注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
バージョン 2.2.0.0 以降、アプリ制御ウィザードでは、次のイベント ログの種類からアプリ制御ポリシー ルールの作成がサポートされています。
- システム上のアプリ コントロール イベント ログ イベント
- 任意のシステムからエクスポートされたアプリ コントロール イベント (EVTX ファイル)
- 高度なハンティングからエクスポートされたアプリ コントロール イベントMDE
アプリコントロールイベント ビューアーログ解析
システム上の App Control イベント ログからルールを作成するには:
[メイン] ページから [ポリシー エディター] を選択します。
[ イベント ログをアプリ コントロール ポリシーに変換する] を選択します。
[システム イベント ビューアーからポリシーへのイベント ログの解析] ヘッダーの下にある [イベント ログの解析] ボタンを選択します。
ウィザードは、関連する監査イベントを解析し、CodeIntegrity (アプリ制御) 操作ログと AppLocker MSI ログとスクリプト ログからイベントをブロックします。 ウィザードがイベントの読み取りを正常に完了すると、通知が表示されます。
[次へ] ボタンを選択して、監査イベントとブロック イベントを表示し、ルールを作成します。
アプリ コントロール イベント ログ ファイルの解析
App Control .EVTX イベント ログ ファイルからルールを作成するには、次の手順を実行します。
[メイン] ページから [ポリシー エディター] を選択します。
[ イベント ログをアプリ コントロール ポリシーに変換する] を選択します。
[イベント ログ evtx ファイルを ポリシーに解析] ヘッダーの下にある [ ログ ファイルの解析 ] ボタンを選択します。
解析するディスクから App Control CodeIntegrity イベント ログ EVTX ファイルを選択します。
ウィザードは、選択したログ ファイルから関連する監査イベントとブロック イベントを解析します。 ウィザードがイベントの読み取りを正常に完了すると、通知が表示されます。
[次へ] ボタンを選択して、監査イベントとブロック イベントを表示し、ルールを作成します。
高度なハンティング アプリ コントロール イベントの解析をMDEする
高度なハンティングでアプリ コントロール イベントからルールMDE作成するには:
MDE コンソール内の [Advanced Hunting]\(高度なハンティング\) セクションに移動し、App Control イベントに対してクエリを実行します。 ウィザードでは、 Advanced Hunting csv ファイルのエクスポートで次のフィールドが必要です。
| project-keep Timestamp, DeviceId, DeviceName, ActionType, FileName, FolderPath, SHA1, SHA256, IssuerName, IssuerTBSHash, PublisherName, PublisherTBSHash, AuthenticodeHash, PolicyId, PolicyName次の高度なハンティング クエリをお勧めします。
DeviceEvents // Take only App Control events | where ActionType startswith 'AppControlCodeIntegrity' // SigningInfo Fields | extend IssuerName = parsejson(AdditionalFields).IssuerName | extend IssuerTBSHash = parsejson(AdditionalFields).IssuerTBSHash | extend PublisherName = parsejson(AdditionalFields).PublisherName | extend PublisherTBSHash = parsejson(AdditionalFields).PublisherTBSHash // Audit/Block Fields | extend AuthenticodeHash = parsejson(AdditionalFields).AuthenticodeHash | extend PolicyId = parsejson(AdditionalFields).PolicyID | extend PolicyName = parsejson(AdditionalFields).PolicyName // Keep only required fields for the App Control Wizard | project-keep Timestamp,DeviceId,DeviceName,ActionType,FileName,FolderPath,SHA1,SHA256,IssuerName,IssuerTBSHash,PublisherName,PublisherTBSHash,AuthenticodeHash,PolicyId,PolicyName結果ビューで [エクスポート] ボタンを選択して、App Control イベントの結果を エクスポート します。
[メイン] ページから [ポリシー エディター] を選択します。
[ イベント ログをアプリ コントロール ポリシーに変換する] を選択します。
[Parse MDE Advanced Hunting Events to Policy] ヘッダーの下にある [ログ ファイルの解析] ボタンを選択します。
[アプリ コントロール] MDE [Advanced Hunting] を選択して、解析する CSV ファイルをディスクからエクスポートします。
ウィザードは、関連する監査を解析し、選択した高度なハンティング ログ ファイルからのイベントをブロックします。 ウィザードがイベントの読み取りを正常に完了すると、通知が表示されます。
[次へ] ボタンを選択して、監査イベントとブロック イベントを表示し、ルールを作成します。
イベントからのポリシー ルールの作成
[イベント ログ ルールの構成] ページに、一意の App Control ログ イベントが表に表示されます。 イベント ID、ファイル名、製品名、ファイルを監査またはブロックしたポリシー名、およびファイル発行元がすべてテーブルに表示されます。 テーブルは、いずれかのヘッダーをクリックしてアルファベット順に並べ替えることができます。
ルールを作成し、アプリ制御ポリシーに追加するには:
目的の行を選択して、テーブル内の監査イベントまたはブロック イベントを選択します。
ドロップダウンからルールの種類を選択します。 ウィザードでは、Publisher、Path、File Attribute、Packaged App、Hash の各ルールの作成がサポートされています。
ルールの種類に対して指定されたチェック ボックスを使用して、ポリシー ルールに追加する必要がある属性とフィールドを選択します。
[ 許可ルールの追加 ] ボタンを選択して、ウィザードによって生成されたポリシーに構成済みのルールを追加します。 選択した行に [ポリシーに追加] ラベルが表示され、ルールが生成されることを確認します。
[ 次へ ] ボタンを選択してポリシーを出力します。 生成されたら、イベント ログ ポリシーを基本ポリシーまたは補足ポリシーにマージする必要があります。
Warning
Windows を承認するための規則がなく、ブルー スクリーンが発生する可能性があるため、イベント ログ ポリシーを単独で展開することはお勧めしません。