この記事は、Application Control の監視モードと更新モードの違いを説明します。
MACは、ホワイトリストに登録されている正当な許可されたアプリケーションとファイルのみがシステム上で実行されるようにします。 これは、ホワイトリストおよびメモリ保護機能によって実行されます。
初期のシステムの固定化を実行すると、サポートされているすべてのアプリケーションとファイルのホワイトリストが作成されます。 このホワイトリストは、サポートされているすべてのファイルの実行に対して検証されます。 このプロセスにより、システムがロックダウンされ、次のことを防止します。
- ホワイトリスト外でサポートされているファイルの実行
- ホワイトリスト内でサポートされているファイルの変更
更新モードとは
MAC は、ロックダウンされたシステムを変更または更新するために以下のチャネルを提供します。
- アップデーター プロセス:プロセスは実行中の任意のプログラムです。ホワイトリストに登録された実行可能ファイルまたはスクリプトは、インベントリ(ホワイトリスト)の状態に関係なくサポートされているファイルを変更または実行できるように、アップデーターとして設定できます。 アップデーター プロセスによって実行される変更は、インベントリ(ホワイトリスト)に動的に反映されます。
- アップデーターとしてのユーザーまたは信頼済みユーザー:個別のユーザーを MAC により信頼済みとして設定できます。設定されたユーザーによって実行されるすべての変更は、ロックダウンされたシステムで許可されます。 アップデーターまたは信頼されたユーザーによって実行される変更は、インベントリ(ホワイトリスト)に動的に反映されます。
- 更新モード:更新モードは、システム全体のメンテナンス モードです。更新モードでは、プロセスまたはユーザーによって実行されたすべての変更が許可されます。 システムが更新モードのときに実行される変更は、インベントリ(ホワイトリスト)に動的に反映されます。
注:
- メモリー保護機能は、上記のいずれかのチャンネルを使用してシステムを更新した場合に有効です。
- Application Control オプションポリシーでレピュテーションが有効になっている場合、MACは更新モードの間でも操作をブロックすることができます。
監視モードとは
監視モードのシステムは、ファイルの変更または実行を許可します。監視モードは、Windows OSおよびMAC for Linux 6.2.0-187以降で利用可能です。
注:
監視モードの利点は、MACがファイルの実行や変更を実際に防止することなく、イベントや通知を生成することです。イベントと通知は、有効モードで実行と変更を許可するために必要な設定変更に関する提案とともにePOに報告されます。報告された変更が正当なものであることが確認された後、有効モードまたはロックダウン状態で実行または変更を許可するために、提案された構成変更を適用することができます。
注:
- 類似または一致するシステムの 10% を監視モードにすることをお勧めします。必要な設定変更を特定した後、これらの変更を、類似または一致するソフトウェア構成を持つすべてのホストに適用できます。
- Application Control オプションポリシーでレピュテーションが有効になっている場合、監視モードでも操作をブロックすることができます。
更新モードで変更が許可されている場合、監視モードが必要な理由
MAC には、一般的な既知のアプリケーションを MAC が有効な環境でシームレスに動作させるための、社内で識別されたルールを含むデフォルト ポリシーが付属しています。 ただし、多くの環境では、まだマカフィーによってテストされていないアプリケーションまたはバージョンがあります。 これらのアプリケーションが新しいファイルを作成して実行したり、ホワイトリストに登録されたファイルを変更したりすると、MAC はその動作をブロックします。 これにより、アプリケーションの問題や機能の損失が発生する可能性があります。
アプリケーションがファイルを実行または変更する必要があるたびに、あるいは何らかの監視なしにアプリケーションが変更を加える必要があるたびに、システムを更新モードにすることは現実的ではありません。 監視モードでは、セキュリティリスクを最小限に抑えながらアプリケーションを正しく機能させるために必要な設定変更を判断することで、有効またはロックダウンされた状態でアプリケーションの障害を最小限に抑えることができます。
更新モードと監視モード
更新モードと監視モードは原則と使用方法が大きく異なりますが、両者ともシステム上の変更が可能であるため、類似しているように見えます。さらに区別するために、更新モードと監視モードの性質と使用方法の違いを以下に示します。
- 更新モードでは、システムがメンテナンス(更新)モードの間のみ変更が許可されます。 監視モードでは、変更は許可されますが、更新モードに切り替えることなく、次回も同様の変更を正常に実行するために必要な設定が提案されます。
- 更新モードは、システムが初期化されてロックダウンされた後のシステムの 1 回限りの変更/更新に役立ちます。 更新モードは、ロックされたシステムをシームレスに動作させるために必要な設定を識別するのに役立つ学習機能です。
- 更新モードは、緊急または大幅な変更/更新が必要な場合はいつでも開始できます。 監視モードは、システムが最終的にロックダウンされる前に MAC 固有の設定を識別するために 1 回開始されます。
- 更新モードで行われた変更は、インベントリ(ホワイトリスト)で動的に更新されます。 監視モードで行われた変更は、ユーザーの裁量でインベントリ(ホワイトリスト)で更新されます。
- 更新モードでは、ファイルを一度実行または変更できます。 監視モードで識別された設定により、ファイルは常にシームレスに実行されます。
監視モードでブロックが表示される理由
Application Control オプションのポリシーでレピュテーションが有効になっている場合でも、MACは更新/監視モード中に潜在的に悪意のあるファイルの実行を防止します。TIEレピュテーションのページで低いレピュテーションスコアが与えられている環境でも、必要なアプリケーションは信頼することをお勧めします。GTIからのレピュテーションである場合、テクニカルサポートにサービスリクエストを提出し、解析と検出の抑制を依頼します。