Application Control を監視する

Application Control のアクティビティを監視するには、Fireware Web UI で次の手順を実行します。

  1. ダッシュボード > 登録サービス の順に選択します。
  2. Application Control セクションにスクロール ダウンします。

登録サービス ダッシュボードには、次の情報が表示されます。

  • 実施されたスキャンの数
  • Application Control スキャンにより検出されたアプリケーションの数
  • Application Control スキャンによりブロックされたアプリケーションの数

詳細については、登録サービス を参照してください。

Application Control のアクティビティを監視するには Firebox System Manager と WatchGuard Report Server を使用します。

Firebox System Manager の 登録サービス タブには、WatchGuard デバイスを最後にリスタートしてから発生した Application Control アクティビティに関するデバイスの現在の統計が表示されます。Firebox System Manager で表示可能な Application Control 統計は以下のとおりです。

  • Application Control 署名のインストールされたバージョン
  • Application Control 署名が直近に更新された日付
  • Application Control 署名の使用可能な直近のバージョン
  • 実施されたスキャンの数
  • Application Control スキャンにより検出されたアプリケーションの数
  • Application Control スキャンによりブロックされたアプリケーションの数

詳細については、登録サービスの統計 (登録サービス) を参照してください。

アプリケーション使用を監視する

Application Control の使用を開始するときには、ネットワーク上で使用するアプリケーションをよく理解できるように、すべてのアプリケーションを使用するためのログ メッセージを送信するポリシーをまず構成することをお勧めします。アプリケーションの使用を監視するために、アプリケーション トラフィックに一致するすべてのポリシー用に Application Control およびログ記録を有効にできます。あるポリシー用に Application Control およびログ記録を有効にしたら、そのポリシーを通過したトラフィックのすべてのアプリケーション アクティビティは、グローバル Application Control アクションが空白であっても、ログ データベースに記録され、Application Control レポートで利用できます。

アプリケーションの使用を監視するには:

  1. どのアプリケーションもブロックすることのない Application Control アクションを作成します。
    グローバル アクションは既定では空白であるため、アプリケーションをブロックすることはありません。

詳細については、Application Control アクションを構成する を参照してください。

  1. 空白の Application Control アクションを、監視したいトラフィックを処理するポリシーに適用します。

Application Control を有効にする方法の詳細については、次を参照してください:ポリシーで Application Control を有効化する

構成するポリシーの詳細については、次を参照してください:Application Control のポリシー ガイドライン

  1. Application Control が有効になっている各ポリシーでログ記録を有効にします。

ポリシーでログ記録を有効にする方法の詳細については、ポリシーのログ記録および通知を構成する を参照してください。

Application Control が有効になっている各ポリシーでログ記録を有効にしない場合は、Application Control では、ブロックされているアプリケーションにのみログ情報が保存されます。

Application Control レポートを実行する

Application Control およびポリシーにおけるログ記録を有効化すると、事前定義されたWatchGuard Report を使用してネットワークで使用されているアプリケーションに関する情報を表示できます。Report Manager を使用すると、Report Server が作成した使用可能なレポートを表示する、または新しいオンデマンド レポートまたはクライアント別レポートを作成することができます。

Application Control レポートを作成するには、Log Server および Report Server を設定する必要があります。WatchGuard Server の詳細については、WatchGuard サーバーを設定および管理する を参照してください。

以下の事前定義済み WatchGuard Report は、Application Control で取得できます。

Application Control レポート

  • アプリケーションの用途の概要
  • ユーザー別の上位アプリケーション
  • ホスト別の上位アプリケーション
  • ブロックされた上位ユーザー
  • ブロックされた上位ホスト

クライアント レポート — アプリケーションを使用するユーザーを表示する

  • アプリケーションの用途別の上位クライアント
  • ブロックされたアプリケーション別の上位クライアント
  • ブロックされたカテゴリ別の上位クライアント

ファイアウォールの認証を構成した場合、クライアント レポートにはアプリケーションを使用するユーザー名が表示されます。

アプリケーションをブロックするために Application Control を構成する前に、アプリケーションの用途の概要、とアプリケーションの用途別の上位クライアントのレポートを分析することをお勧めします。

アプリケーションの用途レポートを確認する場合は、以下の質問を検討してみてください。

  • レポートには、企業ポリシーと矛盾しいると考えられるアプリケーション カテゴリはありますか。
  • アプリケーションは、業務で使用するのに適切ですか。
  • どのユーザーがアプリケーションを使用しますか。クライアント別にアプリケーションの使用状況を示すレポートを使用できます。認証機能により、IP アドレスではなくユーザー名別にクライアント レポートを表示できます。Terminal Services 環境でユーザー トラフィックを特定することもできます。

Terminal Services の構成方法の詳細については、Terminal Services 設定を構成する を参照してください。

見慣れないアプリケーションがレポートに表示される場合は、https://securityportal.watchguard.com/Applications から WatchGuard Application Control セキュリティ ポータルにアクセスして、アプリケーションの情報を確認することができます。

関連情報:

Application Control レポート