コンプライアンスリスト

次のトピックでは、相関ポリシーに追加する前にコンプライアンス allow リストを設定する方法について説明します。

コンプライアンス許可(Allow)リストの概要

コンプライアンスallowリストallowリストと省略されることもある)は、どのオペレーティングシステム、アプリケーション(Web とクライアント)、およびプロトコルがネットワーク上のホストで許可されるかを指定する一連の条件です。システムはホストがこのリストにないとイベント(違反)を生成します。

コンプライアンスallowリストには 2 つの主要な構成要素があります。

  • ターゲットは、コンプライアンス評価の対象として選択するホストです。サブネット、VLAN、およびホスト属性で制約して、全部または一部のモニター対象ホストを評価できます。マルチドメイン展開では、ドメインと、ドメイン内またはドメインをまたいだサブネットを対象にすることができます。

  • ホスト プロファイルは、ターゲットのコンプライアンス基準を指定します。グローバル ホスト プロファイルはオペレーティング システムに依存しません。また、各オペレーティングシステム専用のホストプロファイルを設定できます。これは、単一のallowリスト専用としても、複数のallowリストの共有プロファイルとしても設定できます。

Talos インテリジェンスグループ は、推奨設定が指定されたデフォルトのallowリストを提供しています。カスタムallowリストを作成することもできます。単純なカスタムリストでは、特定のオペレーティングシステムを実行するホストのみを許可できます。より複雑なリストでは、すべてのオペレーティングシステムを許可するとともに、特定のポートで特定のアプリケーションプロトコルを実行する際にホストが使用する必要のあるオペレーティングシステムを指定できます。


(注)  


システムは、エクスポートされた NetFlow レコードからネットワークマップにホストを追加できますが、これらのホストに使用できる情報は限られます(NetFlow データと管理対象デバイス データの違いを参照)。この制限は、コンプライアンスallowリストの作成方法に影響する場合があります。


コンプライアンス許可(Allow)リストの実装

allowリストを実装するには、アクティブな相関ポリシーにリストを追加します。システムはターゲットを評価し、対応する属性を各ホストに割り当てます。

  • 準拠(Compliant):ホストはリストに違反していません。

  • 非準拠(Non-Compliant):ホストはリストに違反しています。

  • 評価されていない(Not Evaluated):ホストがリストのターゲットではないか、現在評価中であるか、またはシステムに十分な情報がないためホストが準拠しているかどうかを判断できません。


(注)  


ホスト属性を削除するには、対応するallowリストを削除します。1 つのallowリストを非アクティブ化、削除、または相関ポリシーから削除しても、各ホストのホスト属性は削除されず、属性の値が変更されることもありません。


最初の評価後、モニター対象ホストがアクティブなallowリストに違反するたびにallowリストイベントが生成されます。また、allowリスト違反が記録されます。

ワークフロー、ダッシュボード、およびネットワークマップを使用して、システム全体のコンプライアンス アクティビティをモニターし、個々のホストがallowリストにいつどのように違反したのかを判断できます。修復およびアラートでこのような違反に自動的に応答することもできます。

例:Web サーバーへの HTTP の制限

セキュリティ ポリシーは、Web サーバーのみが HTTP を実行できることを指定しています。HTTP を実行しているホストを特定するために Web ファーム以外のネットワーク全体を評価するallowリストを作成します。

ネットワーク マップとダッシュボードを使用して、ネットワークのコンプライアンスの概要を一目で把握できます。数秒で、ポリシーに違反して HTTP を実行している組織内のホストを正確に特定して適切に対処できます。

その後で、相関機能を使用して、Web ファーム内に存在しないホストが HTTP の実行を開始するたびに警告するようにシステムを設定できます。

コンプライアンス許可(Allow)リストのターゲットネットワーク

ターゲットネットワークは、コンプライアンス評価の対象となるホストを指定します。allowリストには、複数のターゲットネットワークを含めることができ、いずれかのターゲットの基準を満たすホストが評価されます。

最初は、ターゲット ネットワークは IP アドレスまたはアドレス範囲で制約されています。マルチドメイン展開では、初期の制約にドメインも含まれます。

システム提供のデフォルトのallowリストでは、すべてのモニター対象ホスト(0.0.0.0/0 および ::/0)がターゲット設定されています。マルチドメイン展開では、デフォルトのallowリストはグローバルドメインに制約されています(グローバルドメインでのみ使用可能です)。

ホストがallowリストに対して有効ではなくなるようにターゲットネットワークまたはホストを変更すると、ホストはこのリストで評価されなくなり、準拠と非準拠のいずれとしても見なされなくなります。

ターゲット ネットワークの調査と改善

allowリストにターゲットネットワークを追加すると、システムにより、準拠ホストの特徴を確認できるようにネットワークマップを調査するよう求められます。調査により、ターゲットは、調査済みのホストを表すallowリストに追加されます。

サブネットまたは個別のホストを調査できます。マルチドメイン展開では、ドメイン全体を調査することも、ドメインをまたいで調査することもできます。先祖ドメインを調査すると、システムによってこのドメインの子孫が調査されます。

追加されたターゲットに加えて、調査では、調査で検出されたオペレーティングシステムごとに 1 つのホストプロファイルがallowリストに入力されます。デフォルトで、これらのホスト プロファイルは、システムが該当するオペレーティング システム上で検出したクライアント、アプリケーション プロトコル、Web アプリケーション、およびプロトコルのすべてを許可します。

ターゲット ネットワークを調査(または調査をスキップ)した後、対象を絞り込みます。IP アドレスを使用してホストを除外するか、ホスト属性または VLAN によりターゲット ネットワークを制約します。

コンプライアンス許可(Allow)リストを使用したドメインの対象化

マルチドメイン展開では、ドメインとターゲット ネットワークは密接にリンクされています。

  • リーフドメインの管理者は、自分のリーフドメイン内のホストを評価するallowリストを作成できます。

  • 上位ドメインの管理者は、ドメインをまたいでホストを評価するallowリストを作成できます。同じ allow リストで、異なるドメイン内の異なるサブネットを対象にできます。

グローバル ドメインの管理者であり、展開全体の Web サーバに同じコンプライアンス基準を導入する必要があるというシナリオを考えてみます。コンプライアンス基準を定義するグローバルドメインに 1 つのallowリストを作成できます。次に、各リーフドメイン内の Web サーバーの IP スペース(または個別の IP アドレス)を指定するターゲットネットワークを使用して、allowリストを制約します。


(注)  


リーフ ドメインの IP アドレスと範囲を対象にすることに加えて、上位のドメインを使用してターゲット ネットワークを制約することもできます。上位ドメインのサブネットを対象にすることにより、子孫リーフ ドメインの同じサブネットが対象となります。 システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。


コンプライアンス 許可(Allow) リストのホストプロファイル

コンプライアンス allow リストにおいて、ホストプロファイルは、ターゲットホスト上で実行を許可するオペレーティングシステム、クライアント、アプリケーションプロトコル、Web アプリケーション、およびプロトコルを指定します。コンプライアンス allow リストで使用できるホストプロファイルは 3 種類あります。3 種類のホストプロファイルはそれぞれ、エディタ上での表示が異なります。

表 1. コンプライアンス 許可(Allow) リストのホストプロファイルタイプ

ホスト プロファイル タイプ

表示

説明

グローバル

すべてのオペレーティング システム

オペレーティング システムに関係なく、ターゲット ホスト上で実行が許可されている内容を指定します。

オペレーティング システム別

プレーン テキストで表示

特定のオペレーティング システムを使用するターゲット ホスト上で実行が許可されている内容を指定します。

共有

イタリックで表示

複数の allow リストで使用可能なオペレーティングシステム条件を指定します。

オペレーティング システム固有のホスト プロファイル

コンプライアンスallowリストでは、オペレーティングシステム固有のホストプロファイルで、ネットワーク上での実行を許可するオペレーティングシステムだけでなく、それらのオペレーティングシステム上での実行を許可するアプリケーションプロトコル、クライアント、Web アプリケーション、およびプロトコルも指定します。

たとえば、準拠ホストでは Microsoft Windows の特定のバージョンを実行することを要件にすることができます。別の例として、SSH の実行を Linux ホストのポート 22 で許可した上で、SSH クライアントのベンダーとバージョンをさらに制限することもできます。

ネットワーク上での実行を許可するオペレーティング システムごとに 1 つのホスト プロファイルを作成します。ネットワーク上でオペレーティング システムを禁止する場合は、そのオペレーティング システム用のホスト プロファイルを作成しないでください。たとえば、ネットワーク上のすべてのホストで Windows が実行されるようにするには、そのオペレーティングシステム用のホストプロファイルのみを含めるようにallowリストを設定します。


(注)  


未確認ホストは、確認されるまで、すべてのallowリストに準拠していると見なされます。ただし、不明ホストのallowリストホストプロファイルを作成することはできます。未確認ホストとは、オペレーティング システムを識別するために十分な情報が収集されていないホストのことです。不明ホストとは、既知のフィンガープリントと一致しないオペレーティング システムを使用しているホストのことです。


共有ホスト プロファイル

コンプライアンスallowリストでは、共有ホストプロファイルが特定のオペレーティングシステムに関連付けられますが、それぞれの共有ホストプロファイルを複数のallowリスト内で使用できます。

たとえば、世界中にオフィスがあり、拠点ごとに別々のallowリストを使用する一方、Apple Mac OS X を実行しているすべてのホストに対しては常に同じプロファイルを使用するとします。その場合、該当するオペレーティングシステム用の共有プロファイルを作成し、そのプロファイルをすべてのallowリストで使用するという方法があります。

デフォルトallowリストでは、組み込みホストプロファイルと呼ばれる特殊なカテゴリの共有ホストプロファイルが使用されます。これらのプロファイルは、組み込みのアプリケーション プロトコル、Web アプリケーション、プロトコル、クライアントを使用します。コンプライアンスallowリストエディタでは、システムはこれらのプロファイルを組み込みホストプロファイルアイコンで示します。

マルチドメイン展開では、現在のドメインで作成された共有ホスト プロファイルが表示されます。このプロファイルは編集できます。先祖ドメインで作成された共有ホスト プロファイルも表示されますが、これは編集できません。下位のドメインで作成された共有ホスト プロファイルを表示および編集するには、そのドメインに切り替えます。


(注)  


共有ホストプロファイル(ビルトインを含む)を変更した場合、またはビルトイン アプリケーション プロトコル、プロトコル、クライアントを変更した場合、これらのプロファイルを使用するすべてのallowリストに影響します。意図しない変更を加えた場合や、該当する組み込みの要素を削除した場合は、工場出荷時の初期状態にリセットできます。


許可(Allow)リスト違反のトリガー

ホストのallow リスト コンプライアンスは、システムで次のことが発生すると変化する場合があります。

  • ホストのオペレーティング システムの変更を検出

  • ホストのオペレーティング システムまたはホスト上のアプリケーション プロトコルに関するアイデンティティの競合を検出

  • ホスト上でアクティブになっている新しい TCP サーバ ポート(SMTP または Web サーバによって使用されるポートなど)、または、ホスト上で実行中の新しい UDP サーバを検出

  • ホスト上で実行中の検出された TCP サーバまたは UDP サーバで、アップグレードのためのバージョン変更などの変更を検出

  • ホスト上で実行中の新しいクライアント アプリケーションまたは Web アプリケーションを検出

  • クライアント アプリケーションまたは Web アプリケーションを非アクティブを理由にそのデータベースからドロップ

  • ホストが新しいネットワークまたはトランスポート プロトコルと通信していることを検出

  • 新しいジェイルブレイクされたモバイル デバイスを検出

  • ホスト上で TCP ポートまたは UDP ポートが閉じられたか、タイムアウトしたことを検出

さらに、ホスト入力機能またはホスト プロファイルを使用して次の操作を実行することによって、ホストのコンプライアンスの変化をトリガーできます。

  • ホストにクライアント、プロトコル、またはサーバを追加する

  • ホストからクライアント、プロトコル、またはサーバを削除する

  • ホストのオペレーティング システム定義を設定する

  • ホストが有効なターゲットでなくなるようにホストのホスト属性を変更する


(注)  


非常に多数のイベントが発生しないように、システムでは、その最初の評価に基づいて非準拠のホストにallowリストイベントを生成せず、またユーザーがアクティブなallowリストまたは共有ホストプロファイルを変更した結果としてホストを非準拠にしません。ただし、違反は記録されます。すべての非準拠ターゲットに対してallowリストイベントを生成する場合は、検出データを消去してください。ネットワークアセットを再検出すると、allowリストイベントをトリガーすることがあります。


オペレーティングシステムのコンプライアンス

allowリストで Microsoft Windows ホストのみがネットワーク上で許可されるように指定されている場合、システムでは、Mac OS X を実行中のホストを検出するとallowリストイベントを生成します。さらに、allowリストに関連付けられているホスト属性が、そのホストに関して [準拠(Compliant)] から [非準拠(Non-Compliant)] に変更されます。

この例のホストが準拠に復帰するには、次のいずれかが行われる必要があります。

  • Mac OS X オペレーティングシステムを許可するようにallowリストを編集する

  • ホストのオペレーティング システム定義を手動で Microsoft Windows に変更する

  • オペレーティング システムが変更されて Microsoft Windows に戻ったことをシステムが検出する

非準拠のアセットをネットワークマップから削除する

allowリストで FTP の使用が許可されていない場合に、アプリケーションプロトコルのネットワークマップ、またはイベントビューから FTP を削除すると、FTP を実行中のホストは準拠になります。ただし、システムがアプリケーションプロトコルをもう一度検出すると、allowリストイベントが生成され、ホストは非準拠になります。

完全な情報に基づいてのみトリガーを実行

allowリストでポート 21 で TCP FTP トラフィックだけを許可していた場合、システムでポート 21/TCP で不明なアクティビティを検出すると、allowリストはトリガーを実行しません。allowリストがトリガーを実行するのは、システムがトラフィックを FTP 以外のトラフィックとして識別するか、またはユーザーがホスト入力機能を使用してトラフィックを非 FTP トラフィックとして指定した場合だけです。システムは、部分的な情報のみを使用して違反を記録することはありません。

コンプライアンスの要件と前提条件

モデルのサポート

任意(Any)

サポートされるドメイン

任意

ユーザの役割

  • 管理者

コンプライアンス許可(Allow)リストの作成

コンプライアンスallowリストを作成する際には、ネットワークを調べて最初のターゲットを作成するよう求めるプロンプトが表示されます。これは、コンプライアンスに準拠するホストの特徴を指定するのに役立ちます。

手順


ステップ 1

[ポリシー(Policies)] > [相関(Correlation)] を選択し、[許可リスト(Allow List)] をクリックします。

ステップ 2

[新規(New)] 許可リスト(Allow List) をクリックします。

ステップ 3

必要に応じて、最初のターゲット ネットワークの [IP アドレス(IP Address)] および [ネットマスク(Netmask)] を入力します。マルチドメイン導入では、ターゲット ネットワークが存在する [ドメイン(Domain)] を選択します。

ヒント

 

モニタリング対象のネットワーク全体を調査するには、デフォルト値の 0.0.0.0/0 と ::/0 を使用します。

(注)  

 

ターゲット ネットワークのドメインを選択した後は、ドメインを変更できません。より高いレベルのドメインのサブネットをターゲットにすると、子孫リーフ ドメイン内の同じサブネットがターゲットになります。 システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。

ステップ 4

ターゲット ネットワークを追加します。

  • [追加(Add)]:調査せずにターゲット ネットワークを追加する場合は、[追加(Add)] をクリックします。
  • [ネットワークの追加および調査(Add and Survey Network)]:ターゲット ネットワークを追加して調査する場合は、[ネットワークの追加および調査(Add and Survey Network)] をクリックします。
  • [スキップ(Skip)]:ネットワークを調査せずにallowリストを作成する場合は、[スキップ(Skip)] をクリックします。

ステップ 5

必要に応じて、allowリストの新しい [名前(Name)] および [説明(Description)] を入力します。

ステップ 6

必要に応じて、[脱獄モバイル デバイスを許可(Allow Jailbroken Mobile Devices)] を選択して、ネットワークで脱獄モバイル デバイスを許可します。このオプションを無効にすると、ジェイルブレイク済みデバイスによってallowリスト違反が生成されます。

ステップ 7

コンプライアンス 許可(Allow) リストのターゲットネットワークの設定の説明に従って、1 つ以上の [ターゲットネットワーク(Target Network)] allowリストに追加します。

ステップ 8

[許可されるホスト プロファイル(Allowed Host Profiles)] を使用して、準拠ホストの特徴を指定します。

  • グローバル ホスト プロファイル:allowリストのグローバル ホスト プロファイルを編集するには、[任意のオペレーティングシステム(Any Operating System)] をクリックし、許可(Allow) リスト ホスト プロファイルの作成の説明に従います。

  • 調査済みプロファイルの編集:ネットワーク調査によって作成された既存のオペレーティング システム固有のホスト プロファイルを編集するには、その名前をクリックし、許可(Allow) リスト ホスト プロファイルの作成の説明に従います。

  • 新規プロファイルの作成:このallowリストに新しいオペレーティングシステム固有のホストプロファイルを作成するには、[許可されるホストプロファイル(Allowed Host Profiles)] の隣にあるAdd ( add icon)をクリックし、許可(Allow) リスト ホスト プロファイルの作成の説明に従います。

  • 共有ホストプロファイルの追加:allowリストに既存の共有ホストプロファイルを追加するには、[共有ホストプロファイルの追加(Add Shared Host Profile)] をクリックし、追加する共有ホストプロファイルを選択して、[OK] をクリックします。共有ホスト プロファイルは斜体で表示されます。

ステップ 9

[保存(Save)] 許可リスト(Allow List)をクリックします。


次のタスク

  • 相関ポリシーの設定の説明に従って、アクティブな相関ポリシーにallowリストを追加します。システムはすぐにallowリストの評価および違反の生成を開始します。

コンプライアンス 許可(Allow) リストのターゲットネットワークの設定

ターゲット ネットワークを追加するときには、ターゲット ネットワークを調査して、準拠しているホストを特定することができます。この調査によって、調査で検出された各オペレーティングシステムの 1 つのホストプロファイルがallowリストに追加されます。これらのホスト プロファイルは、システムが該当するオペレーティング システム上で検出したクライアント、アプリケーション プロトコル、Web アプリケーション、およびプロトコルのすべてを許可します。

手順


ステップ 1

コンプライアンス allow リスト エディタで、[ターゲットネットワークの追加(Add Target Network)] をクリックします。

ステップ 2

ターゲット ネットワークの [IP アドレス(IP Address)] と [ネットマスク(Netmask)] を入力します。

ステップ 3

マルチドメイン展開では、ターゲット ネットワークが存在する [ドメイン(Domain)] を選択します。

(注)  

 

ターゲット ネットワークのドメインを選択した後は、ドメインを変更できません。より高いレベルのドメインのサブネットをターゲットにすると、子孫リーフ ドメイン内の同じサブネットがターゲットになります。 システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。

ステップ 4

ターゲット ネットワークを追加します。

  • 追加(Add):調査なしでターゲット ネットワークを追加するには、[追加(Add)] をクリックします。
  • ネットワークの追加と調査(Add and Survey Network):ターゲット ネットワークを追加および調査するには、[ネットワークの追加と調査(Add and Survey Network)] をクリックします。

ステップ 5

必要に応じて、新しいターゲットをクリックしてさらに構成します。

  • 名前(Name):新しい [名前(Name)] を入力します。

  • ネットワークの追加(Add Networks):追加のホストをターゲットにするには、Add ( add icon) をクリックして、[IPアドレス(IP Address)] と [ネットマスク(Netmask)] を入力します。ネットワークをallow リスト コンプライアンスから除外するには、[除外(Exclude)] を選択します。

  • ホスト属性の追加(Add Host Attributes):特定のホスト属性を持つホストをターゲットにするには、Add ( add icon) をクリックして、[属性(Attribute)] とその [値(Value)] を指定します。

  • VLANの追加(Add VLANs):VLAN をターゲットにするには、Add ( add icon) をクリックして VLAN 番号を入力します(802.1q VLAN の場合)。

  • 削除(Delete):ターゲット制限を削除するには、[削除(Delete)]([削除(Delete)] アイコン をクリックします。

ステップ 6

前回の保存以降に行ったすべての変更をすぐに実装するには、[許可リスト(Allow List)の保存(Save White List)] をクリックします。


許可(Allow) リスト ホスト プロファイルの作成

ホストプロファイルは、ターゲットホスト上での実行を許可するオペレーティングシステム、クライアント、アプリケーションプロトコル、Web アプリケーション、およびプロトコルといった、allow リストの適合基準を指定します。

すべての allow リストには、オペレーティングシステムに依存しないグローバル ホスト プロファイルがあります。たとえば、Mozilla Firefox を許可するように複数の Microsoft Windows ホスト プロファイルと Linux ホスト プロファイルを編集する代わりに、検出されたオペレーティング システムに関係なく、Firefox を許可するようにグローバル ホスト プロファイルを設定できます。

また、各オペレーティングシステム専用のホストプロファイルを設定できます。これは、単一の allow リスト専用としても、複数の allow リストの共有プロファイルとしても設定できます。


(注)  


共有ホストプロファイル(ビルトインを含む)を変更した場合、またはビルトイン アプリケーション プロトコル、プロトコル、クライアントを変更した場合、これらのプロファイルを使用するすべてのallowリストに影響します。意図しない変更を加えた場合や、該当する組み込みの要素を削除した場合は、工場出荷時の初期状態にリセットできます。


始める前に

手順


ステップ 1

allow リスト適合ホストプロファイルエディタで、以下のホストプロファイルを設定します。

  • 名前:[名前(Name)] を入力します。

  • オペレーティング システム:ホスト プロファイルを特定のオペレーティング システム専用にするには、[OS ベンダ(OS Vendor)]、[OS 名(OS Name)]、[バージョン(Version)] ドロップダウンリストを使用します。グローバルホストプロファイルはすべてのオペレーティング システムを実行するホストへ適用されることを目的としたプロファイルであるため、これに制限を設定することはできません。

  • アプリケーションプロトコル:アプリケーションプロトコルを許可するには、Add ( add icon) をクリックしコンプライアンス許可(Allow)リストへのアプリケーションプロトコルの追加の説明に従います。

  • クライアント:クライアントを許可するには、Add ( add icon) をクリックしコンプライアンス許可(Allow)リストへのクライアントの追加の説明に従います。

  • Web アプリケーション:Web アプリケーションを許可するには、Add ( add icon) をクリックしコンプライアンス許可(Allow)リストへの Web アプリケーションの追加の説明に従います。

  • プロトコル:プロトコルを許可するには、Add ( add icon) をクリックしコンプライアンス許可(Allow)リストへのプロトコルの追加の説明に従います。

  • 削除:一度許可した項目への許可を解除するには、[削除(Delete)]([削除(Delete)] アイコン をクリックします。

  • プロパティの編集:許可されているアプリケーション プロトコルのプロパティ、クライアント、プロトコルを編集するには、その名前をクリックします。変更は、変更した要素を使用する各ホストプロファイルに反映されます。

ヒント

 

プロファイルに一致するホストにすべてのアプリケーションプロトコル、クライアント、web アプリケーションを許可するには、該当する [すべて許可(Allow all...)] チェックボックスを選択します。

ステップ 2

最後の保存以降に施した変更をすぐに適用するには、[許可リストの保存(Save 許可リスト(Allow List))](または、共有ホストプロファイルを編集している場合は [すべてのプロファイルを保存(Save All Profiles)])をクリックします。


コンプライアンス許可(Allow)リストへのアプリケーションプロトコルの追加

allowリストホストプロファイルを使用して、グローバルにまたは特定のオペレーティングシステムに対して、アプリケーションプロトコルを許可できます。オプションで、ポート、ベンダー、バージョンによって、アプリケーション プロトコルを制限できます。たとえば、ポート 22/TCP で、Linux ホスト上で実行する OpenSSH の特定のバージョンを許可することができます。

手順

ステップ 1

コンプライアンスallowリストホストプロファイルを作成または変更しているときに、[許可されるアプリケーションプロトコル(Allowed Application Protocols)](またはグローバル ホスト プロファイルを変更している場合は [グローバルに許可されるアプリケーションプロトコル(Globally Allowed Application Protocols)])の横にある Add ( add icon) をクリックします。

ステップ 2

次の 2 つの対処法があります。

  • 許可するアプリケーション プロトコルが表示されたら、これらを選択します。Web インターフェイスには、allowリストによって、過去に許可されたアプリケーションプロトコル、または今許可しようとしているアプリケーションプロトコルが表示されます。

  • リストにないアプリケーション プロトコルを許可するには、[<新規アプリケーション プロトコル>(<New Application Protocol>)] を選択し、[OK] をクリックしてアプリケーション プロトコル エディタを表示します。許可するアプリケーション プロトコル [タイプ(Type)] と [プロトコル(Protocol)] を選択します。オプションで、[ポート(port)]、[ベンダー(Vendor)]、[バージョン(Version)] によって、アプリケーション プロトコルを制限します。

    (注)  

     

    アプリケーションのテーブル ビューに表示されているとおり正確にベンダーやバージョンを入力する必要があります。ベンダーまたはバージョンを指定しなかった場合は、タイプとプロトコルが一致している限り、allowリストではすべてのベンダーとバージョンが許可されます。

ステップ 3

[OK] をクリックします。

ステップ 4

前回の保存以降に行ったすべての変更をすぐに実装するには、[許可リスト(Allow List)の保存(Save White List)] をクリックします。


コンプライアンス許可(Allow)リストへのクライアントの追加

allowリスト ホスト プロファイルを使用して、グローバルにまたは特定のオペレーティングシステムに対して、クライアントを許可できます。オプションで、クライアントを特定のバージョンに限定することができます。たとえば、Microsoft Windows ホスト上での実行を Microsoft Internet Explorer 10 のみに許可することができます。

手順

ステップ 1

コンプライアンスallowリスト ホスト プロファイルを作成または変更しているときに、[許可されるクライアント(Allowed Clients)](またはグローバル ホスト プロファイルを変更している場合は [グローバルに許可されるクライアント(Globally Allowed Clients)])の横にあるAdd ( add icon)をクリックします。

ステップ 2

次の 2 つの対処法があります。

  • 許可するクライアントが表示されたら、これらを選択します。Web インターフェイスには、allowリストによって、過去に許可されたクライアント、または今許可しようとしているクライアントが表示されます。

  • リストにないクライアントを許可するには、[<新規クライアント>(<New Client>)] を選択し、[OK] をクリックしてクライアント エディタを表示します。ドロップダウン リストから許可する [クライアント(Client)] を選択し、オプションで許可するクライアントの [バージョン(Version)] を制限します。

    (注)  

     

    クライアントのテーブル ビューに表示されているとおり正確にバージョンを入力する必要があります。バージョンを指定しない場合、すべてのバージョンが許可されます。

ステップ 3

[OK] をクリックします。

ステップ 4

前回の保存以降に行ったすべての変更をすぐに実装するには、[許可リスト(Allow List)の保存(Save White List)] をクリックします。


コンプライアンス許可(Allow)リストへの Web アプリケーションの追加

allowリストホストプロファイルを使用して、グローバルにまたは特定のオペレーティングシステムに対して、Web アプリケーションを許可できます。

手順

ステップ 1

コンプライアンスallowリストホストプロファイルを作成または変更しているときに、[許可されるWebアプリケーション(Allowed Web Applications)](またはグローバル ホスト プロファイルを変更している場合は [グローバルに許可されるWebアプリケーション(Globally Allowed Web Applications)])の横にあるAdd ( add icon)をクリックします。

ステップ 2

許可する Web アプリケーションを選択します。

ステップ 3

[OK] をクリックします。

ステップ 4

前回の保存以降に行ったすべての変更をすぐに実装するには、[許可リスト(Allow List)の保存(Save White List)] をクリックします。


コンプライアンス許可(Allow)リストへのプロトコルの追加

allowリスト ホスト プロファイルを使用して、グローバルにまたは特定のオペレーティングシステムに対して、プロトコルを許可できます。ARP、IP、TCP、UDP は、常にすべてのホスト上での実行が許可されます。これらを禁止することはできません。

手順

ステップ 1

コンプライアンスallowリスト ホスト プロファイルを作成または変更しているときに、[許可されるプロトコル(Allowed Protocols)](またはグローバル ホスト プロファイルを変更している場合は [グローバルに許可されるプロトコル(Globally Allowed Protocols)])の横にある Add ( add icon) をクリックします。

ステップ 2

次の 2 つの対処法があります。

  • 許可するプロトコルが表示されたら、これらを選択します。Web インターフェイスには、allowリストによって、過去に許可されたプロトコル、または今許可しようとしているプロトコルが表示されます。

  • リストにないプロトコルを許可するには、[<新規プロトコル>(<New Protocol>)] を選択し、[OK] をクリックしてプロトコル エディタを表示します。[タイプ(Type)] ドロップダウン リストから、プロトコル タイプ([ネットワーク(Network)] や [トランスポート(Transport)])を選択し、ドロップダウン リストから [プロトコル(Protocol)] を選択します。

    ヒント

     

    リスト内に存在しないプロトコルを指定するには、[その他 (手動入力)(Other (manual entry))] を選択します。ネットワーク プロトコルの場合は、http://www.iana.org/assignments/ethernet-numbers/ に記載されている適切な番号を入力します。トランスポート プロトコルの場合は、http://www.iana.org/assignments/protocol-numbers/ に記載されている適切な番号を入力します。

ステップ 3

[OK] をクリックします。

ステップ 4

前回の保存以降に行ったすべての変更をすぐに実装するには、[許可リスト(Allow List)の保存(Save White List)] をクリックします。


コンプライアンス 許可(Allow) リストの管理

[許可(Allow)リスト(White List)] ページは、コンプライアンス allow リストと共有ホストプロファイルの管理に使用できます。デフォルト allow リストは、推奨設定を表すものであり、組み込みホストプロファイルと呼ばれる特殊なカテゴリの共有ホストプロファイルを使用します。

マルチドメイン展開では、現在のドメインで作成されたコンプライアンス allow リストが表示されます。これは、編集が可能なリストです。また、先祖ドメインからの選択したallowリストも表示されますが、これは編集できません。下位のドメインで作成されたallow リストを表示および編集するには、そのドメインに切り替えます。


(注)  


設定に無関係なドメイン(名前、管理対象デバイスなど)に関する情報が公開されている場合、システムは先祖ドメインからの設定を表示しません。デフォルト allow リストは、グローバルドメインでのみ使用できます。


手順


ステップ 1

[ポリシー(Policies)] > [相関(Correlation)] を選択し、[許可リスト(Allow List)] をクリックします。

ステップ 2

コンプライアンス allow リストを管理します。

  • 作成:新しいallowリストを作成するには、[新規許可リスト(Allow List)(New White List)] をクリックして、コンプライアンス許可(Allow)リストの作成で説明する手順を実行します。

  • 削除:使用していないallowリストを削除するには、[削除(Delete)]([削除(Delete)] アイコン をクリックして、allowリストの削除を確認します。また、allowリストを削除すると、ネットワーク上のすべてのホストから、そのリストに関連付けられたホスト属性も削除されます。 コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

  • 編集:既存のallowリストを変更するには、[編集(Edit)] [編集(edit)] アイコン をクリックし、コンプライアンス 許可(Allow) リストの編集で説明する手順を実行します。 代わりに [表示(View)]([表示(View)] ボタン が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

  • 共有ホストプロファイル:allowリストの共有ホストプロファイルを管理するには、[共有プロファイルの編集(Edit Shared Profiles)] をクリックして、共有ホスト プロファイルの管理で説明する手順を実行します。


コンプライアンス 許可(Allow) リストの編集

アクティブな相関ポリシーに含まれるコンプライアンス allow リストを修正して保存すると、システムは、allowリストのターゲットネットワークのホストのコンプライアンスを再評価します。この再評価で一部のホストがコンプライアンス準拠または違反とされた場合でも、allowリストイベントは生成されません。

手順


ステップ 1

[ポリシー(Policies)] > [相関(Correlation)] を選択し、[許可リスト(Allow List)] をクリックします。

ステップ 2

変更するallowリストの横にある [編集(Edit)] [編集(edit)] アイコン をクリックします。

代わりに [表示(View)]([表示(View)] ボタン が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

ステップ 3

コンプライアンス allow リストを編集します。

  • 名前と説明:名前または説明を変更するには、左側のパネルでallowリストの名前をクリックしてallowリストの基本情報を表示し、新しい情報を入力します。

  • ジェイルブレイクされたデバイスの許可:ネットワーク上でジェイルブレイクされたモバイルデバイスを許可するには、左側のパネルでallowリストの名前をクリックしてallowリストの基本情報を表示し、[ジェイルブレイクされたモバイルデバイスを許可(Allow Jailbroken Mobile Devices)] を有効にします。このオプションを無効にすると、ジェイルブレイク済みデバイスによってallowリスト違反が生成されます。

  • 許可されるホストプロファイルの追加:このallowリストに新しいオペレーティングシステム固有のホストプロファイルを作成するには、[許可されるホストプロファイル(Allowed Host Profiles)] の隣にある Add ( add icon) をクリックし、許可(Allow) リスト ホスト プロファイルの作成の説明に従います。

  • 共有ホストプロファイルの追加:allowリストに既存の共有ホストプロファイルを追加するには、[共有ホストプロファイルの追加(Add Shared Host Profile)] をクリックし、追加する共有ホストプロファイルを選択して [OK] をクリックします。共有ホスト プロファイルは斜体で表示されます。

  • ターゲットネットワークの追加:ホストを調査することなく新しいターゲットネットワークを追加するには、ターゲットネットワークの横にある Add ( add icon) をクリックし、コンプライアンス 許可(Allow) リストのターゲットネットワークの設定の説明に従って続行します。

  • ホストプロファイルの削除:allowリストから共有またはオペレーティングシステム固有のホストプロファイルを削除するには、ホストプロファイルの横にある [削除(Delete)]([削除(Delete)] アイコン をクリックし、選択内容を確認します。共有ホストプロファイルを削除すると、それがallowリストから除外されますが、プロファイルは削除されず、それを使用する他のallowリストからも除外されません。allowリストのグローバル ホスト プロファイルは削除できません。

  • ターゲットネットワークの削除:allowリストからターゲットネットワークを削除するには、ネットワークの横にある [削除(Delete)]([削除(Delete)] アイコン をクリックし、選択内容を確認します。

  • グローバル ホスト プロファイルの編集:allowリストのグローバル ホスト プロファイルを編集するには、[任意のオペレーティングシステム(Any Operating System)] をクリックし、許可(Allow) リスト ホスト プロファイルの作成の説明に従います。

  • 他のホスト プロファイルの編集:共有またはオペレーティング システム固有のホスト プロファイルを編集するには、ホスト プロファイルの名前をクリックし、許可(Allow) リスト ホスト プロファイルの作成の説明に従って続行します。

  • ターゲット ネットワークの編集:ターゲット ネットワークを編集するには、ネットワークの名前をクリックし、コンプライアンス 許可(Allow) リストのターゲットネットワークの設定の指示に従って続行します。

ステップ 4

前回の保存以降に行ったすべての変更をすぐに実装するには、[許可リスト(Allow List)の保存(Save White List)] をクリックします。


共有ホスト プロファイルの管理

コンプライアンスallowリストでは、共有ホストプロファイルが特定のオペレーティングシステムに関連付けられますが、それぞれの共有ホストプロファイルを複数のallowリスト内で使用できます。複数の allow リストを作成するが、同じホストプロファイルを使用して複数の allow リストで特定のオペレーティングシステムを実行するホストを評価する場合は、共有のホストプロファイルを使用します。

マルチドメイン展開では、現在のドメインで作成された共有ホスト プロファイルが表示されます。このプロファイルは編集できます。先祖ドメインで作成された共有ホスト プロファイルも表示されますが、これは編集できません。下位のドメインで作成された共有ホスト プロファイルを表示および編集するには、そのドメインに切り替えます。


(注)  


共有ホストプロファイル(ビルトインを含む)を変更した場合、またはビルトイン アプリケーション プロトコル、プロトコル、クライアントを変更した場合、これらのプロファイルを使用するすべてのallowリストに影響します。意図しない変更を加えた場合や、該当する組み込みの要素を削除した場合は、工場出荷時の初期状態にリセットできます。


手順


ステップ 1

[ポリシー(Policies)] > [相関(Correlation)] を選択し、[許可リスト(Allow List)] をクリックします。

ステップ 2

[共有プロファイルの編集(Edit Shared Profiles)] をクリックします。

ステップ 3

共有ホスト プロファイルを管理します。

  • 共有ホストプロファイルの作成:ホストの調査なしで新しい共有ホストプロファイルを作成するには、[共有ホストプロファイル(Shared Host Profiles)] の横にある Add ( add icon) をクリックし、許可(Allow) リスト ホスト プロファイルの作成で説明する手順を実行します。

  • 調査によるホスト プロファイルの作成:ネットワークの調査によって複数の新しい共有ホスト プロファイルを作成するには、[ターゲット ネットワークの追加(Add Target Network)] をクリックして、コンプライアンス 許可(Allow) リストのターゲットネットワークの設定で説明する手順を実行します。

  • 削除:共有ホストプロファイルを削除するには、[削除(Delete)]([削除(Delete)] アイコン をクリックして、選択内容を確認します。

  • 編集:既存の共有ホスト プロファイル(組み込み共有ホスト プロファイルを含む)を変更するには、そのプロファイルの名前をクリックして、許可(Allow) リスト ホスト プロファイルの作成で説明する手順を実行します。

  • 組み込みのホスト プロファイルのリセット:すべての組み込みホスト プロファイルを工場出荷時の初期状態にリセットするには、[組み込みホストプロファイル(Built-in Host Profiles)] をクリックして、[工場出荷時の初期状態にリセット(Reset to Factory Defaults)] をクリックしてから、選択内容を確認します。

ステップ 4

最後の保存以降に行われたすべての変更をすぐに実装するには、[すべてのプロファイルの保存(Save All Profiles)] をクリックします。