し ます。 最新の検索結果を確認する際は適宜 Agent Query[ エージェント クエリ ] ページを更新してください。 ESM コンソールでは、各検索クエリの Details [ 詳細 ] ビューに結果が 50 件まで表示されます(エージェン ト クエリの結果を表示を参照)。 エンドポイント上のファイル、フォルダやレジストリキーを検索 システムファイル、フォルダ、レジストリキーを中央から検索する際は Agent Query[ エージェント ク エリ ] を使用します。 エンドポイント上のファイル、フォルダやレジストリキーを検索 Step 1 新しいクエリを作成します。 © Palo Alto Networks, Inc. 1. ESM コンソールで Policies > Forensics > Agent Query[ ポリ シー > フォレンジック > エージェント クエリ ] を選択し ます。 2. 新しいクエリを Add[ 追加 ] します。 Traps 3.3 管理者ガイド • 221 エージェント クエリ フォレンジック エンドポイント上のファイル、フォルダやレジストリキーを検索 1. 検索パラメーターには File name[ ファイル名 ]、Folder name[ フォルダ名 ]、Registry Key[ レジストリキー ] 名のい ずれかを選択します。 2. 検索する値を入力し、Add[ 追加 ] をクリックします。 ファイル名あるいはフォルダ名を示すパスの末尾に任 意でワイルドカードを使用することもできます。例: C:\Temp\*.txt 3. 検索条件を複数入力する必要がある場合はこの作業を繰り 返します。 Step 3 (任意)クエリに条件を追加します。 ここで条件を指定すると、条件にマッ チする / しないエンドポイントにしか クエリが送信されなくなるため、クエ リの適用範囲が狭くなります。 1. Conditions[ 条件 ] タブの条件リストから条件を選択し、 適切 な含有 / 除外リストの隣りにある Add[ 追加 ] をクリックし ます。 2. 必要に応じてさらに条件を追加してください。 Step 4 (任意)クエリを適用する対象オブジェ クトを定義します。デフォルトでは、 ESM サーバーは組織内のすべてのエン ドポイントにクエリを送信します。 条件と同様に、対象オブジェクトを指 定すると特定の Users[ ユーザー ]、 Computers[ コンピューター ]、 Groups[ グループ ]、Organizational Unit[ 組織ユニット ]、 あるいは Existing Endpoints[既存のエンドポイント]のみ が対象になるため、クエリの適用範囲 が狭くなります。 Objects[ オブジェクト ] タブを選択し、Include [ 含有 ] あるいは Exclude [ 除外 ] エリアに対象オブジェクト(複数可)を入力しま す。Endpoint Security Manager は Active Directory にユーザー、 コンピューター、組織ユニットを認証するクエリを送信するか、 それまでの通信メッセージから既存のエンドポイントを特定し ます。 Step 2 クエリの検索パラメーター(複数可) を設定します。検索パラメーターを複 数指定した場合、検索がヒットしたパ ラメーターが一つでもあれば Traps が 結果を返します。 Step 5 (任意)ルールの名前と説明をレビュー 自動生成された名前を上書きするには、Name[ 名前 ] タブを選 します。ESM コンソールがルールの詳 択し、Activate automatic description[ 説明を自動生成 ] オプ 細に基づいてルールの名前と説明を自 ションの選択を解除し、ルールの名前と説明を適宜入力します。 動生成しますが、これらの項目を変更 することも可能です。 Step 6 クエリを保存します。 Step 7 クエリの結果を確認します。 エージェント クエリの結果を表示を参照してください。 Agent Query[エージェント クエリ]の 検索はリアルタイムで行われますが、 ESM コンソールが自動的にページおよ びクエリ結果を更新することはありま せん。そのため、最新の結果を表示す るためにはページを更新する必要があ ります。 222 • Traps 3.3 管理者ガイド 以下のいずれかを実行します。 • クエリを有効化せず Save[ 保存 ] します。クエリを実行する準 備が整ったら、Policies > Forensics > Agent Query[ ポリシー > フォレンジック > エージェント クエリ ] ページでクエリ を選択し、Activate[ 有効化 ] をクリックします。 • クエリを Apply[ 適用 ] して即座に実行します。 © Palo Alto Networks, Inc. フォレンジック エージェント クエリ エージェント クエリの結果を表示 Agent Query[ エージェント クエリ ] ページには保存・適用されたクエリがすべて表示され、適用したク エリの結果をここで確認することができます。クエリの行を展開すると、マッチしたコンピューターと 時間、検索パラメーターに一致したレジストリキーあるいはファイル、そのファイルのメタデータの詳 細情報といった詳しい内容を表示することができます。エージェント クエリを実行して得られた結果 に基づき、必要に応じて対処方法を決定・実行し、エンドポイントを保護します。 エージェント クエリの結果を表示 Step 1 Policies > Forensics > Agent Query [ ポリシー > フォレンジック > エージェント クエリ ] ページにて、 適用されたクエリの行を選択します。すると行が展開され、クエリに関する詳細情報が表示されるととも に、Agent Query, Found matches[ エージェント クエリ、マッチ結果 ] セクションにはそのクエリの マッチ情報が表示されます。 ESM コンソールは適用されたそれぞれのクエリについて、クエリを受け取ったエンドポイントの数 (Applied On[ 適用対象 ])、検索を正しく実行できたエンドポイントの数(Succeeded[ 成功 ])、クエリの 実行に失敗した、あるいはクエリを受け取らなかったエンドポイントの数(Failed[ 失敗 ])を表示しま す。 Step 2 (任意)マッチについての詳細除法を確認するには Details[ 詳細 ] をクリックします。 ESM コンソールは最大 50 件のマッチ記録を表示できます。 Step 3 (任意)全文を読む場合は Result[ 結果 ] あるいは Metadata[ メタデータ ] の項目があるセルにカーソルを合 わせます。 Step 4 (任意)パース可能な CSV(コンマ区切り)ファイルに結果を保存するには、ページ上部にあるアクショ ンメニュー をクリックし、Export Logs[ ログをエクスポート ] を選択します。 Step 5 (任意)クエリの結果を確認した後、さらに次のようなタスクを実行することもできます。 • エンドポイント上にある悪意のあるファイルに関する問題を解決します。 • クエリを Duplicate[ 複製 ] して必要な変更を加え、Apply[ 適用 ] して再びクエリを実行できます。 • ESM コンソールからクエリおよび結果を Delete[ 削除 ] できます。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 223 Chrome で URI 収集を有効化 フォレンジック Chrome で URI 収集を有効化 他のブラウザと異なり、Chrome はすべてのタブの URI を一つのプロセスで記録しています。そのため、 Chrome で URI 収集を有効化するには、Chrome エクステンションをインストールする必要があります。こ れにより、当該ブラウザに対するエクスプロイトを Traps が未然に防げるようになります。エクステン ションをインストールすると Chrome は各ウェブリクエストに対しコールバックを登録し、URI をリン グバッファで記録するようになります。これは他の Traps の URI 収集メカニズムと類似の手法です。 URI 収集を有効化するには、エクステンションをエンドポイント上でインストールするか、GPO 管理ソフ トウェアを使用してインストールします。Chrome エクステンションをオンライン / オフラインで構成す る際の流れを以下にも示してあります。 エンドポイントに Chrome エクステンションをインストール GPO を使用して Chrome エクステンションをインストール エンドポイントに Chrome エクステンションをインストール エンドポイントに Chrome エクステンションをインストール Step 1 「Palo Alto Networks Traps Chrome Monitor」エクステンションファイルをダウンロードし、ファイルを 展開します。 Step 2 エクステンションファイルの編集 • オンライン:ファイル名 Ext.reg の最後の行を、traps.crx.xml の完全パスに書き換えます。 "1"="mobnfjmemnepjkflncmogkbnhafgblic;https://clients2.google.com/service/update2/crx" • オフライン: 1. ファイル名 Ext.reg の最後の行を、traps.crx.xml の完全パスに書き換えます。 "1"="mobnfjmemnepjkflncmogkbnhafgblic;file:c:/....../traps.crx.xml" 2. ファイル名 traps.crx.xml にて、updatecheck codebase へのパスを traps.crx の完全パスに書き換え ます。 <updatecheck codebase='file:c:/ChromeExtension/traps.crx' version='1.4' /> Step 3 保存後、reg ファイルをダブルクリックし、ローカルに自動インストールします。 Step 4 Chrome エクステンションのインストール状態を確認します。Chrome ブラウザで chrome://extensions と 入力し、Enter キーを押します。エクステンションのリストに「Palo Alto Networks Traps Chrome Monitor」が表示されているはずです。 GPO を使用して Chrome エクステンションをインストール エンドポイントに Chrome エクステンションをインストール Step 1 エクステンションファイルを展開しま 「Palo Alto Networks Traps Chrome Monitor」エクステンショ す。 ンファイルをダウンロードし、ファイルを展開します。 224 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Chrome で URI 収集を有効化 フォレンジック エンドポイントに Chrome エクステンションをインストール Step 2 Step 3 chrome.adm をテンプレートとしてドメ 1. イン コントローラに追加します。 デスクトップ上で Start[ スタート ] を選択し、検索ボックス に gpmc.msc と入力して Enter キーを押します。 2. GPO を作成します。Group Policy Manager にて Forest > Domains[ フォレスト>ドメイン ] を選択します。 ドメインを 右クリックし、Create GPO in this Domain[ このドメインに GPO を作成 ] を選択します。GPO の名前を TrapsChromeExtention[TrapsChromeExtention] に変更し、 Save[ 保存 ] をクリックします。 3. GPO を編集します。GPO を右クリックし、Edit[ 編集 ] を選 択します。GPO の Computer settings [ コンピュータの構成 ] のセクションを展開します。Policies > Administrative Templates[ ポリシー > 管理用テンプレート ] をクリックし、 さらに Administrative Templates[ 管理用テンプレート ] を 右クリックします。Add/Remove Templates[ テンプレート を追加 / 削除 ] を選択します。 GPO にテンプレートを追加します。 4. Chrome テンプレートを追加します。Add[ 追加 ] をクリック し、Browse[ 選択 ] でファイル名 chrome.adm を探し、ダ ブルクリックします。テンプレートのウィンドウに 「chrome」ファイルが読み込まれます。Close[ 閉じる ] を クリックします。 1. Computer Settings[ コンピューターの構成 ] のセクションで Policies > Administrative Templates > Classic administrative Templates > Google > Google Chrome(デフォルト設定でな い)> Extensions[ ポリシー > 管理用テンプレート > 従来 型管理者用テンプレート > Google > Google Chrome > エ クステンション ] を選択します。 2. ディスプレイの右側に GPO ルールが 5 つ表示されます。 Configure the list of force-installed extensions[ 強制インス トールされたエクステンションのリストを構成 ] をダブル クリックします。 3. GPO が有効になっていることを確認し、Show[ 表示 ](ディ スプレイ右側中央)をクリックします。 • オンライン:白くなっている行に次のコマンドを入力し ます。 mobnfjmemnepjkflncmogkbnhafgblic;https://clients 2.google.com/service/update2/crx • オフライン:白くなっている行に次の文字列を入力しま す(ディレクトリを編集してフォレンジックフォルダに なるようにします。例://servername/…/forensic)。 mobnfjmemnepjkflncmogkbnhafgblic;file:c:/…………/tr aps.crx.xml 4. Step 4 [OK] をクリックします。 Chrome エクステンションのインストー エンドポイント上で Chrome ブラウザを開き、 ル状態を確認します。 chrome://extensions と入力します。エクステンションのリス トに「Palo Alto Networks Traps Chrome Monitor」が表示され ていることを確認します。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 225 Chrome で URI 収集を有効化 226 • Traps 3.3 管理者ガイド フォレンジック © Palo Alto Networks, Inc. レポートとログ Endpoint Security Manager は、ログを内部に保存できるだけでなく、SIEM (Security Information and Event Management)、Service Organization Control (SOC)、syslog など、外部ロギング プラットフォー ムにログを書き込むこともできます。また Endpoint Security Manager はログをメールで送信することも 可能になっています。外部ロギングプラットフォームを指定すると、すべての ESM サーバーからのログ を集約して表示することができます。 イベントログの種類 Syslog サーバーにログを転送 メールでログを転送 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 227 イベントログの種類 レポートとログ イベントログの種類 ESMコンソールは、Trapsコンポーネント上で発生したイベントに関する情報を Logs[ログ]および Security Events[ セキュリティイベント ] ページに表示します。イベントには、セキュリティ関連のイベント、ポリ シーの変更、エージェントや ESM サーバーのステータス変更、設定変更などがあります。SIEM や syslog デバイスへのログ転送、あるいはメールによる送信を有効化する際、ESM コンソールが送信するイ ベントの種類をカスタマイズすることができます。イベントは種類に基いて次のようなカテゴリーに分 類されています。 セキュリティイベント ポリシー(全般) ポリシー(ルール) ポリシー(プロセス管理) ポリシー(制限設定) ポリシー(ハッシュ制御) 監視(エージェント) 監視(ESM) 設定(アドミニストレーション) 設定(エージェント) 設定(ESM) 設定(条件) 設定(ライセンス) セキュリティイベント イベント名 説明 防御イベント プロセスあるいは実行ファイルがブロックされました。 • CEF—PreventionEvent • LEEF—PreventionEvent • Syslog—PreventionEvent • Email—PreventionEvent 通知イベント プロセスあるいは実行ファイルが不審な挙動を示しました。 • CEF—NotificationEvent • LEEF—NotificationEvent • Syslog—NotificationEvent • Email—NotificationEvent 228 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ イベントログの種類 イベント名 説明 一時的イベント 一時的なプロセスが不審な挙動を示しました。 • CEF—ProvisionalEvent • LEEF—ProvisionalEvent • Syslog—ProvisionalEvent • Email—ProvisionalEvent ポリシー(全般) イベント名 説明 保護が無効化 管理者が ESM コンソールのセキュリティルールによる保護をすべて無効化しまし た。 • CEF—DisabledProtection • LEEF—DisabledProtection • Syslog—DisabledProtection • Email—DisabledProtection 保護が有効化 管理者が再び ESM コンソールのセキュリティルールによる保護をすべて有効化し ました。 • CEF—EnabledProtection • LEEF—EnabledProtection • Syslog—EnabledProtection • Email—EnabledProtection ポリシー(ルール) イベント名 説明 ルールの追加 / 変更 管理者が新しいルールを追加したか、既存のルールを変更しました。 • CEF—RuleEdited • LEEF—RuleEdited • Syslog—RuleEdited • Email—RuleEdited ルールの削除 管理者がルールを削除しました。 • CEF—RuleDeleted • LEEF—RuleDeleted • Syslog—RuleDeleted • Email—RuleDeleted © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 229 イベントログの種類 レポートとログ ポリシー(プロセス管理) イベント名 説明 プロセスの追加 / 変更 管理者がプロセスを追加あるいは変更しました。 • CEF—ProcessEdited • LEEF—ProcessEdited • Syslog—ProcessEdited • Email—ProcessEdited プロセスの削除 管理者がプロセスを追加あるいは変更しました。 • CEF—ProcessDeleted • LEEF—ProcessDeleted • Syslog—ProcessDeleted • Email—ProcessDeleted ポリシー(制限設定) イベント名 説明 制限設定の追加 / 変更 管理者がグローバル制限設定を追加あるいは変更しました。 • CEF—RestrictionSettingsEdited • LEEF—RestrictionSettingsEdited • Syslog—RestrictionSettingsEdited • Email—RestrictionSettingsEdited ポリシー(ハッシュ制御) イベント名 説明 ハッシュの追加 ESM サーバー キャッシュにハッシュが追加されました。 • CEF—NewHash • LEEF—NewHash • Syslog—NewHash • Email—NewHash 判定の変更(いずれか→ マルウェア) ハッシュ判定が「有害」に変わりました。 • CEF—VerdictChangeAnyToMalware • LEEF—VerdictChangeAnyToMalware • Syslog—VerdictChangeAnyToMalware • Email—VerdictChangeAnyToMalware 230 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ イベントログの種類 イベント名 説明 判定の変更(いずれか→ いずれか) ハッシュ判定が「有害」に変わりました。 • CEF—VerdictChange • LEEF—VerdictChange • Syslog—VerdictChange • Email—VerdictChange 判定の変更(マルウェア 「有害」のハッシュ判定が別の判定に変わりました。 →いずれか) • CEF—VerdictChangeMalwareToAny • LEEF—VerdictChangeMalwareToAny • Syslog—VerdictChangeMalwareToAny • Email—VerdictChangeMalwareToAny 判定の変更(未接続→い 「未接続」のハッシュ判定が別の判定に変わりました。 ずれか) • CEF—VerdictChangeNoconnectionToAny • LEEF—VerdictChangeNoconnectionToAny • Syslog—VerdictChangeNoconnectionToAny • Email—VerdictChangeNoconnectionToAny 判定の変更(不明→いず 「不明」のハッシュ判定が別の判定に変わりました。 れか) • CEF—VerdictChangeUnknownToAny • LEEF—VerdictChangeUnknownToAny • Syslog—VerdictChangeUnknownToAny • Email—VerdictChangeUnknownToAny ハッシュのインポート 管理者が単体 / 複数のハッシュをサーバー キャッシュにインポートしました。 • CEF—HashesImport • LEEF—HashesImport • Syslog—HashesImport • Email—HashesImport 監視(エージェント) イベント名 説明 エージェント ― アクセス エージェントがアクセス違反を報告しました。 違反 • CEF—AccessViolation • LEEF—AccessViolation • Syslog—AccessViolation • Email—AccessViolation エージェント ― ハート ビート(いずれか) © Palo Alto Networks, Inc. エージェントからハートビート通信を受信しました。 • CEF—Heartbeat • LEEF—Heartbeat • Syslog—Heartbeat • Email—Heartbeat Traps 3.3 管理者ガイド • 231 イベントログの種類 イベント名 レポートとログ 説明 エージェント ― サービス エンドポイント上でエージェントサービスが開始しました。 開始 • CEF—ServiceAlive • LEEF—ServiceAlive • Syslog—ServiceAlive • Email—ServiceAlive エージェント ― サービス エンドポイント上でエージェントサービスが停止しました。 停止 • CEF—ServiceStopped • LEEF—ServiceStopped • Syslog—ServiceStopped • Email—ServiceStopped エージェント ― シャット エンドポイントがシャットダウンしました。 ダウン • CEF—SystemShutdown • LEEF—SystemShutdown • Syslog—SystemShutdown • Email—SystemShutdown エージェント ― サービス エージェントサービスが警告を通知しました。 警告 • CEF—ServiceWarning • LEEF—ServiceWarning • Syslog—ServiceWarning • Email—ServiceWarning エージェント ― プロセス エージェントのプロセスがクラッシュしました。 がクラッシュ • CEF—ProcessCrashed • LEEF—ProcessCrashed • Syslog—ProcessCrashed • Email—ProcessCrashed エージェント ― プロセス エージェントをプロセスに挿入する際の許容時間を超過しました。 挿入タイムアウト • CEF—ProcessInjectionTimedOut • LEEF—ProcessInjectionTimedOut • Syslog—ProcessInjectionTimedOut • Email—ProcessInjectionTimedOut エージェント ― レポート エージェント レポートサービスの開始に失敗しました。 サービスの開始に失敗 • CEF—ReportingServiceStartFailed • LEEF—ReportingServiceStartFailed • Syslog—ReportingServiceStartFailed • Email—ReportingServiceStartFailed エージェント ― ファイル アップロード失敗 エージェントがファイルのアップロードに失敗しました。 • CEF—FileUploadFailure • LEEF—FileUploadFailure • Syslog—FileUploadFailure • Email—FileUploadFailure 232 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ イベント名 イベントログの種類 説明 エージェント ― システム エンドポイントに Traps がインストールされました。 にインストール完了 • CEF—ClientInstall • LEEF—ClientInstall • Syslog—ClientInstall • Email—ClientInstall エージェント ― システム エンドポイントから Traps がアンインストールされました。 からアンインストール完 • CEF—ClientUninstall 了 • LEEF—ClientUninstall • Syslog—ClientUninstall • Email—ClientUninstall エージェント ― アップグ エンドポイント上で Traps がアップグレードされました。 レード • CEF—ClientUpgrade • LEEF—ClientUpgrade • Syslog—ClientUpgrade • Email—ClientUpgrade エージェント ― ステータ エージェントのステータスが変更されました。 ス変更 • CEF—TrapsServiceStatusChange • LEEF—TrapsServiceStatusChange • Syslog—TrapsServiceStatusChange • Email—TrapsServiceStatusChange エージェント ― ポリシー エージェントのポリシーが変更されました。 変更 • CEF—AgentPolicyChange • LEEF—AgentPolicyChange • Syslog—AgentPolicyChange • Email—AgentPolicyChange 監視(ESM) イベント名 説明 User Login [ユーザーログ 管理者が ESM コンソールにログインしました。 イン ] • CEF—UserLogin • LEEF—UserLogin • Syslog—UserLogin • Email—UserLogin ESM― ハートビート © Palo Alto Networks, Inc. ESM サーバーからハートビート通信を受信しました。 • CEF—ServerHeartbeat • LEEF—ServerHeartbeat • Syslog—ServerHeartbeat • Email—ServerHeartbeat Traps 3.3 管理者ガイド • 233 イベントログの種類 レポートとログ イベント名 説明 ESM― 設定変更 ESM サーバーの設定が変更されました。 • CEF—EsmConfigurationChange • LEEF—EsmConfigurationChange • Syslog—EsmConfigurationChange • Email—EsmConfigurationChange ESM― ステータス変更 ESM サーバーのステータスが変更されました。 • CEF—EsmStatusChange • LEEF—EsmStatusChange • Syslog—EsmStatusChange • Email—EsmStatusChange 設定(アドミニストレーション) イベント名 説明 ロール ― 削除 管理ロールが削除されました。 • CEF—RoleDeleted • LEEF—RoleDeleted • Syslog—RoleDeleted • Email—RoleDeleted ロール ― 追加 / 変更 管理ロールが追加 / 変更されました。 • CEF—RoleEdited • LEEF—RoleEdited • Syslog—RoleEdited • Email—RoleEdited ロール ― ステータス変更 管理ロールのステータスが変更されました。 • CEF—RoleStatusChanged • LEEF—RoleStatusChanged • Syslog—RoleStatusChanged • Email—RoleStatusChanged ユーザー ― 削除 管理ユーザーが削除されました。 • CEF—UserDeleted • LEEF—UserDeleted • Syslog—UserDeleted • Email—UserDeleted User Added/Edited [ ユー 管理ユーザーが追加 / 変更されました。 ザー ― 追加 / 変更 ] • CEF—UserEdited • LEEF—UserEdited • Syslog—UserEdited • Email—UserEdited 234 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ イベント名 イベントログの種類 説明 ユーザー ― ステータス変 管理ユーザーのステータスが変更されました。 更 • CEF—UserStatusChanged • LEEF—UserStatusChanged • Syslog—UserStatusChanged • Email—UserStatusChanged 設定(エージェント) イベント名 説明 エージェントのワンタイ ムアクション完了 エンドポイント上でエージェントがアクションルールを実行する処理を完了させ ました。 • CEF—OneTimeActionComplete • LEEF—OneTimeActionComplete • Syslog—OneTimeActionComplete • Email—OneTimeActionComplete エージェントのワンタイ ムアクション失敗 エンドポイント上でエージェントがアクションルールを実行する処理に失敗しま した。 • CEF—OneTimeActionFailed • LEEF—OneTimeActionFailed • Syslog—OneTimeActionFailed • Email—OneTimeActionFailed 設定(ESM) イベント名 説明 ESM アイテム ― 削除 ESM コンソールからセキュリティイベントが削除されました。 • CEF—ArchivedPreventions • LEEF—ArchivedPreventions • Syslog—ArchivedPreventions • Email—ArchivedPreventions ESM アイテム ― 削除失敗 ESM コンソールがセキュリティイベントの削除に失敗しました。 • CEF—ArchivedPreventionsFailure • LEEF—ArchivedPreventionsFailure • Syslog—ArchivedPreventionsFailure • Email—ArchivedPreventionsFailure © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 235 イベントログの種類 レポートとログ 設定(条件) イベント名 説明 条件 ― 追加 / 変更 条件が追加 / 変更されました。 • CEF—ConditionEdited • LEEF—ConditionEdited • Syslog—ConditionEdited • Email—ConditionEdited 条件 ― 削除 条件が削除されました。 • CEF—ConditionDeleted • LEEF—ConditionDeleted • Syslog—ConditionDeleted • Email—ConditionDeleted 設定(ライセンス) イベント名 説明 エージェント ― ライセン エージェントがライセンスの認証に失敗しました。 ス認証に失敗 • CEF—MachineLicenseValidationFailed • LEEF—MachineLicenseValidationFailed • Syslog—MachineLicenseValidationFailed • Email—MachineLicenseValidationFailed ライセンス ― 失効 エージェント上でライセンスの有効期限が切れました。 • CEF—LicenseExpiration • LEEF—LicenseExpiration • Syslog—LicenseExpiration • Email—LicenseExpiration ライセンス ― 数量 ライセンス数が変更されました。 • CEF—LicenseQuantity • LEEF—LicenseQuantity • Syslog—LicenseQuantity • Email—LicenseQuantity エージェント ― ライセン エージェントがライセンスをリクエストしました。 スのリクエスト • CEF—ClientLicenseRequest • LEEF—ClientLicenseRequest • Syslog—ClientLicenseRequest • Email—ClientLicenseRequest 236 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ イベント名 イベントログの種類 説明 エージェント ― ライセン エージェント上のライセンスが無効でした。 ス無効 • CEF—ClientLicenseInvalid • LEEF—ClientLicenseInvalid • Syslog—ClientLicenseInvalid • Email—ClientLicenseInvalid ライセンス ― エージェン エージェントが新しいライセンスを受け取りました。 トに送信済み • CEF—SendingLicenseToClient • LEEF—SendingLicenseToClient • Syslog—SendingLicenseToClient • Email—SendingLicenseToClient ライセンス プールの追加 ESM コンソールに新しいライセンス プールが追加されました。 • CEF—LicensePoolAdded • LEEF—LicensePoolAdded • Syslog—LicensePoolAdded • Email—LicensePoolAdded エージェント ― ライセン エージェントのライセンスが解除されました。 ス解除 • CEF—LicenseRevoked • LEEF—LicenseRevoked • Syslog—LicenseRevoked • Email—LicenseRevoked © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 237 Syslog サーバーにログを転送 レポートとログ Syslog サーバーにログを転送 Syslog は、アーカイブ、分析、報告を行うために様々なネットワークデバイスやベンダーからログデー タを集約できるようにする、標準的なログ転送メカニズムです。ログファイルのタイプおよび重大度に よっては、注意を必要とする重大イベントについてアラートを受け取りたい場合や、ESM コンソールに 保存可能な期間より長くデータをアーカイブするよう求めるポリシーが必要な場合があるかも知れませ ん。そのような場合はログデータを外部サービスに転送して、アーカイブ、通知、分析を組み合わせて 実施することができます。 Syslog サーバーへのログ転送を有効化 DB 構成ツールを使用して Syslog サーバーへのログ転送を有効化 CEF フォーマット LEEF フォーマット Syslog フォーマット Syslog サーバーへのログ転送を有効化 ESM コンソールは、セキュリティイベント、ポリシー設定変更、監視イベント(エージェントおよび サーバー)といった 60 種類を超えるイベントについてのログを生成し、ログを外部 Syslog サーバーに 転送することができます。これらのログのすべてまたは一部を外部サービスに転送して長期保管および 分析する場合、ログを信頼できる保護された方法で転送するには TCP または SSL を、保護せずに転送す るには UDP を使用します。また、ログを転送する際に ESM コンソールが使用するフォーマット(CEF、 LEEF、あるいは Syslog)をカスタマイズすることもできます。 イベントの日時は UTC でログに記録されます。 Syslog へのログ転送を有効化 Step 1 ログ転送を有効にします。 238 • Traps 3.3 管理者ガイド ESM コンソールで Settings > ESM > Syslog[ 設定 > ESM > Syslog] を選択し、さらに Enable Syslog[Syslog を有効化 ] を選択 します。 © Palo Alto Networks, Inc. Syslog サーバーにログを転送 レポートとログ Syslog へのログ転送を有効化 Step 2 syslog の設定を行います。 以下の syslog 設定項目を指定します。 • Syslog Server[Syslog サーバー ]—Syslog サーバーのホスト名お よび IP アドレス。 • Syslog Port[Syslog ポート ]—syslog サーバーの通信ポート (例:514)。 • Syslog Protocol[Syslog プロトコル ]—ESM コンソールが syslog レポートを送信する際に使用するフォーマット。CEF、LEEF、 Syslog のいずれか。あわせてメールでログを転送をご参照く ださい。 • Keep-alive timeout[キープアライブのタイムアウト]—Trapsが キープアライブ メッセージを syslog サーバーに送信する分単 位の間隔(デフォルト設定は 0。範囲は 0 ~ 2,147,483,647)。 syslog サーバーにキープアライブ メッセージを送信しない場 合は 0 を入力します。 • Send reports interval[ レポート送信間隔 ]—Traps がエンドポイ ントにログを送信する分単位の間隔(デフォルト設定は 10。 範囲は 1 ~ 2,147,483,647)。 • Syslog Communication Protocol[Syslog 通信プロトコル ]—ESM コンソールが syslog レポートを送信する際に使用するトラン スポート層のプロトコル。UDP、TCP、TCP with SSL のいず れか。 Step 3 syslogサーバーに送信するイベントを選 Logging Events [ ログイベント ] 領域でイベントを選択(複数可) 択します。 します。画面をスクロールすれば、送信可能なイベントの種類 がさらに表示されます。 Step 4 設定を保存します。 Save[ 保存 ] をクリックします。 Step 5 syslog の設定内容を確認します。 Check Connectivity[ 接続状態を確認 ] をクリックします。Syslog ページの情報を使用し、ESM コンソールがテストメッセージを syslog サーバーに送信します。このテストメッセージを受信でき ない場合は設定を確認し、再度送信してください。 DB 構成ツールを使用して Syslog サーバーへのログ転送を有効化 Endpoint Security Manager は、ログを内部に保存できるだけでなく、SIEM (Security Information and Event Management)、Service Organization Control (SOC)、syslog など、外部ロギング プラットフォー ムにログを書き込むこともできます。外部ロギングプラットフォームを指定すると、すべての ESM サー バーから集約されたログを閲覧することができます。外部レポート機能は、ESM コンソール(Syslog サーバーにログを転送を参照)あるいはデータベース(DB)構成ツールで有効化できます。 ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでもサーバーの 基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者として実行する と、DB 構成ツールを使用できます。DB 構成ツールは、ESM サーバーの「Server」フォルダに格納され ています。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 ログ転送はデフォルトで無効になっています。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 239 Syslog サーバーにログを転送 レポートとログ DB 構成ツールを使用して Syslog サーバーへのログ転送を有効化 Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、 Run as administrator[管理者として実行 ] を選 択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Step 3 (任意)既存のレポート設定を表示します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting show EnableSyslog = False SyslogServer = SyslogPort = 0 SyslogProtocol = Cef KeepAliveTimeout = 0 SendReportsInterval = 120 MaximumReportsCount = 500000 MinReportsCount = 450000 SyslogCommunicationType = Udp Step 4 Syslog レポート機能を有効化します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting EnableSyslog true Step 5 Syslog サーバーの IP アドレスを入力します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogServer ipaddress Step 6 Syslog サーバー用の通信ポートを 1 ~ 65535 の範囲(デフォルトでは 514)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogPort portnumber Step 7 ESM コンソールが syslog レポートを送信する際に使用する syslog プロトコルを Cef、Leef、Rfc5424 (syslog)のいずれかから指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogProtocol [Cef | Leef | Rfc5424] Step 8 (任意)エンドポイントがログあるいはレポートに対しキープアライブメッセージを送信する時間(分) を 0 以上の値(デフォルトでは 0)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting KeepAliveTimeout value Step 9 (任意)エンドポイントがレポートを送る頻度を分単位で 0 以上の値(デフォルトでは 10)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SendReportsInterval value エンドポイントからレポートを受け取らない場合は 0 を入力します。 240 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 DB 構成ツールを使用して Syslog サーバーへのログ転送を有効化 (Continued) Step 10 (任意)データベースに保存するレポート通知の最大数を 0 以上の値(デフォルトでは 4000)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting MaximumReportsCount value 例えば、レポートの最大数を 5000 に指定すると、Endpoint Security Manager は 5000 番目のものよりも 古い通知を削除します。 Step 11 (任意)データベースに保存するレポート通知の最少数を 0 以上の値(デフォルトでは 5000)で指定します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting MinReportsCount value 例えば、レポートの最少数を 1000 に設定すると、Endpoint Security Manager はレポートを整理した上で 最新の通知 1000 個を保持します。 Step 12(任意)ESM コンソールが syslog レポートを送信する際に使用するトランスポート層のプロトコルを Udp、 Tcp、TcpSsl のいずれかで有効化します。 C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig reporting SyslogCommunicationType [Udp | Tcp | TcpSsl] © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 241 Syslog サーバーにログを転送 レポートとログ CEF フォーマット AccessViolation CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Access Violation|Threat|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] duser=@Model.UserName cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=Access Violation- @Model["TargetName"]:@Model["TargetValue"] AgentPolicyChange CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Agent Policy Changed|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Policy changed ArchivedPreventions CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Preventions Archived|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=@Model["totalPreventions"] preventions been archived ArchivedPreventionsFailure CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Preventions Archived Failed|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Archived preventions failed ClientInstall CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent Install|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Agent installed ClientLicenseRequest CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Client License Request|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=New license request ClientLicenseInvalid CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Client License Invalid|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Invalid license 242 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 ClientUninstall CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent Uninstall|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Agent uninstalled ClientUpgrade CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Agent Upgrade|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Agent upgraded ConditionDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Condition Deleted|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Condition ID:@Model["id"] was deleted ConditionEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Condition Edited|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Condition ID:@Model["id"] was added/changed. DisabledProtection CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Protection Disabled|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Protection disabled on all agents EnabledProtection CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Protection Enabled|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Protection restored on all agents EsmConfigurationChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Configuration Change|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=ESM configuration changed © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 243 Syslog サーバーにログを転送 レポートとログ EsmStatusChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Status Change|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=ESM status changed. FileUploadFailure CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|File Upload Failure|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] duser=@Model.UserName fname=@Model["fileName"] msg=File failed to upload. HashesImport CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Hashes Import|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=@Model["Amount"] hashes were imported. Heartbeat CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Heartbeat|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Service is alive LicenseExpiration CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Expiration|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed LicensePoolAdded CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Pool Added|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed LicenseQuantity CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Quantity|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed 244 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 LicenseRevoked CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|License Revoked|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] dhost=@Model["host"] msg=Licenses revoked MachineLicenseValidationFailed CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Machine License Validation Failed|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=License Validation Failed NewHash CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|New Hash Added|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] dhost=@Model["host"] fileHash=@Model["hash"] msg=New hash added NotificationEvent CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Notification Event|Threat|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] duser=@Model.UserName cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"]fileHash=@Model["hash"] msg=New prevention event.Prevention Key:@Model["preventionKey"] OneTimeActionComplete CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|One Time Action Complete|agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=One Time Action completed OneTimeActionFailed CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|One Time Action Failed|agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=One Time Action failed to run PreventionEvent CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Prevention Event|Threat|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] duser=@Model.UserName cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=New prevention event.Prevention Key:@Model["preventionKey"] © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 245 Syslog サーバーにログを転送 レポートとログ ProcessCrashed CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Process Crashed|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName deviceProcessName=@Model["processName"] msg= Process @Model["processName"] had crashed ProcessDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Process Deleted|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] deviceProcessName=@Model["processName"] msg=Process was deleted ProcessEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Process Edited|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] deviceProcessName=@Model["processName"] msg=Process was added/edited ProcessInjectionTimedOut CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Process Injection Time Out|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName deviceProcessName=@Model["processName"] msg=Injection Timeout ProvisionalEvent CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Provisional Event|Threat|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] duser=@Model.UserName cs2Label=Module cs2=@Model["EPM"] deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=New prevention event.Prevention Key:@Model["preventionKey"] ReportingServiceStartFailed CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Reporting Service Start Failed|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=ReportingService start failed. RestrictionSettingsEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Restriction Settings Edited|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Restriction Settings were added/changed 246 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 RoleEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Edited|config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Role @Model["Name"] was added\changed RoleDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Deleted|config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Role @Model["Name"] was deleted RoleStatusChanged CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Role Status Changed|config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=Role @Model["Name"] status was changed RuleDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Rule Deleted|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] cs1Label=Rule cs1=$vsys@Model.Data.Idmsg=Rule @Model["id"]:Deleted RuleEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Rule Edited|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] cs1Label=Rule cs1=$vsys@Model.Data.Id msg=Rule @Model["id"]:Edited SendingLicenseToClient CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Sending License To Agent|Config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] dhost=@Model["host"] msg=New license sent ServerHeartbeat CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|ESM Heartbeat|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=ESM heartbeat. © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 247 Syslog サーバーにログを転送 レポートとログ ServiceAlive CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service Alive|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Service start ServiceStopped CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service Stopped|Agent|@Model.ExternalSeverity| rt=@Model["Time"] dhost=@Model["host"] duser=@Model["user"] msg=Service stopped ServiceWarning CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|Service Warning|Threat|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] duser=@Model.UserName cs2Label=Module cs2=@Model["EPM"]deviceProcessName=@Model["processName"] fileHash=@Model["hash"] msg=Warning- Java sandboxed file access to @Model["TargetValue"] SystemShutdown CEF:0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]|System Shutdown|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Service shutdown TrapsServiceStatusChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Traps Service Status Change|Agent|sev=@Model.ExternalSeverity|rt=@Model["Time"] dhost=@Model["host"] duser=@Model.UserName msg=Agent Service Status Changed:@Model["OldStatus"]-> @Model["NewStatus"] UserDeleted CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Deleted|config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] was deleted. UserEdited CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Edited|config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] was added\changed. 248 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 UserLogin CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Login|System|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed UserStatusChanged CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|User Status Changed|config|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] suser=@Model["user"] msg=User @Model["Name"] status was changed VerdictChange CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Changed|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed.@Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeAnyToMalware CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Changed Any To Malware|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed to Malware.@Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeMalwareToAny CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change Malware To Any|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed from Malware.@Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeNoconnectionToAny CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change No Connection To Any|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed from No Connection.@Model["OldVerdict"] -> @Model["NewVerdict"] VerdictChangeUnknownToAny CEF:0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]|Verdict Change Unknown To Any|Policy|sev=@Model.ExternalSeverity|rt=@Model["Time"] shost=@Model["host"] fileHash=@Model["hash"] msg= Hash verdict changed from Unknown.@Model["OldVerdict"] -> @Model["NewVerdict"] © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 249 Syslog サーバーにログを転送 レポートとログ LEEF フォーマット AccessViolation LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Access Violation| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|msg=Acce ss Violation- @Model["TargetName"]:@Model["TargetValue"]|sev=@Model.ExternalSeverity AgentPolicyChange LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Agent Policy Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Policy changed|sev=@Model.ExternalSeverity ArchivedPreventions LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=Preventions Archived| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=@Model["totalPreventions" ] preventions been archived|sev=@Model.ExternalSeverity ArchivedPreventionsFailure LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=Preventions Archived Failed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Archived preventions failed|sev=@Model.ExternalSeverity ClientInstall LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Install| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent installed|sev=@Model.ExternalSeverity ClientLicenseInvalid LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Client License Invalid| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Invalid license |sev=@Model.ExternalSeverity ClientLicenseRequest LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Client License Request| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=New license request|sev=@Model.ExternalSeverity 250 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 ClientUninstall LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Uninstall| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent uninstalled|sev=@Model.ExternalSeverity ClientUpgrade LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Agent Upgrade| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent upgraded|sev=@Model.ExternalSeverity ConditionDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Condition Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|msg=Condition ID:@Model["id"] was deleted|sev=@Model.ExternalSeverity ConditionEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Condition Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName |msg=Condition ID:@Model["id"] was added/changed.|sev=@Model.ExternalSeverity DisabledProtection LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Protection Disabled| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Protection disabled on all agents|sev=@Model.ExternalSeverity EnabledProtection LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Protection Enabled| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Protection restored on all agents|sev=@Model.ExternalSeverity EsmConfigurationChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Configuration Change| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|msg=ESM configuration changed|sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 251 Syslog サーバーにログを転送 レポートとログ EsmStatusChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Status Change| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=ESM status changed.|sev=@Model.ExternalSeverity FileUploadFailure LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=File Upload Failure| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|fname=@Model["fileName"]|msg= File failed to upload.|sev=@Model.ExternalSeverity HashesImport LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Hashes Import| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|fileHash=@Model["Hash"]|msg=@ Model["Amount"] hashes were imported|sev=@Model.ExternalSeverity Heartbeat LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Heartbeat| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service is alive|sev=@Model.ExternalSeverity LicenseExpiration LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Expiration| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=@Model["poolName"] licenses will expire in @Model["days"] days|sev=@Model.ExternalSeverity LicensePoolAdded LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Pool Added| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=A pool of @Model["licenseCount"] licenses of type @Model["licenseType"] have been added|sev=@Model.ExternalSeverity LicenseQuantity LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=License Quantity| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=Agent Licenses are running low|sev=@Model.ExternalSeverity 252 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 LicenseRevoked LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=License Revoked| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|dhost=@Model["host"]|msg=Lice nses revoked|sev=@Model.ExternalSeverity MachineLicenseValidationFailed LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Machine License Validation Failed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=License Validation Failed|sev=@Model.ExternalSeverity NewHash LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=New Hash Added| devTime=@Model["Time"]|shost=@Model["esmHost"]|dhost=@Model["host"]|fileHash=@Model["Hash"]|msg=N ew hash added|sev=@Model.ExternalSeverity NotificationEvent LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Notification Event| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event.Prevention Key:@Model["preventionKey"]|sev=@Model.ExternalSeverity OneTimeActionComplete LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=agent|subtype=One Time Action Complete| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=One Time Action completed.Action Type=@Model["ActionType"] Action ID=@Model["ActionID"]|sev=@Model.ExternalSeverity OneTimeActionFailed LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=agent|subtype=One Time Action Failed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=One Time Action failed to run.Action Type=@Model["ActionType"] Action ID=@Model["ActionID"]|sev=@Model.ExternalSeverity PreventionEvent LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Prevention Event| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event.Prevention Key:@Model["preventionKey"]|sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 253 Syslog サーバーにログを転送 レポートとログ ProcessCrashed LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Process Crashed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|deviceProcessName=@Model["proces sName"]|msg= Process @Model["processName"] had crashed|sev=@Model.ExternalSeverity ProcessDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Process Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|deviceProcessName=@Model["Na me"]|msg=Process was deleted|sev=@Model.ExternalSeverity ProcessEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Process Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|deviceProcessName=@Model.Dat a.ProcessFilename|msg=Process was added/edited|sev=@Model.ExternalSeverity ProcessInjectionTimedOut LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Process Injection Time Out| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|deviceProcessName=@Model["proces sName"]|msg=Injection Timeout|sev=@Model.ExternalSeverity ProvisionalEvent LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Provisional Event| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|devicePr ocessName=@Model["processName"]|fileHash=@Model["Hash"]|msg=New prevention event.Prevention Key:@Model["preventionKey"]|sev=@Model.ExternalSeverity ReportingServiceStartFailed LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Reporting Service Start Failed| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=ReportingService start failed.|sev=@Model.ExternalSeverity RestrictionSettingsEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Restriction Settings Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|msg=Restriction Settings were added/changed|sev=@Model.ExternalSeverity 254 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 RoleDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|msg=Role @Model["Name"] was deleted|sev=@Model.ExternalSeverity RoleEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|msg=Role @Model["Name"] was added\changed|sev=@Model.ExternalSeverity RoleStatusChanged LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Role Status Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|msg=Role @Model["Name"] status was changed to @Model["status"]|sev=@Model.ExternalSeverity RuleDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Rule Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|Rule=@Model["id"]|msg=Rule @Model["id"]:Deleted|sev=@Model.ExternalSeverity RuleEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Rule Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.UserName|Rule=@Model.Data.Id|msg=Rule @Model.Data.Id:Edited|sev=@Model.ExternalSeverity SendingLicenseToClient LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=Sending License To Agent| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|dhost=@Model["host"]|msg=New license sent|sev=@Model.ExternalSeverity ServerHeartbeat LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=ESM Heartbeat| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=ESM heartbeat.|sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 255 Syslog サーバーにログを転送 レポートとログ ServiceAlive LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Service Alive| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service start|sev=@Model.ExternalSeverity ServiceStopped LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=Service Stopped| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service stopped|sev=@Model.ExternalSeverity ServiceWarning LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Threat|subtype=Service Warning| devTime=@Model["Time"]|shost=@Model["esmHost"]|duser=@Model["user"]|Module=@Model["EPM"]|msg=Warn ing- Java sandboxed file access to @Model["TargetValue"]|sev=@Model.ExternalSeverity SystemShutdown LEEF:1.0|Palo Alto Networks|Traps Agent|@Model["ProductVersion"]||cat=Agent|subtype=System Shutdown| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Service shutdown|sev=@Model.ExternalSeverity TrapsServiceStatusChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Agent|subtype=Traps Service Status Change| devTime=@Model["Time"]|dhost=@Model["host"]|duser=@Model["user"]|msg=Agent Service Status Changed:@Model["OldStatus"]-> @Model["NewStatus"]|sev=@Model.ExternalSeverity UserDeleted LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Deleted| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] was deleted.|sev=@Model.ExternalSeverity UserEdited LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Edited| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] was added\changed.|sev=@Model.ExternalSeverity 256 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 UserLogin LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=System|subtype=User Login| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model.Data.Username|msg=User @Model.Data.Username logged in to ESM console|sev=@Model.ExternalSeverity UserStatusChanged LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Config|subtype=User Status Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|suser=@Model["user"]|msg=User @Model["Name"] status was changed|sev=@Model.ExternalSeverity VerdictChange LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Changed| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed.@Model["OldVerdict"] -> @Model["NewVerdict"]|sev=@Model.ExternalSeverity VerdictChangeAnyToMalware LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Changed Any To Malware| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed to Malware.@Model["OldVerdict"] -> @Model["NewVerdict"]|sev=@Model.ExternalSeverity VerdictChangeMalwareToAny LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change Malware To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed from Malware.@Model["OldVerdict"] -> @Model["NewVerdict"]|sev=@Model.ExternalSeverity VerdictChangeNoconnectionToAny LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change No Connection To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed from No Connection.@Model["OldVerdict"] -> @Model["NewVerdict"]|sev=@Model.ExternalSeverity VerdictChangeUnknownToAny LEEF:1.0|Palo Alto Networks|Traps ESM|@Model["ProductVersion"]||cat=Policy|subtype=Verdict Change Unknown To Any| devTime=@Model["Time"]|shost=@Model["esmHost"]|fileHash=@Model["Hash"]|msg= Hash verdict changed from Unknown.@Model["OldVerdict"] -> @Model["NewVerdict"]|sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 257 Syslog サーバーにログを転送 レポートとログ Syslog フォーマット AccessViolation 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent Access Violation to @Model["TargetName"]:@Model["TargetValue"] dst=@Model["host"] sev=@Model.ExternalSeverity AgentPolicyChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - msg=Agent Policy Change.Computer:@Model["host"]. sev=@Model.ExternalSeverity eventID=@Model.Type ArchivedPreventions 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=@Model["user"] archived @Model["totalPreventions"] preventions on @Model["host"] sev=@Model.ExternalSeverity ArchivedPreventionsFailure 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=@Model.Message @Model["user"] archived @Model["progressCount"] out of @Model["totalPreventions"] preventions on @Model["host"] sev=@Model.ExternalSeverity ClientInstall 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Agent Installed to System.Computer:@Model["host"]. sev=@Model.ExternalSeverity ClientLicenseInvalid 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Computer @Model["host"] has an invalid license. sev=@Model.ExternalSeverity ClientLicenseRequest 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - msg=Computer @Model["host"] requested a license. sev=@Model.ExternalSeverity 258 • Traps 3.3 管理者ガイド eventID=@Model.Type © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 ClientUninstall 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent Uninstalled from System.Computer:@Model["host"]. sev=@Model.ExternalSeverity ClientUpgrade 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Agent Upgraded.Computer:@Model["host"]. sev=@Model.ExternalSeverity ConditionDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Condition Deleted.Condition Name:@Model["Name"] Condition ID:@Model["id"] Condition Description:@Model["Description"] By User:@Model.UserName. sev=@Model.ExternalSeverity ConditionEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Condition Added/Edited.Condition Name:@Model.Data.Name Condition Description:@Model.Data.Description By User:@Model.UserName. sev=@Model.ExternalSeverity DisabledProtection 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Protection is disabled across the entire organization! sev=@Model.ExternalSeverity EnabledProtection 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Protection is restored across the entire organization! sev=@Model.ExternalSeverity EsmConfigurationChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=ESM Configuration Changed.Server Name:@Model.Data.Name.By User:@Model.UserName. sev=@Model.ExternalSeverity EsmStatusChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=ESM Status Changed.Server Name:@Model["host"] Status:@Model["NewStatus"] Message:Server Status Change sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 259 Syslog サーバーにログを転送 レポートとログ FileUploadFailure 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=File @Model["fileName"] failed to upload from @Model["host"].Reason:@Model["message"] sev=@Model.ExternalSeverity HashesImport 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hashes Imported.Hashes were Imported into the ESM.Hash Count:@Model["Amount"]. sev=@Model.ExternalSeverity Heartbeat 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - msg=Service is alive on @Model["host"] sev=@Model.ExternalSeverity eventID=@Model.Type LicenseExpiration 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Licenses of type @Model["poolName"] will expire in @Model["days"] days. sev=@Model.ExternalSeverity LicensePoolAdded 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=A pool of @Model["licenseCount"] licenses of type @Model["licenseType"] have been added.@Model.ExternalSeverity LicenseQuantity 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Agent Licenses are running low used:@Model["deployedLicenses"] out of:@Model["totalLicenses"]. sev=@Model.ExternalSeverity LicenseRevoked 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=License revoked from Computer @Model["host"] sev=@Model.ExternalSeverity MachineLicenseValidationFailed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Agent License Validation Failed for Computer @Model["host"] sev=@Model.ExternalSeverity 260 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 NewHash 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hash @Model["Hash"] was added to the ESM hash list. sev=@Model.ExternalSeverity NotificationEvent 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Notification event from Computer:@Model["host"] User:@Model["user"] Agent Version:@Model["ProductVersion"] Module Name:@Model["EPM"] Process Name:@Model["processName"] Hash:@Model["Hash"] Prevention Key:@Model["preventionKey"] sev=@Model.ExternalSeverity OneTimeActionComplete 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent One Time Action Completed on Computer @Model["host"] @Model["ActionID"] of type @Model["ActionType"] sev=@Model.ExternalSeverity OneTimeActionFailed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Failed executing one time Action @Model["ActionID"] of type @Model["ActionType"] sev=@Model.ExternalSeverity PreventionEvent 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Prevention event from Computer:@Model["host"] User:@Model["user"] Agent Version:@Model["ProductVersion"] Module Name:@Model["EPM"] Process Name:@Model["processName"] Hash:@Model["Hash"] Prevention Key:@Model["preventionKey"] sev=@Model.ExternalSeverity ProcessCrashed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent Process Crashed Process name @Model["ProcessName"] on Computer:@Model["host"] Error message:@Model["message"]. sev=@Model.ExternalSeverity ProcessDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Process Deleted.Process Name:@Model["Name"] By User:@Model.UserName. sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 261 Syslog サーバーにログを転送 レポートとログ ProcessEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Process Added/Edited.Process Name:@Model.Data.ProcessFilename By User:@Model.UserName. sev=@Model.ExternalSeverity ProcessInjectionTimedOut 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent Process Injection Timeout for process:@Model["processName"] on @Model["host"] (@Model["pId"]) sev=@Model.ExternalSeverity ProvisionalEvent 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Provisional event from Computer:@Model["host"] User:@Model["user"] Agent Version:@Model["ProductVersion"] Module Name:@Model["EPM"] Process Name:@Model["processName"] Hash:@Model["Hash"] Prevention Key:@Model["preventionKey"] sev=@Model.ExternalSeverity ReportingServiceStartFailed 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent Reporting Service Start Failed on Computer @Model["host"] New preventions will not appear in the ESM.Exception:@Model["msg"] sev=@Model.ExternalSeverity RestrictionSettingsEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Restrictions Settings Add/Edit.Restriction Settings in the ESM were added/edited by User:@Model.UserName. sev=@Model.ExternalSeverity RoleDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Role Deleted.Role Name:@Model["Name"] By User:@Model.UserName. sev=@Model.ExternalSeverity RoleEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Role Added/Edited.Role Name:@Model.Data.Name By User:@Model.UserName. sev=@Model.ExternalSeverity 262 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 RoleStatusChanged 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Role @Model["status"].Role Name:@Model["Name"] By User:@Model.UserName. sev=@Model.ExternalSeverity RuleDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Rule @Model["id"]:@Model["Description"] was deleted by @Model.UserName. sev=@Model.ExternalSeverity RuleEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=ID:@Model.Data.Id Rule @Model.Data.Name:@Model.Data.Description was edited by @Model.UserName. sev=@Model.ExternalSeverity SendingLicenseToClient 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Sending license To Computer @Model["host"] sev=@Model.ExternalSeverity ServerHeartbeat 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=ESM Heartbeat.Server Name:@Model["host"]. sev=@Model.ExternalSeverity ServiceAlive 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - msg=Agent Service Start on @Model["host"]sev=@Model.ExternalSeverity eventID=@Model.Type ServiceStopped 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - msg=Agent Service Stopped on @Model["host"] sev=@Model.ExternalSeverity eventID=@Model.Type ServiceWarning 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - - eventID=@Model.Type msg=Agent Service Warning Java sandbox file access to @Model["TargetValue"] on Computer:@Model["host"] sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 263 Syslog サーバーにログを転送 レポートとログ SystemShutdown 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks TrapsAgent:- - msg=Agent Shutdown on Computer @Model["host"] sev=@Model.ExternalSeverity eventID=@Model.Type TrapsServiceStatusChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Agent Service Status Changed.Computer:@Model["host"] Previous Status:@Model["OldStatus"] New Status:@Model["NewStatus"] sev=@Model.ExternalSeverity UserDeleted 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=User Deleted.Deleted User Name:@Model["Name"] By User:@Model.UserName. sev=@Model.ExternalSeverity UserEdited 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=User Added/Edited.Added/Edited User Name:@Model.Data.Name By User:@Model.UserName. sev=@Model.ExternalSeverity UserLogin 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=User @Model.Data.Username has logged in. sev=@Model.ExternalSeverity UserStatusChanged 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=User @Model["status"].User Name:@Model["Name"] By User:@Model.UserName. sev=@Model.ExternalSeverity VerdictChange 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hash Verdict Changed - Any to Any.Hash:@Model["Hash"] Previous Verdict:@Model["OldVerdict"] New Verdict:@Model["NewVerdict"]. sev=@Model.ExternalSeverity VerdictChangeAnyToMalware 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hash Verdict Changed - Any to Malware.Hash:@Model["Hash"] Previous Verdict:@Model["OldVerdict"] New Verdict:@Model["NewVerdict"]. sev=@Model.ExternalSeverity 264 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ Syslog サーバーにログを転送 VerdictChangeMalwareToAny 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hash Verdict Changed - Malware to Any.Hash:@Model["Hash"] Previous Verdict:@Model["OldVerdict"] New Verdict:@Model["NewVerdict"]. sev=@Model.ExternalSeverity VerdictChangeNoconnectionToAny 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hash Verdict Changed - No connection to Any.Hash:@Model["Hash"] Previous Verdict:@Model["OldVerdict"] New Verdict:@Model["NewVerdict"]. sev=@Model.ExternalSeverity VerdictChangeUnknownToAny 1 @Model["Rfc5424Time"] @Model["esmHost"] Palo Alto Networks EndpointSecurityManager:- - eventID=@Model.Type msg=Hash Verdict Changed - Unknown to Any.Hash:@Model["Hash"] Previous Verdict:@Model["OldVerdict"] New Verdict:@Model["NewVerdict"]. sev=@Model.ExternalSeverity © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 265 メールでログを転送 レポートとログ メールでログを転送 メールによるログ転送を有効化 Email フォーマット メールによるログ転送を有効化 ESM コンソールは、セキュリティイベント、ポリシー設定変更、監視イベント(エージェントおよび サーバー)といった 60 種類を超えるイベントについてのログを生成することができます。ログファイル のデータの種類や重大度によっては、注意を必要とする重大イベントについてアラートを受け取りたい ケースもあるでしょう。ESM コンソールは SMTP サービスを使用してログをメールで転送します。これ らのログのすべてまたは一部を外部のメールアドレスに送信する場合、SSL を使用して信頼できる安全 な方法でログを転送することができます。メール レポート設定を行った後、テストメッセージを送信し てログ転送設定が正しく行われていることを確認できます。 イベントの日時は世界標準時(UTC)でログに記録されます。 次の流れに従って ESM コンソールの設定を行うことで、ログおよびイベントをメールで送信できるよう になります。 メールによるログ転送を有効化 Step 1 メール通知を有効にします。 ESM コンソールで Settings > ESM > Email[ 設定 > ESM > メ ール ] を選択し、さらに Enable Mail Reporting[ メール通知を有 効化 ] を選択します。 Step 2 メールの設定を行います。 以下のメール設定項目を指定します。 • Display Name[表示名]—ログを送信するメールアカウントの表 示名。 • User name[ ユーザー名 ]—SMTP サービスへのアクセス権限を 持つユーザーの名前。 • Password[パスワード]—SMTPサービスへのアクセス権限を持 つユーザーアカウントのパスワード。 • Host[ホスト]—SMTPサービスのホスト名あるいはIPアドレス。 • Smtp Port[Smtp ポート ]—SMTP サービスの通信ポート(デ フォルト設定は 0)。 • Enable SSL[SSL を有効化 ]— このオプションを選択すれば、安 全な方法でログのメール送信を行えます。 • Email Address[メールアドレス]—ログの送信者のメールアドレ ス。 • Recipient[ 受信者 ]— ログの受信者のメールアドレス。 • Email Timeout (Seconds)[ メール タイムアウト(秒)]—ESM コンソールがログの送信を試行しなくなるまでの秒単位の時 間(デフォルト設定は 60。範囲は 1 ~ 120)。 266 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ メールでログを転送 メールによるログ転送を有効化 Step 3 外部のメールアドレスに送信するイベ ントを選択します。 Logging Events [ ログイベント ] 領域でイベントを選択(複数可) します。画面をスクロールすれば、送信可能なイベントの種類 がさらに表示されます。 Step 4 設定を保存します。 Save[ 保存 ] をクリックします。 Step 5 メールの設定内容を確認します。 Send Test Message[テストメッセージを送信]をクリックします。 Email ページの情報を使用し、ESM コンソールがテストメッセー ジを対象のメールアドレスに送信します。このテストメッセー ジを受信できない場合は設定を確認し、再度送信してください。 Email フォーマット AccessViolation <html><body><p><div>Log Event:<strong> Agent Access Violation</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Target Name:<strong> @Model["TargetName"]</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> AgentPolicyChange <html><body><p><div>Log Event:<strong> Agent Policy Change</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ArchivedPreventions <html><body><p><div>Log Event:<strong> Archive Threats Events</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Number of Archived Events:<strong> @Model["totalPreventions"]</strong></div></p></body></html> ArchivedPreventionsFailure <html><body><p><div>Log Event:<strong> Archive Threats Events Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Number of Archived Events (Actual):<strong> @Model["progressCount"]</strong></div><div>Number of Archived Events (Total):<strong> @Model["totalPreventions"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 267 メールでログを転送 レポートとログ ClientInstall <html><body><p><div>Log Event:<strong> Agent Installed to System</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ClientLicenseInvalid <html><body><p><div>Log Event:<strong> Agent License Invalid</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> ClientLicenseRequest <html><body><p><div>Log Event:<strong> Agent License Request</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> ClientUninstall <html><body><p><div>Log Event:<strong> Agent Uninstalled from System</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ClientUpgrade <html><body><p><div>Log Event:<strong> Agent Upgraded</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ConditionDeleted <html><body><p><div>Log Event:<strong> Condition Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Condition Name:<strong> @Model["Name"]</strong></div><div>Condition ID:<strong> @Model["id"]</strong></div><div>Condition Description:<strong> @Model["Description"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> ConditionEdited <html><body><p><div>Log Event:<strong> Condition Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Condition Name:<strong> @Model.Data.Name</strong></div><div>Condition Description:<strong> @Model.Data.Description</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> 268 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ メールでログを転送 DisabledProtection <html><body><p><div>Log Event:<strong> Protection Disabled</strong></div><p></p><div>Description:<strong> Protection is disabled across the entire organization!</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div></p></body></html> EnabledProtection <html><body><p><div>Log Event:<strong> Protection Enabled</strong></div><p></p><div>Description:<strong> Protection is restored across the entire organization!</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div></p></body></html> EsmConfigurationChange <html><body><p><div>Log Event:<strong> ESM Configuration Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> EsmStatusChange <html><body><p><div>Log Event:<strong> ESM Status Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server Name:<strong> @Model["host"]</strong></div><div>Status:<strong> @Model["NewStatus"]</strong></div><div>Message:<strong> Server Status Change</strong></div></p></body></html> FileUploadFailure <html><body><p><div>Log Event:<strong> Agent File Upload Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>File Name:<strong> @Model["fileName"]</strong></div><div>Failure Reason:<strong> @Model["message"]</strong></div></p></body></html> HashesImport <html><body><p><div>Log Event:<strong> Hashes Imported</strong></div><p></p><div>Description:<strong> Hashes were Imported into the ESM</strong></div><div>Hash Count:<strong> @Model["Amount"]</strong></div></p></body></html> Heartbeat <html><body><p><div>Log Event:<strong> Agent Heartbeat Any</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 269 メールでログを転送 レポートとログ LicenseExpiration <html><body><p><div>Log Event:<strong> License Expiration</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>License Type:<strong> @Model["poolName"] </strong></div><div>Expiration in (days):<strong> @Model["days"] </strong></div></p></body></html> LicensePoolAdded <html><body><p><div>Log Event:<strong> License Pool Added</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>License Type:<strong> @Model["licenseType"]</strong></div><div>License Count:<strong> @Model["licenseCount"]</strong></div></p></body></html> LicenseQuantity <html><body><p><div>Log Event:<strong> License Quantity</strong></div><p></p><div>Description:<strong> Agent Licenses are running low</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Used Licenses:<strong> @Model["deployedLicenses"]</strong></div><div>Total Licenses :<strong> @Model["totalLicenses"]</strong></div></p></body></html> LicenseRevoked <html><body><p><div>Log Event:<strong> Agent License Revoked</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> MachineLicenseValidationFailed <html><body><p><div>Log Event:<strong> Agent License Validation Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> NewHash <html><body><p><div>Log Event:<strong> Hash Added</strong></div><p></p><div>Description:<strong> Hash was added to the ESM Hash list</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div></p></body></html> NotificationEvent <html><body><p><div>Log Event:<strong> Notification Event</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong> @Model["EPM"]</strong></div><div>Process Name:<strong> 270 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ メールでログを転送 @Model["processName"]</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Prevention Key:<strong> @Model["preventionKey"]</strong></div></p></body></html> OneTimeActionComplete <html><body><p><div>Log Event:<strong> Agent One Time Action Completed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Action Type:<strong> @Model["ActionType"]</strong></div><div>Action ID:<strong> @Model["ActionID"]</strong></div></p></body></html> OneTimeActionFailed <html><body><p><div>Log Event:<strong> Agent One Time Action Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Action Type:<strong> @Model["ActionType"]</strong></div><div>Action ID:<strong> @Model["ActionID"]</strong></div></p></body></html> PreventionEvent <html><body><p><div>Log Event:<strong> Prevention Event</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong> @Model["EPM"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Prevention Key:<strong> @Model["preventionKey"]</strong></div></p></body></html> ProcessCrashed <html><body><p><div>Log Event:<strong> Agent Process Crashed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Process name:<strong> @Model["ProcessName"]</strong></div><div>Error message:<strong> @Model["message"]</strong></div></p></body></html> ProcessDeleted <html><body><p><div>Log Event:<strong> Process Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Process Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 271 メールでログを転送 レポートとログ ProcessEdited <html><body><p><div>Log Event:<strong> Process Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Process Name:<strong> @Model.Data.ProcessFilename</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> ProcessInjectionTimedOut <html><body><p><div>Log Event:<strong> Agent Process Injection Timeout</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>PID:<strong> @Model["pId"]</strong></div><div>Severity:<strong> @Model.ExternalSeverity</strong></div></p></body></html> ProvisionalEvent <html><body><p><div>Log Event:<strong> Provisional Event</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>User:<strong> @Model["user"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><p></p><div>Module Name:<strong> @Model["EPM"]</strong></div><div>Process Name:<strong> @Model["processName"]</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Prevention Key:<strong> @Model["preventionKey"]</strong></div></p></body></html> ReportingServiceStartFailed <html><body><p><div>Log Event:<strong> Agent Reporting Service Start Failed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Exception:<strong> @Model["msg"]</strong></div></p></body></html> RestrictionSettingsEdited <html><body><p><div>Log Event:<strong> Restrictions Settings Add/Edit</strong></div><p></p><div>Description:<strong> Restrictions Settings in the ESM were Added/Edited</strong></div><div>Time:<strong> @Model.Time (UTC)</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RoleDeleted <html><body><p><div>Log Event:<strong> Role Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> 272 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ メールでログを転送 RoleEdited <html><body><p><div>Log Event:<strong> Role Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RoleStatusChanged <html><body><p><div>Log Event:<strong> Role @Model["status"]</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Role Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RuleDeleted <html><body><p><div>Log Event:<strong> Rule Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Rule Name:<strong> @Model["Name"]</strong></div><div>Rule ID:<strong> @Model["id"]</strong></div><div>Rule Description:<strong> @Model["Description"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> RuleEdited <html><body><p><div>Log Event:<strong> Rule Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Rule Name:<strong> @Model.Data.Name</strong></div><div>Rule ID:<strong> @Model.Data.Id</strong></div><div>Rule Description:<strong> @Model.Data.Description</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> SendingLicenseToClient <html><body><p><div>Log Event:<strong> License Sent to Agent</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div></p></body></html> ServerHeartbeat <html><body><p><div>Log Event:<strong> ESM Heartbeat</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Server Name:<strong> @Model["host"]</strong></div></p></body></html> ServiceAlive <html><body><p><div>Log Event:<strong> Agent Service Start</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 273 メールでログを転送 レポートとログ ServiceStopped <html><body><p><div>Log Event:<strong> Agent Service Stopped</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> ServiceWarning <html><body><p><div>Log Event:<strong> Agent Service Warning</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Java sandbox file access to:<strong> @Model["TargetValue"]</strong></div></p></body></html> SystemShutdown <html><body><p><div>Log Event:<strong> Agent Shutdown</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div></p></body></html> TrapsServiceStatusChange <html><body><p><div>Log Event:<strong> Agent Service Status Changed</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Computer:<strong> @Model["host"]</strong></div><div>Agent Version:<strong> @Model["ProductVersion"]</strong></div><div>Previous Status:<strong> @Model["OldStatus"]</strong></div><div>New Status:<strong> @Model["NewStatus"]</strong></div></p></body></html> UserDeleted <html><body><p><div>Log Event:<strong> User Deleted</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Deleted User Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> UserEdited <html><body><p><div>Log Event:<strong> User Added/Edited</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>Added/Edited User Name:<strong> @Model.Data.Name</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> 274 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. レポートとログ メールでログを転送 UserLogin <html><body><p><div>Log Event:<strong> User Login</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>User:<strong> @Model.Data.Username</strong></div></p></body></html> UserStatusChanged <html><body><p><div>Log Event:<strong> User @Model["status"]</strong></div><p></p><div>Time:<strong> @Model.Time (UTC)</strong></div><div>@Model["status"] User Name:<strong> @Model["Name"]</strong></div><div>By User:<strong> @Model.UserName</strong></div></p></body></html> VerdictChange <html><body><p><div>Log Event:<strong> Verdict Changed - Any to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> VerdictChangeAnyToMalware <html><body><p><div>Log Event:<strong> Verdict Changed - Any to Malware</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed to Malware</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> VerdictChangeMalwareToAny <html><body><p><div>Log Event:<strong> Verdict Changed - Malware to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from Malware</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> VerdictChangeNoconnectionToAny <html><body><p><div>Log Event:<strong> Verdict Changed - No connection to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from No connection</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 275 メールでログを転送 レポートとログ VerdictChangeUnknownToAny <html><body><p><div>Log Event:<strong> Verdict Changed - Unknown to Any</strong></div><p></p><div>Description:<strong> Hash Verdict has Changed from Unknown</strong></div><div>Hash:<strong> @Model["Hash"]</strong></div><div>Previous Verdict:<strong> @Model["OldVerdict"]</strong></div><div>New Verdict:<strong> @Model["NewVerdict"]</strong></div></p></body></html> 276 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. トラブルシューティング Traps トラブルシューティングのリソース データベース(DB)構成ツール Cytool Traps の問題のトラブルシュート ESM コンソールの問題のトラブルシュート © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 277 Traps トラブルシューティングのリソース トラブルシューティング Traps トラブルシューティングのリソース Traps および Endpoint Security Manager(ESM サーバー、ESM コンソール、データベースという構成)の トラブルシューティングを行う際は、以下のリソースを参考にしてください。 リソース 説明 Endpoint Security Manager レポートやログを提供する Web インタフェース。この情報は、ネットワーク上の 不可解な挙動を解釈するためにログをモニタリング、フィルタリングするのに役 に立ちます。セキュリティイベントの分析後、当該エンドポイントあるいはプロ セス用のカスタムルールを作成することもできます。 DebugWeb ログ Endpoint Security Manager に関連する通知、警告、およびエラーを表示します。 DebugWebログはESMサーバの%ProgramData%\Cyvera\Logsフォルダ内にありま す。 サーバーログ エンドポイントデータベースおよび ESM サーバーに関連する情報、警告、および エラーを表示します。サーバーログは ESM サーバの %ProgramData%\Cyvera\Logs フォルダ内にあります。 サービスログ Traps サービスに関連する情報、警告、およびエラーを表示します。サービスログ はエンドポイントの以下のフォルダにあります。 • Windows Vista 以降:%ProgramData%\Cyvera\Logs • Windows XP:C:\Document and Settings\All Users\Application Data\ Cyvera\Logs コンソールログ Traps コンソールに関連する情報、警告、およびエラーを表示します。コンソール ログはエンドポイントの以下のフォルダにあります。 • Windows Vista 以降:C:\Users\< ユーザ名 >\AppData\Roaming\Cyvera • Windows XP:C:\Document and Settings\< ユーザ名 >\Application Data\ Cyvera\Logs データベース(DB)構成 ツール(dbconfig.exe) スーパーバイザーコマン ドラインツール (cytool.exe) サーバーの基本設定を管理することができる、ESM コンソールを使用しないコマ ンドライン型のインターフェース。Microsoft MS-DOS コマンドプロンプトを管 理者として実行すると、DB 構成ツールを使用できます。詳細は、「データベース (DB)構成ツール」を参照してください。 保護されたプロセスのエミュレーション、保護機能の有効化 / 無効化、および Traps の管理アクションの有効化 / 無効化を、コマンドラインインタフェースから 実行できます。詳細は、「Cytool」を参照してください。 278 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. トラブルシューティング データベース(DB)構成ツール データベース(DB)構成ツール ESM コンソールだけでなく、コマンドライン型のインターフェースを持つ DB 構成ツールでもサーバーの 基本設定を管理することができます。Microsoft MS-DOS コマンドプロンプトを管理者として実行する と、DB 構成ツールを使用できます。DB 設定ツールは Endpoint Security Manager(ESM)サーバーの サービスフォルダ内にあります。 DB 構成ツールは、以下の機能を実行する際に使用します。 データベース構成ツールへのアクセス ESM コンソールへの管理権限付きのアクセスを DB 構成ツールで設定 ニンジャモードのパスワードを変更 DB 構成ツールを使用して ESM サーバーを設定 DB 構成ツールを使用して Syslog サーバーへのログ転送を有効化 データベース構成ツールへのアクセス ESM サーバーのサービスフォルダから DB 構成ツールを起動し、シンタックスや利用例を表示します。 DB 構成ツールで実行するコマンドでは、大文字・小文字が区別されます。 データベース構成ツールへのアクセス Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者として実行 ] を 選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 DB 構成ツールを格納している次のフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 279 データベース(DB)構成ツール トラブルシューティング データベース構成ツールへのアクセス Step 3 DB 構成ツールの使用方法およびオプションを表示します。 c:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server>dbconfig 用途 : > DBConfig.exe importLicense [1] データベースに新規ライセンスを追加します。 1) CyveraLicense.xml full path > DBConfig.exe [1] [2] [3] データベースに設定を書き込みます。 1) 設定タイプ(サーバー、リフレクタ、ユーザー管理、レポート) 2) キー名 3) 値 > DBConfig.exe [1] show 特定の設定の値を表示します。 1) 設定タイプ(サーバー、リフレクタ、ユーザー管理、レポート) 例: > DBConfig.exe importLicense c:\Foldername\CyveraLicense.xml > DBConfig.exe server inventoryinterval 200 > DBConfig.exe server show 280 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング Cytool Cytool は Traps に統合されたコマンドラインインタフェースであり、Traps の基本的機能を問い合わせた り、管理を行ったりすることができます。Cytool を用いて行った変更は、Traps が ESM サーバーから次 回のハートビート通信を受け取るまで有効です。 管理者としてマイクロソフトの MS-DOS コマンドプロンプトを起動することで Cytool にアクセスする ことができます。Cytool はエンドポイントの Traps フォルダにあります。 Cytool は、以下の機能を実行する際に使用します。 Cytool へのアクセス Traps により現在保護されているプロセスを表示 エンドポイントの保護設定の管理 エンドポイントの Traps ドライバおよびサービスの管理 エンドポイント上のセキュリティポリシーの表示および比較 Cytool へのアクセス Cytool コマンドの構文や使用例を表示するには、確認したいコマンドの後に /? オプションを加えます。 Cytool へのアクセス Step 1 次のようにして、管理者としてコマンドプロンプトを開きます。 • Start > All Programs > Accessories[ スタート > すべてのプログラム > アクセサリー ] を選択します。 Command prompt[ コマンドプロンプト ] を右クリックし、Run as administrator[ 管理者として実行 ] を 選択します。 • Start[ 開始 ] を選択します。Start Search[ 検索開始 ] 入力ボックスに cmd と入力します。次に CTRL+SHIFT+ENTER を同時に押し、管理者としてコマンドプロンプトを開きます。 Step 2 Cytool のあるフォルダに移動します。 C:\Users\Administrator>cd C:\Program Files\Palo Alto Networks\Traps © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 281 Cytool トラブルシューティング Cytool へのアクセス (Continued) Step 3 Cytool コマンドの使用方法およびオプションを表示します。 c:\Program Files\Palo Alto Networks\Traps>cytool /? Traps (R) supervisor tool 3.1 (c) Palo Alto Networks, Inc. All rights reserved 用途 :CYTOOL [/?][/a] [command [options]] オプション : /? このヘルプ メッセージを表示します。 /a スーパーバイザーとして認証します。 command enum | protect | startup | runtime | policy 特定のコマンドに対するより詳細な情報を参照するには、以下のコマンドを実行します。 CYTOOL command /? Traps により現在保護されているプロセスを表示 現在 Traps の挿入作業が行われているプロセスを表示するには、Cytool を使用して enum コマンドを実 行するか、Traps コンソールの Protection [ 保護 ] タブを表示します(Traps により現在保護されている プロセスを表示を参照)。デフォルトでは、Traps コンソールおよび Cytool は共に現在のユーザーが実行 した保護プロセスのみを表示します。すべてのユーザーが実行した保護プロセスを表示するには、/a オ プションを指定します。 すべてのユーザーが実行した防御プロセスを表示するには、スーパーバイザー(アンインストール)パ スワードを入力する必要があります。 Traps が現在保護しているプロセスを表示 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 cytool enum コマンドを入力し、現在のユーザーが開始した保護プロセスを表示します。そのエンドポイ ントのすべてのユーザーに対する保護プロセスを表示するには、/a オプションを指定し、返答を待ってか らスーパーバイザーパスワードを入力します。 c:\Program Files\Palo Alto Networks\Traps>cytool /a enum スーパーバイザのパスワードの入力 : Process ID Agent Version 1000 3.1.1546 1468 3.1.1546 452 3.1.1546 [...] 282 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. トラブルシューティング Cytool エンドポイントの保護設定の管理 デフォルトでは、Traps はセキュリティポリシーによって定義されたサービス保護ルールに従って、コア プロセス、レジストリキー、Traps ファイル、および Traps サービスを保護します(Endpoint Security Manager でのサービス保護ルールの設定についての詳細は、サービス保護の管理をご参照ください)。 Cytool を使用し、セキュリティルールをオーバーライドして、Traps がエンドポイントに適用する以下の 各層を管理することができます。 エンドポイントでのコアプロセス保護の有効化 / 無効化 エンドポイントでのレジストリ保護設定の有効化 / 無効化 エンドポイントでの Traps ファイル保護設定の有効化 / 無効化 エンドポイントでのサービス保護設定の有効化 / 無効化 サービス保護の管理のためのセキュリティポリシーの利用 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 283 Cytool トラブルシューティング エンドポイントでのコアプロセス保護の有効化 / 無効化 デフォルトでは、Traps はローカルセキュリティポリシーで定義されたサービス保護ルールに基づいて、 Cyserver.exe および CyveraService.exe を含むコアプロセスを保護します。必要に応じて、cytool protect [enable|disable] process コマンドを使用してコアプロセス保護の挙動をオーバーライ ドすることができます。 保護設定を変更するには、スーパーバイザー(アンインストール)パスワードを入力する必要がありま す。 エンドポイントでのコアプロセス保護の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 エンドポイントでのコアプロセスの保護設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] process 以下は、コアプロセス保護を有効化した際に表示される出力の例です。Mode[ モード ] 列は変更した保護 ステータスを Enabled[ 有効 ] または Disabled[ 無効 ] で表示するか、もしくはコアプロセスを保護する のにローカルセキュリティポリシーを使用している場合は Policy[ ポリシー ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable process スーパーバイザのパスワードの入力 : Protection Mode State Process Enabled Enabled Registry Policy Disabled File Policy Disabled Service Policy Disabled エンドポイントでのコアプロセスの防御にデフォルトポリシールール設定を使用する方法については、 サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 284 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング エンドポイントでのレジストリ保護設定の有効化 / 無効化 攻撃者が Traps のレジストリキーを改ざんするのを防ぐために、cytool protect enable registry コマンドを使用して、HKLM\SYSTEM\Cyvera に保存されているレジストリキーへのアクセスを制限し ます。レジストリキー保護を無効にするには、cytool protect disable registry コマンドを使用 します。 レジストリ保護設定を変更するには、返答を待ってからスーパーバイザー(アンインストール)パス ワードを入力する必要があります。 エンドポイントでのレジストリ保護設定の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 エンドポイントでのレジストリキーの防御設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] registry 以下は、レジストリキー保護を有効化した際に表示される出力の例です。Mode 列は変更した保護ステータ スを Enabled または Disabled で表示するか、もしくはレジストリキーを保護するのにローカルセキュリ ティポリシーを使用している場合は Policy と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable registry スーパーバイザのパスワードの入力 : Protection Mode State Process Policy Disabled Registry Enabled Enabled File Policy Disabled Service Policy Disabled エンドポイントでのレジストリキー保護にローカルセキュリティポリシー内の設定を使用する方法につい ては、サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 285 Cytool トラブルシューティング エンドポイントでの Traps ファイル保護設定の有効化 / 無効化 攻撃者が Traps ファイルを改ざんするのを防ぐために、cytool protect enable file コマンドを使 用して、%Program Files%\Palo Alto Networks\Traps および %ProgramData%\Cyvera(Windows XP の 場合は C:\Documents および Settings\All Users\Application Data\Cyvera)に保存されているシステム ファイルへのアクセスを制限します。Traps ファイルの保護を無効にするには、cytool protect disable file コマンドを使用します。 Traps ファイルの保護設定を変更するには、返答を待ってからスーパーバイザー(アンインストール)パ スワードを入力する必要があります。 エンドポイントでの Traps ファイル保護設定の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 エンドポイントでの Traps ファイルの保護設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] file 以下は、ファイル保護を有効化した際に表示される出力の例です。Mode[ モード ] 列は変更した保護ス テータスを、Enabled[ 有効 ] または Disabled[ 無効 ] で表示するか、もしくは Traps ファイルを保護す るのにローカルセキュリティポリシーを使用している場合は Policy[ ポリシー ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable file スーパーバイザのパスワードの入力 : Protection Mode State Process Policy Disabled Registry Policy Disabled File Enabled Enabled Service Policy Disabled エンドポイントでの Traps ファイルの保護にデフォルトポリシールール設定を使用する方法については、 サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 286 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング エンドポイントでのサービス保護設定の有効化 / 無効化 Traps セキュリティポリシーを回避するために、攻撃者は Traps サービスの無効化やステータス変更を試 みます。cytool protect enable service コマンドを使用して Traps サービスを保護します。Traps サービス保護を無効にするには、cytool protect disable service コマンドを使用します。 サービス保護設定を変更するには、返答を待ってからスーパーバイザー(アンインストール)パスワー ドを入力する必要があります。 エンドポイントでのサービス保護設定の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 エンドポイントでの Traps サービスの保護設定を管理するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect [enable|disable] service 以下は、サービス保護を有効化した際に表示される出力の例です。Mode[ モード ] 列は変更した保護ス テータスを Enabled[ 有効 ] または Disabled[ 無効 ] と表示するか、もしくは Traps が Traps サービスを 保護するのにローカルセキュリティポリシーを使用している場合は Policy[ ポリシー ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect enable service スーパーバイザのパスワードの入力 : Protection Mode State Process Policy Disabled Registry Policy Disabled File Policy Disabled Service Enabled Enabled エンドポイントでの Traps サービスの保護にデフォルトポリシールール設定を使用する方法については、 サービス保護の管理のためのセキュリティポリシーの利用をご参照ください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 287 Cytool トラブルシューティング サービス保護の管理のためのセキュリティポリシーの利用 Cytool で保護設定を変更した後でも、cytool protect policy feature コマンドを利用することでいつ でもデフォルトのセキュリティポリシーを復元することができます。 サービス保護の管理のためのセキュリティポリシーの利用 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 サービス保護を管理するためにセキュリティポリシー内のルールを使用する場合は、以下のコマンドを使 用します。 C:\Program Files\Palo Alto Networks\Traps>cytool protect policy feature feature[ 特性 ] には process[ プロセス ]、 registry[ レジストリ ]、 file[ ファイル ]、 または service[ サービ ス ] を指定します。 以下は、ローカルセキュリティポリシーを使用して Traps ファイルに対する保護を管理した際に表示され る出力の例です。Mode[ モード ] 列は変更した保護ステータスを Policy[ ポリシー ] と表示しています。 C:\Program Files\Palo Alto Networks\Traps>cytool protect policy file スーパーバイザのパスワードの入力 : Protection Mode State Process Enabled Enabled Registry Enabled Enabled File Policy Disabled Service Enabled Enabled 288 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング エンドポイントの Traps ドライバおよびサービスの管理 エンドポイントが起動すると、Traps はデフォルトでドライバ(Cyverak、Cyvrmtgn、および Cyvrfsfd) およびサービス(Cyvera および CyveraService)を開始します。Cytool を使用して、デフォルトの挙動 をオーバーライドし、ドライバおよびサービスの起動ステータスまたは現在のステータスを全体で、も しくは個別に管理することができます。デフォルトの起動時の挙動に対する変更は、エンドポイントの 再起動時に反映されます。ランタイム時の挙動に対する変更は即座に反映されます。 エンドポイントでの Traps の起動時の要素の表示 エンドポイントでの Traps 要素の起動の有効化 / 無効化 エンドポイントでの Traps のランタイムの要素の表示 エンドポイントでの Traps のランタイム時の要素の開始 / 停止 エンドポイントでの Traps の起動時の要素の表示 cytool startup query コマンドを使用して、エンドポイントの起動時の要素のステータスを表示しま す。サービスまたはドライバが無効になっていると、Cytool はその要素を Disabled[ 無効 ] と表示しま す。ドライバが有効になっていると、Cytool はその要素を System[ システム ] と表示します。サービス が有効になっていると、Cytool はその要素の Startup[ 起動 ] を Automatic[ 自動 ] と表示します。 エンドポイントでの Traps の起動時の要素の表示 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 Traps ドライバおよびサービスの現在の起動時の挙動を表示するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool startup query Service Startup cyverak System cyvrmtgn System cyvrfsfd System cyserver Automatic CyveraService Automatic © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 289 Cytool トラブルシューティング エンドポイントでの Traps 要素の起動の有効化 / 無効化 cytool startup [enable|disable] コマンド(オプションとして要素名を続けて入力できます)を 使用して、エンドポイントでの Traps ドライバおよびサービスの起動のためのデフォルトの挙動をオー バーライドします。 起動時の挙動を変更するには、返答を待ってからスーパーバイザーパスワードを入力する必要がありま す。 Traps ドライバおよびサービスに対する変更は、システムが再起動するまで反映されません。 Traps ドライバおよびサービスに対する変更を即座に反映させる方法については、エンドポイ ントでの Traps のランタイム時の要素の開始 / 停止をご参照ください。 エンドポイントでの Traps 要素の起動の有効化 / 無効化 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 特定のドライバまたはサービスの起動時の挙動をを変更するには、以下のコマンドを使用します: C:\Program Files\Palo Alto Networks\Traps>cytool startup [enable|disable] component component には、cyverak、cyvrmtgn、cyvrfsfd のいずれかのドライバまたは cyserver、CyveraService のいずれかのサービスを入力します。 または、component をコマンドから省略して、すべてのドライバおよびサービスに対して起動時の挙動を 変更することが可能です。 以下は、cyvrmtgn ドライバの起動時の挙動を無効化した際の出力の例です。Startup[ 起動 ] 列は、変更 した挙動を Disabled[ 無効 ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool startup disable cyvrmtgn スーパーバイザのパスワードの入力 : Service Startup cyverak System cyvrmtgn Disabled cyvrfsfd System cyserver Automatic CyveraService Automatic 290 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング エンドポイントでの Traps のランタイムの要素の表示 cytool runtime query コマンドを使用して、Traps の要素のステータスを表示します。サービスまた はドライバが有効になっていると、Cytool はそのステータスを Running[ 稼働中 ] と表示します。サービ スまたはドライバが実行されていない場合は、Cytool はそのステータスを Stopped[ 停止 ] と表示しま す。 エンドポイントでの Traps の起動時の要素の表示 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 Traps ドライバおよびサービスの現在のランタイムを表示するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool runtime query Service State cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Running CyveraService Stopped © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 291 Cytool トラブルシューティング エンドポイントでの Traps のランタイム時の要素の開始 / 停止 Traps エージェントが ESM サーバーにアクセスできない状況、あるいは ESM コンソールから Traps の挙動 を変更する権限がなく、Traps ドライバおよびサービスにかかわる問題を速やかに解決する必要がある状 況では、cytool startup [enable|disable] コマンドを使用して、デフォルトのランタイムの挙動 をオーバーライドすることができます。このコマンドは、すべての Traps の要素を開始または停止、ま たは特定のドライバやサービスを開始または停止するアクションを即座に行う必要がある場合に役立ち ます。 Traps ドライバおよびサービスのランタイム時の挙動に対する変更は、システム再起動時にリ セットされます。Traps ドライバおよびサービスの起動時の挙動を変更する方法については、 エンドポイントでの Traps 要素の起動の有効化 / 無効化をご参照ください。 ランタイム時の挙動を変更するには、返答を待ってからスーパーバイザー(アンインストール)パス ワードを入力する必要があります。 エンドポイントでの Traps のランタイム時の要素の開始 / 停止 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 Step 2 ドライバまたはサービスを開始または停止するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool runtime start component component には、cyverak、cyvrmtgn、cyvrfsfd のいずれかのドライバまたは cyserver、CyveraService のいずれかのサービスを入力します。 または、component をコマンドから省略して、すべてのドライバおよびサービスに対してランタイム時の 挙動を変更することが可能です。 以下は、cyserver サービスを停止した際に表示される出力の例です。Startup[ 起動 ] 列は変更した要素 のステータスを Running[ 稼働中 ] または Stopped[ 停止 ] と表示します。 C:\Program Files\Palo Alto Networks\Traps>cytool runtime stop cyserver スーパーバイザのパスワードの入力 : Service Startup cyverak Running cyvrmtgn Running cyvrfsfd Running cyserver Stopped CyveraService Running 292 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング エンドポイント上のセキュリティポリシーの表示および比較 Cytool を使用して、エンドポイント上のセキュリティポリシーの詳細を表示することができます。 有効なポリシーの詳細表示 ポリシーの比較 有効なポリシーの詳細表示 cytool policy query process コマンドを使用して、特定のプロセスに関するポリシーの詳細を表示し ます。プロセス名を指定すると目的のポリシーに関する詳細情報が表示されるのに対し、プロセス ID (PID)を指定すると現在そのプロセスに適用されているアクティブなポリシーに関する詳細情報が表示 されます。この出力は、意図した設定内容でポリシーが実装されているかどうか確認したいときに役立 ちます。 ポリシーの詳細を表示するには、返答を待ってからスーパーバイザー(アンインストール)パスワード を入力する必要があります。 有効なポリシーの詳細表示 Step 1 Step 2 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 プロセスに対する有効なポリシーを表示するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool policy query process process には、プロセス名または PID を入力します。例えば、notepad に対するポリシーの詳細を表示するに は、cytool policy query notepad と入力します。以下は、PID 1234 のプロセスに対するポリシーの詳 細の表示例です。 C:\Program Files\Palo Alto Networks\Traps>cytool policy query 1234 スーパーバイザのパスワードの入力 : ?? Enable 0x00000001 SuspendOnce 0x00000001 AdvancedHooks 0x00000001 [...] © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 293 Cytool トラブルシューティング ポリシーの比較 定期的に、Traps は更新されたセキュリティーポリシーを ESM サーバーに要求し、システムレジストリ に保存します。ユーザーがプロセスを開始すると、Traps はセキュリティポリシーの設定に基づいてその プロセスを保護するかどうかを判断します。 Traps が期待通りの挙動を示さない場合、cytool policy compare コマンドを使用して、エンドポイントで 実行中のプロセスに適用されている各ポリシーの相違を表示します。このコマンドを使用すると、プロ セス用のポリシーをデフォルトセキュリティポリシーと、あるいは別のプロセス用のポリシーと比較す ることができます。いずれの場合も、プロセス名あるいはプロセス ID(PID)を指定することができま す。プロセス名を指定すると、そのプロセスに対するポリシーの適用状況をシミュレートします。PID を指定すると、実行中のプロセスに対する有効なポリシーを問い合わせます。Cytool はポリシーを並べ て表示し、ポリシー間の相違点を赤色で示します。 ポリシーを比較するには、返答を待ってからスーパーバイザーパスワードを入力する必要があります。 ポリシーの比較 Step 1 管理者としてコマンドプロンプトを起動し、Traps フォルダに移動します(Cytool へのアクセスを参照)。 294 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Cytool トラブルシューティング ポリシーの比較 (Continued) Step 2 2 つのポリシーの詳細を比較します。 • ポリシーをデフォルトポリシーと比較するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare process default process には、プロセス名またはプロセス ID(PID)を入力します。 以下は、notepad に適用されているポリシーをデフォルトポリシーと比較したときの出力の例です。 2 つのポリシーの相違点は赤色で表示されます。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare notepad default スーパーバイザのパスワードの入力 : 汎用 Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] • 2 つのプロセスのポリシーを比較するには、以下のコマンドを使用します。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare process1 process2 process1 および process2 にはいずれもプロセス名またはプロセス ID(PID)を入力します。例えば、 iexplorer に適用されているポリシーを Chrome 用のポリシーと比較するには、 cytool policy compare iexplorer chrome と入力します。2 つの PID 用のポリシーの比較、またはあるプロセス用のポリシーと ある PID 用のポリシーの比較も可能です。 以下は、2 つの PID、1592 および 1000 に適用されているポリシーを比較したときの出力の例です。2 つのポリシーの相違点は赤色で表示されます。 C:\Program Files\Palo Alto Networks\Traps>cytool policy compare 1592 1000 スーパーバイザのパスワードの入力 : 汎用 Enable SuspendOnce AdvancedHooks 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000001 0x00000000 0x000000011 [...] DllSec Enable Optimize [...] © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 295 Traps の問題のトラブルシュート トラブルシューティング Traps の問題のトラブルシュート このトピックでは、Traps に関連する以下の問題を扱います。 Traps がインストールできない Traps をアップグレードまたはアンインストールできない Traps が ESM サーバーに接続できない Traps サーバー証明書エラーを修復できない Traps がインストールできない 症状 Traps セットアップが以下のエラーを表示する。「Traps」(CyveraService)サービスが起動に失敗しまし た。必要な権限があることを確認してください。 考えられる原因 エンドポイントでサービスを起動する管理者権限を持っていない。 ソリューション 以下の手続きの各ステップで、Traps をインストールできるか確認します。それでも Traps がエラーを表 示する場合は、問題が解決するまでさらにステップを進めます。 ソリューション:Traps がインストールできない Step 1 エンドポイントで管理者権限を持っていることを確認します。 • Windows 7:Start > Control Panel > User Accounts > Manage User Accounts[ スタート > コントロール パネル > ユーザーアカウント > ユーザーアカウントを管理 ] をクリックします。ユーザータブで、管 理者グループに自分のユーザー名が表示されていることを確認します。 • Windows 8:Start > Control Panel > User Accounts > Change User Accounts[ スタート > コントロール パネル > ユーザーアカウント > ユーザーアカウントを変更 ] をクリックします。自分のユーザー名が 管理者として表示されていることを確認します。 有効な管理者としてエンドポイントにログインします。 296 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. トラブルシューティング Traps の問題のトラブルシュート ソリューション:Traps がインストールできない (Continued) Step 2 サービスログには、Traps サービスに関連する情報、警告、およびエラーが含まれています。Traps サービ スに関連する問題の詳細なトラブルシュートを行うには、C:\ProgramData\Cyvera\Logs\Service.log ファ イルをテキストエディタで開き、問題発生時のエラーをログファイルで確認します。 デフォルトでは、ProgramData フォルダは非表示になっています。Windows エクスプローラで隠し ファイルを表示するには、Organize > Folder and Search Options > View > Show hidden files and folders[組織 > フォルダと検索オプション > 表示 > 隠しファイルとフォルダを表示]を選択します。 Step 3 問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。 Traps をアップグレードまたはアンインストールできない 症状 Traps セットアップが以下のエラーを表示する。「Traps」(CyveraService)サービスが起動に失敗しまし た。必要な権限があることを確認してください。 考えられる原因 古いバージョンの Traps では、サービス保護機能によって Traps のシステムファイルの変更や改ざんが できなくなっています。 ソリューション ソリューション:Traps をアップグレードできない Step 1 サービス保護を無効化するアクションルールを作成します(サービス保護の管理を参照)。 Step 2 Traps のインストールまたはアンインストールができることを確認します。 Step 3 アクションルールを削除します(ルールの保存を参照)。 Step 4 Traps のアップグレードを試します。Traps サービスに関連する問題の詳細なトラブルシュートを行うに は、Traps が特定のエラーを報告していないかログで確認します。 • Traps コンソールで Open Log File[ ログファイルを開く ] を選択します。 • Traps コンソールで Send Support File[ サポートファイルを送信 ] を選択して、 ESM サーバーにログを送 信します。 • エンドポイントからログを取得するアクションルールを作成します(Traps が収集したデータの管理を 参照)。 Step 5 問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 297 Traps の問題のトラブルシュート トラブルシューティング Traps が ESM サーバーに接続できない 症状 Traps が ESM サーバに接続して最新のセキュリティポリシーを取得できず、No connection to server![ サー バーと未接続です ] とステータスを報告する。 考えられる原因 サーバーもしくはエンドポイントの仕様が、インストールの要件、基本的な要件に合致していませ ん。 エンドポイントの Traps サービスがダウンしています。 ESM サーバーの Endpoint Security Manager コアサービスがダウンしています。 エンドポイントがネットワークに接続していません。 ESM サーバーのポート(デフォルトでは 2125)にインバウンドトラフィックが許可されていません。 Windows ファイアウォールが ESM サーバー上で有効になっており、サーバーがクライアントと通信す るのを阻害しています。 エンドポイントの証明書が ESM サーバーの証明書と合致していません(Traps サーバー証明書エラー を修復できないを参照)。 ソリューション 以下の手順の各ステップの後に、Check-in now[ すぐにチェックイン ] を選択して Traps が ESM サーバー と接続できるか確認します。それでも Traps がサーバーと接続できない場合は、問題が解決するまでさ らにステップを進めます。 ソリューション:Traps が ESM サーバーに接続できない Step 1 サーバーおよびエンドポイントが共に 前提条件を参照してください。 要件を満たしていることを確認します。 Step 2 エンドポイントの Traps サービスが実行 1. されていることを確認します。 298 • Traps 3.3 管理者ガイド サービスマネージャーを開きます: • Windows XP:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパネル > 管理ツール > サービス ] を選択します。 • Windows Vista 以降:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[コントロールパネル > システムとセキュリティ > 管理ツール > サービス ] を選択します。 2. Traps サービスを探し(旧バージョンの Traps では CyveraService という名前)、サービスの状態が Started [ 開始 ] であることを確認します。 3. サービスの状態が Stopped[ 停止 ] の場合は、サービスをダブ ルクリックし、Start[ 開始 ] を選択します。Close [ 閉じる ] をクリックします。 © Palo Alto Networks, Inc. Traps の問題のトラブルシュート トラブルシューティング ソリューション:Traps が ESM サーバーに接続できない (Continued) Step 3 ESM サーバーの Endpoint Security Manager コアサービスが実行中である ことを確認します。 1. サービスマネージャーを開きます: • Windows Server 2008:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパ ネル > 管理ツール > サービス ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル > システムとセキュリ ティ > 管理ツール > サービス ] を選択します。 2. Endpoint Security Manager コアサービス(古いバージョン の Endpoint Security Manager では CyveraServer)を探し、 サービスステータスが Started[ 開始 ](Windows Server 2008)あるいは Running[ 運転中 ](Windows Server 2012) であることを確認します。 3. サーバーステータスがStopped[停止]あるいはPaused[一時 停止 ] の場合は、当該サービスをダブルクリックし、Start [ 開始 ] を選択します。Close[ 閉じる ] をクリックします。 Step 4 エンドポイントが ESM サーバーにアク エンドポイント上でコマンドプロンプトを開き、ESM サーバー の IP アドレスまたはホスト名に対して ping を打ちます。ESM セスできることを確認します。 サーバーに到達できない場合は、デバイス間のネットワーク接 続設定を調べます。 Step 5 ESM サーバーからエンドポイントに到 達できることを確認します。 © Palo Alto Networks, Inc. ESM サーバーからコマンドプロンプトを開き、エンドポイント の IP アドレスまたはホスト名に対して ping を打ちます。エンド ポイントに到達できない場合は、デバイス間のネットワーク接 続設定を調べます。 Traps 3.3 管理者ガイド • 299 Traps の問題のトラブルシュート トラブルシューティング ソリューション:Traps が ESM サーバーに接続できない (Continued) Step 6 ESM サーバーのポートが Windows ファ 1. イアウォール上で開いているか確認し ます(デフォルトでは 2125)。 次の方法でエンドポイントからポートアクセスを確認しま す。 a. 管理者としてコマンドプロンプトを開きます。 b. 以下のコマンドを入力し、ESM サーバーの 2125 番ポート に対し telnet を実行します。 C:\>telnet esmservername 2125 esmservername には ESM サーバーのホスト名または IP ア ドレスを入力します。 Step 7 Step 8 2. 2125 番ポートに対し telnet を実行できない場合、そのポート を開くためのインバウンドルールを作成します。 a. Windows ファイアウォールの高度な設定を開きます: – Windows Server 2008:スタートメニューから、 Control Panel > Windows Firewall > Advanced Settings[ コントロールパネル > Windows ファイアウォール > 高度な設定 ] を選択します。 – Windows Server 2012:スタートメニューから、 Control Panel > System and Security > Windows Firewall > Advanced Settings[ コントロールパネル > Windowsファイアウォール > 高度な設定]を選択します。 b. Inbound Rules[ インバウンドルール ] を選択します。 c. Traps に 2125 番ポートで Endpoint Security Manager との 通信を許可する新しいルールを作成します。New Rule[ 新規ルール ] ウィザードを選択し、指示に従ってくださ い。 3. エンドポイントから ESM サーバの 2125 番ポートに対し telnet を実行できることを確認します。 Windows ファイアウォールを一時的に 1. 無効にします。 Change Action Center settings[ アクションセンターの設定 変更 ] を開きます。 • Windows Server 2008:スタートメニューから、Control Panel[ コントロールパネル ] を選択します。Action Center[ アクションセンター ] をダブルクリックし、 Change Action Center settings[ アクションセンターの設 定変更 ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security[ コントロールパネル > シス テムとセキュリティ ] を選択します。Action Center[ アク ションセンター ] をダブルクリックし、Change Action Center settings[ アクションセンターの設定変更 ] を選択 します。 2. Network firewall[ネットワークファイアウォール ]の選択を 解除します。 3. OK をクリックします。 TrapsとESMサーバーの接続が復元され Traps コンソールから、Check-in now[ すぐにチェックイン ] をク たことを確認します。 リックします。接続が確立すると、接続状態が Successful[ 成功 ] と表示されます。 300 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. Traps の問題のトラブルシュート トラブルシューティング ソリューション:Traps が ESM サーバーに接続できない (Continued) Step 9 あるエラーを Traps が報告しているかど • Traps コンソールで Open Log File[ ログファイルを開く ] を選択 うか確認するにはログを開きます。 します。 • TrapsコンソールでSend Support File[サポートファイルを送信 ] を選択して、ESM サーバーにログを送信します。 • エンドポイントからログを取得するアクションルールを作成し ます(Traps が収集したデータの管理を参照)。 Step 10 問題が解決しない場合は、Palo Alto Networks のサポートチームまでお問い 合わせください。 Traps サーバー証明書エラーを修復できない 症状 エンドポイントのサービスログに以下のエラーが表示される。 「https://<hostname>:2125/CyveraServer/ への HTTP リクエスト送信中にエラーが発生しました。この 問題は、HTTPS の場合に HTTP.SYS でサーバー証明書が適切に設定されていないことが原因になってい るかもしれません。また、クライアント、サーバー間のセキュリティバインディングの不一致が原因の 可能性もあります。 考えられる原因 ESM サーバーソフトウェアをインストールする際、以下の証明書設定をすることができます。証明書な し(No SSL)および外部証明書(SSL) 。Traps をインストールするには、ESM サーバーソフトウェアの インストールの際に External Certificate[ 外部証明書 ] を選択した場合は SSL[SSL] を、No Certificate [ 証明書なし ] を選択した場合は No SSL[SSL なし ] を選択する必要があります。設定に不一致があると、 service.log にエラーが報告されます。 ソリューション ソリューション:Traps サーバー証明書エラーを修復できない Step 1 Traps ソフトウェアを再インストールし ESM サーバーの SSL 設定を確認し、エンドポイントに Traps を再 ます。 インストールします。インストールする際には、適切な SSL 設 定を選択するようにします(エンドポイントに Traps をインス トールを参照)。 Step 2 ログにエラーが表示されないことを確 認します。 © Palo Alto Networks, Inc. Traps コンソールから、Open Log File[ ログファイルを開く ] を選 択するか、エンドポイント上で services.log を開き、直近のエ ラーを確認します。サーバー証明書エラーが解決しない場合は、 Palo Alto Networks のサポートチームまでお問い合わせくださ い。 Traps 3.3 管理者ガイド • 301 ESM コンソールの問題のトラブルシュート トラブルシューティング ESM コンソールの問題のトラブルシュート このトピックでは、Endpoint Security Manager(ESM)コンソールに関連する以下の問題を扱います。 ESM コンソールにログインできない ESM コンソールを起動した際にサーバエラーになる すべてのエンドポイントが ESM コンソールで切断と表示される ESM コンソールにログインできない 症状 Endpoint Security Manager(ESM)コンソールに、ユーザー名またはパスワードが無効であるというエ ラーメッセージが表示される。 考えられる原因 ユーザー名またはパスワードが正しく入力されていません。 初回インストール時に指定したユーザーが DB オーナー権限を持っていません。 ユーザーが管理者として追加されていません。 サーバーをインストールしたユーザーが、サーバーのローカル管理者になっていません。 ソリューション ソリューション:ESM コンソールにログインできない Step 1 ユーザー名およびパスワードが正しく入力されていることを確認します。 Step 2 ユーザーが DB オーナー権限を持っていることを確認します(MS-SQL サーバーデータベースの構成を参 照)。 302 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc. トラブルシューティング ESM コンソールの問題のトラブルシュート ソリューション:ESM コンソールにログインできない Step 3 管理者としてログインし、認証モードが正しいこと、およびユーザーアカウントが User Management[ ユーザー管理 ] ページに表示されていることを確認します。管理者ユーザーを追加する方法については、 認証モードの設定をご参照ください。または、データベース構成ツールを使用して管理者を追加すること もできます(ESM コンソールへの管理権限付きのアクセスを DB 構成ツールで設定を参照)。 Step 4 管理者としてログインできない場合は、ローカルの管理者として Endpoint Security Manager を再インス トールします。 Step 5 IIS を再起動します。Start > Run[ スタート > 実行 ] をクリックし、[IISReset] と入力し、続けて OK をクリッ クします。 Step 6 そのアカウントで ESM コンソールにログインできることを確認します。問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。 ESM コンソールを起動した際にサーバエラーになる 症状 ESM コンソールを開くと、ブラウザ上で「/CyveraManagement」または「/EndpointSecurityManager」 のアプリケーション内でのサーバエラーを示すエラーメッセージが表示される。 考えられる原因 サーバーが KB2468871 の更新パッチを当てた .NET Framework 4.0 の要件を満たしていません。 ソリューション .NET Framework 4.0 および KB2468871 パッチをインストールします。 © Palo Alto Networks, Inc. Traps 3.3 管理者ガイド • 303 ESM コンソールの問題のトラブルシュート トラブルシューティング すべてのエンドポイントが ESM コンソールで切断と表示される 症状 ESM サーバーとの接続ができているにもかかわらず、すべてのエンドポイントが切断されていると ESM コンソールの Health[ 安全状態 ] ページに表示される。 考えられる原因 ESM サーバーが要件を満たしていません。 Endpoint Security Manager コアサービスが停止しており、再起動を必要としています。この問題は、 ESM コンソールソフトウェアの初回インストール後、1 時間以上ライセンスキーをインストールしな かった場合に発生します。 ESM サーバーのポート(デフォルトでは 2125)にインバウンドトラフィックが許可されていません。 ソリューション 以下の手順の各ステップの後に、Check-in now[ すぐにチェックイン ] を選択して Traps が ESM サーバー と接続できるか確認します。それでも Traps がサーバーと接続できない場合は、問題が解決するまでさ らにステップを進めます。 ソリューション:すべてのエンドポイントが ESM コンソールで切断と表示される Step 1 サーバーが要件を満たしていることを 確認します。 Step 2 エンドポイントの Traps サービスが実行 1. されていることを確認します。 304 • Traps 3.3 管理者ガイド ESM サーバーをインストールする際の前提条件を参照してくだ さい。 サービスマネージャーを開きます: • Windows XP:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパネル > 管理ツール > サービス ] を選択します。 • Windows Vista 以降:スタートメニューから、 Control Panel > System and Security > Administrative Tools > Services[ コントロールパネル > システムとセ キュリティ > 管理ツール > サービス ] を選択します。 2. Traps サービスを探し(旧バージョンの Traps では CyveraService という名前)、サービスの状態が Started[ 開始 ] であることを確認します。 3. サービスの状態が Stopped[ 停止 ] の場合は、 サービスをダブ ルクリックし、Start[ 開始 ] を選択します。Close[ 閉じる ] をクリックします。 © Palo Alto Networks, Inc. ESM コンソールの問題のトラブルシュート トラブルシューティング ソリューション:すべてのエンドポイントが ESM コンソールで切断と表示される (Continued) Step 3 Step 4 ESM サーバーの Endpoint Security Manager コアサービスが実行中である ことを確認します。 1. サービスマネージャーを開きます: • Windows Server 2008:スタートメニューから、Control Panel > Administrative Tools > Services[ コントロールパ ネル > 管理ツール > サービス ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security > Administrative Tools > Services[コントロールパネル > システムとセキュリティ > 管理ツール > サービス ] を選択します。 2. Endpoint Security Manager コアサービス(古いバージョン の Endpoint Security Manager では CyveraServer)を探し、 サービスステータスが Started[ 開始 ](Windows Server 2008)あるいは Running[ 運転中 ](Windows Server 2012) であることを確認します。 3. サーバーステータスがStopped[停止]あるいはPaused[一時 停止 ] の場合は、当該サービスをダブルクリックし、Start [ 開始 ] を選択します。Close[ 閉じる ] をクリックします。 ESM サーバーのポートが Windows ファ 1. イアウォール上で開いているか確認し ます(デフォルトでは 2125)。 次の方法でエンドポイントからポートアクセスを確認しま す。 a. 管理者としてコマンドプロンプトを開きます。 b. 以下のコマンドを入力し、ESM サーバーの 2125 番ポート に対し telnet を実行します。 C:\>telnet esmservername 2125 esmservername には ESM サーバーのホスト名または IP ア ドレスを入力します。 © Palo Alto Networks, Inc. 2. 2125 番ポートに対し telnet を実行できない場合、そのポート を開くためのインバウンドルールを作成します。 a. Windows ファイアウォールの高度な設定を開きます: – Windows Server 2008:スタートメニューから、 Control Panel > Windows Firewall > Advanced Settings [ コントロールパネル > Windows ファイアウォール > 高度な設定 ] を選択します。 – Windows Server 2012:スタートメニューから、 Control Panel > System and Security > Windows Firewall > Advanced Settings[ コントロールパネル > Windows ファイアウォール > 高度な設定 ] を選択しま す。 b. Inbound Rules[ インバウンドルール ] を選択します。 c. Traps に 2125 番ポートで Endpoint Security Manager との 通信を許可する新しいルールを作成します。New Rule [ 新規ルール ] ウィザードを選択し、指示に従ってくださ い。 3. エンドポイントからESMサーバの2125番ポートに対しtelnet を実行できることを確認します。 Traps 3.3 管理者ガイド • 305 ESM コンソールの問題のトラブルシュート トラブルシューティング ソリューション:すべてのエンドポイントが ESM コンソールで切断と表示される (Continued) Step 5 Step 6 Windows ファイアウォールを一時的に 1. 無効にします。 Change Action Center settings[ アクションセンターの設定 変更 ] を開きます。 • Windows Server 2008:スタートメニューから、Control Panel[ コントロールパネル ] を選択します。Action Center[ アクションセンター ] をダブルクリックし、 Change Action Center settings[ アクションセンターの設 定変更 ] を選択します。 • Windows Server 2012:スタートメニューから、Control Panel > System and Security[ コントロールパネル > シス テムとセキュリティ ] を選択します。Action Center[ アク ションセンター ] をダブルクリックし、Change Action Center settings[ アクションセンターの設定変更 ] を選択 します。 2. Network firewall[ ネットワークファイアウォール ] の選択を 解除します。 3. OK をクリックします。 TrapsとESMサーバーの接続が復元され Traps コンソールから、Check-in now[ すぐにチェックイン ] たことを確認します。 をクリックします。接続が確立すると、接続状態が Successful [ 成功 ] と表示されます。問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。 306 • Traps 3.3 管理者ガイド © Palo Alto Networks, Inc.
© Copyright 2024 Paperzz