適応型アプリケーション制御ポリシーを実装する
Contoso の IT 運用スタッフは、適応型アプリケーション制御を有効にした後、推奨に対応するためにアプリケーション制御ポリシーを構成する必要があります。
新しいアプリケーション制御ポリシーの構成
新しいアプリケーション制御ポリシーを構成するには、Security Center で次の手順を実行します。
アプリケーション制御の推奨があるグループの一覧を表示するには、[推奨] タブを選択します。
![適応型アプリケーション制御ブレードのスクリーンショット。管理者によって [推奨] タブが選択されている。Security Center によって、アプリケーション制御を適用するための 2 つのマシン グループが推奨されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control.png)
Azure サブスクリプション別に並べ替えられた一覧には、次の情報が含まれています。
列名 説明 グループ名 適切なサブスクリプションを使用して表示されるグループの名前。 マシン グループ内の VM の数。 State 推奨の状態。 重大度 推奨の重大度レベル。 グループを選択したら、[アプリケーション制御規則の構成] ブレードを確認します。
![Azure portal の [アプリケーション制御規則の構成] ブレードのスクリーンショット。推奨されるマシンとアプリケーションの数が表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-2.png)
[マシンの選択] セクションで、推奨される VMの一覧を確認し、アプリケーション許可ポリシーを適用しない VM を選択解除します。
[推奨されるアプリケーション] セクションには、次の表で説明する 2 つのセクションがあります。
セクション名 説明 推奨されるアプリケーション このグループ内の VM 上で頻繁に使用されるアプリケーションで、Security Center によって実行を許可することが推奨されるアプリケーションの一覧です。 その他のアプリケーション このグループ内の VM での使用頻度が低いか、"悪用可能" であることがわかっているために確認することが推奨されるアプリケーションの一覧。 ![Azure portal の [アプリケーション制御規則の構成] ブレードのスクリーンショット。[その他のアプリケーション] セクションにアプリケーションの数が表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-3.png)
各一覧のアプリケーションを確認し、規則を適用しないアプリケーションのチェック ボックスをオフにします。 次の表で、一覧に含まれる情報について説明します。
列名 説明 名前 これは、ファイルの証明書情報またはアプリケーションの完全パスです。 ファイルの種類 これはアプリケーション ファイルの種類です。 これには、実行可能ファイル (.exe)、スクリプト、Microsoft Windows インストーラー (.msi)、またはこれらのファイルの種類の任意の組み合わせが可能です。 悪用可能 警告アイコンは、悪意のあるハッカーが特定のアプリケーションを使用してアプリケーション許可リストをバイパスできるかどうかを示します。 承認する前に、これらのアプリケーションを確認する必要があります。 ユーザー これらは、アプリケーションの実行を許可することが推奨されるユーザーです。 選択を完了したら、[監査] を選択します。
Note
[監査] を選択すると、Security Center によって Windows AppLocker 機能が利用され、Windows Server オペレーティング システムを実行しているサーバーで使用できる組み込みのアプリケーション許可リスト ソリューションの上に適切な規則が自動的に作成されます。
![Azure portal の [アプリケーション制御規則の構成] ブレードのスクリーンショット。推奨されるマシンとアプリケーションの数が表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-2.png#lightbox)
![Azure portal の [アプリケーション制御規則の構成] ブレードのスクリーンショット。[その他のアプリケーション] セクションにアプリケーションの数が表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-3.png#lightbox)
ポリシーを構成するときは、次の表の情報に注意してください。
| 考慮事項 | 説明 |
|---|---|
| 2 週間分のデータが必要 | Security Center では、最低 2 週間分のデータを使用して、VM のグループごとにベースラインを作成し、固有の推奨を提示します。 Security Center の Standard レベルの新しいお客様は、VM グループが最初は [推奨なし] タブに表示されることを想定する必要があります。 |
| 既存の AppLocker ポリシーはサポートされない | Security Center からの適応型アプリケーション制御では、グループ ポリシー オブジェクト (GPO) またはローカル セキュリティ ポリシーを使用して AppLocker ポリシーが既に有効になっている VM はサポートされません。 |
| 発行元規則が優先される | セキュリティのベスト プラクティスとして、Security Center では、許可するように選択されているアプリケーションに対して、発行元規則を常に作成しようとします。 アプリケーションに発行元情報がない (つまり、署名されていない) 場合、特定のアプリケーションの完全パスに対するパスの規則が作成されます。 |
重要
このドキュメントの執筆時点 (2020 年 7 月) では、監査モードのみを利用できます。
アプリケーション制御が構成されたグループの編集と監視を行う
必要なグループを構成したら、グループの編集と監視を行うことができます。 これを行うには、Security Center で次の手順を実行します。
アプリケーション許可リスト ポリシーが構成されたグループの編集と監視を行うには、[適応型アプリケーション制御] ブレードに戻り、[構成済み] を選択します。
![適応型アプリケーション制御ブレードのスクリーンショット。管理者によって [構成済み] タブが選択されている。レビュー グループが表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-4.png)
Azure サブスクリプション別に並べ替えられた一覧には、次の情報が含まれています。
列名 説明 グループ名 グループの名前。適切なサブスクリプションの下に表示されます。 マシン グループ内の VM の数。 保護モード 監査モードでは、許可一覧にないアプリケーションを実行しようとする試みがログに記録されます。 強制モードでは、これらのアプリケーションの実行はまったく許可されません。 アラート 現在の何らかの違反。 変更するグループを選択します。 [アプリケーション制御ポリシーの編集] ブレードが開きます。
グループの設定を変更するには、[グループの設定] を選択します。
![[アプリケーション制御ポリシーの編集] ブレードのスクリーンショット。管理者によって [グループ設定] が選択され、[グループ設定] ブレードも表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-5.png)
[グループ設定] ブレードの [ファイルの種類の保護モード] セクションで、次のファイルの種類の保護モードから選択できます。
- 監査: このモードでは、アプリケーション制御ソリューションによる規則の適用はなく、保護されている VM のアクティビティのみが監査されます。 これは、ターゲット VM でアプリをブロックする前に、全体的な動作を先に観察するシナリオで推奨されます。
- 適用: このモードでは、アプリケーション制御ソリューションによって規則が適用され、実行が許可されていないアプリケーションが確実にブロックされます。
重要
このドキュメントの執筆時点 (2020 年 7 月) では、監査モードのみを利用できます。
[グループへのマシンの追加] セクションで、グループに VM を追加できます。 すべての変更が完了したら、[適用] を選択します。
[アプリケーション制御ポリシーの編集] ブレードに戻り、[最近のアラート] セクションに一覧表示されている現在の違反を確認します。 各行を選択すると、Security Center 内の [アラート] ページにリダイレクトされ、関連付けられた VM で Security Center によって検出されたすべてのアラートが表示されます。
[発行元の許可リストに関する規則]、[パスの許可リストに関する規則]、および [ハッシュの許可リストに関する規則] セクションでは、規則のコレクションの種類に従って、グループ内の VM 上で現在どのアプリケーションの許可リストに関する規則が構成されているかを確認できます。 規則ごとに、[規則]、[ファイルの種類]、[例外]、および [ユーザー] を確認できます。
変更を行った場合は、[保存] を選択します。
推奨なしの一覧
Security Center では、安定した一連のアプリケーションを実行している VM に対するアプリケーション許可ポリシーのみが推奨されます。 次の場合、推奨は作成されません。
- VM に Azure Log Analytics エージェントがインストールされていない。
- エージェントによってイベントが送信されない。
- VM がサポートされていない。
Security Center には、VM とサブスクリプションの情報が一覧表示されます。
ヒント
VM に Azure Log Analytics エージェントをインストールできます。 その後、エージェントによって、Security Center でアプリケーションを制御するために必要なデータが収集されます。
![適応型アプリケーション制御ブレードのスクリーンショット。管理者によって [推奨なし] タブが選択されている。1 台の VM が、エージェントがないか収集されたイベントがないという説明付きで表示されている。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-6.png)
ヒント
Security Center を使用すると、VM の[推奨なし] グループに対するアプリケーション許可ポリシーを定義できます。 前に説明したのと同じ原則に従って、これらのグループにもアプリケーション許可ポリシーを構成します。
VM をあるグループから別のグループに移動する
あるグループから別のグループに VM を移動できます。 VM をあるグループから別のグループに移動すると、適用されていたアプリケーション制御ポリシーが移動先のグループの設定に変更されます。
ヒント
また、構成済みのグループから未構成のグループに VM を移動することもできますが、その結果、VM に適用されていたアプリケーション制御ポリシーが削除されます。
あるグループから別のグループに VM を移動するには、次の手順を実行します。
- [適応型アプリケーション制御] ブレードの [構成済み] タブで、VM が現在属しているグループを選択します。
- [構成済みのマシン] を選択します。
- 省略記号を選択してから、[移動] を選択します。
- [コンピューターを別のグループに移動する] ウィンドウで、VM の移動先のグループを選択し、[コンピューターの移動] を選択して、[保存] を選択します。
![[アプリケーション制御ポリシーの編集] ブレードの [コンピューターの構成] セクションのスクリーンショット。管理者によって省略記号が選択され、[移動] と [削除] のどちらかを選択できる。](../../wwl-azure/create-implement-application-allowlists-adaptive-application-control/media/m5-enable-control-7.png)
注意事項
必ず [コンピューターの移動] を選択した後、[保存] を選択してください。 そうしないと、VM は新しいグループに移動されません。