カスタム EDD ルールを操作する

Endpoint Data Discovery Endpoint Data Discovery ポリシーは、管理中の Windows および Mac デバイスのハードドライブをスキャンして、個人の健康情報、クレジットカード情報、SSN などのファイルの機密情報を調べます。スキャン結果は EDD レポートで報告され、リスクのあるデバイスの特定に役立ちます。 (EDD) ルールは、EDD スキャン中に検出するファイルのコンテンツを定義するものです。独自のカスタム EDD ルールを作成すれば、お客様の組織に固有で、組織に特に関係が深い機密情報またはリスクのあるファイルコンテンツを検索することができます。ルールを作成してテストすると、ルールを発行して EDD の設定ダイアログで利用できるようになります。最大 50 個のカスタム EDD ルールを追加できます。

EDD ルールとは、カスタム Endpoint Data Discovery ルールを作成し、組織に固有のポリシーのニーズに対応するために管理者が使用できる高度な機能です。ルールは分かりやすい構文を使用します。ただし、この機能を使用する前に、EDD ルールの紹介をよく読んで理解し、構文ガイドラインを学習しておくことがベストプラクティスです。

この機能に関するご質問やサポートのご依頼については、Absolute テクニカルサポートにお問い合わせください。

新しいルールを作成して式セットを追加するには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。

  3. EDD ルールのサイドバーのフッターで、 (ルールを追加) をクリックします。

    (ルールを追加) を選択できない場合、EDD ルールエリアに含まれるカスタムルールが上限の 50 個に達しています。別のルールを追加するには、まずルールを 1 つ削除する必要があります。

    ルールがサイドバーに追加され、新しいルール <yyyy-MM-dd hh:mm:ss.SS>という名前が付けられます。ルール名に日付と時間が追加されることで、ルール名が一意になります。新しいルールが作業エリアに表示されます。

  4. ルールの名前を、その範囲とコンテキストを示す一意の名前に変更します。EDD ルールのオプション > 名前を変更をクリックし、ルールの名前を編集して Enter を押すか、またはページ上の任意の場所をクリックします。

    保存日時が現在の日時に更新されます。

  5. 式セットを追加してルールを編集します。
  6. ルールが希望する結果を生成することを確認するため、ルール内の式をテストします。

カスタム EDD ルールのテストが終了し、希望する結果を返すことを確認できたら、ルールを公開して EDD ポリシーで利用できるようにする必要があります。

既存のルールのコピーを作成し、次にその式セットと式を編集できます。

複製したいルールが現在アクティブである (デバイスをスキャンするために EDD ポリシーによって使用されている) 場合、そのルールのコピーは、それを発行して EDD ポリシーと関連付けるまでは有効になりません。

ルールを複製するには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。
  3. EDD ルールのサイドバーで、コピーしたいルールを選択します。

  4. EDD ルールのサイドバーのフッターで、 (複製) をクリックします。

    (複製) を選択できない場合、EDD ルールエリアに含まれるカスタムルールが上限の 50 個に達しています。別のルールを追加するには、まずルールを 1 つ削除する必要があります。

    ルールがサイドバーに追加され、<ルール名> のコピーという名前が付けられます。ルールのコピーが作業エリアに表示されます。

  5. ルールの名前を、その範囲とコンテキストを示す一意の名前に変更します。EDD ルールのオプション > 名前を変更をクリックし、ルールの名前を編集して Enter を押すか、またはページ上の任意の場所をクリックします。

    保存日時が現在の日時に更新されます。

  6. 式セットを追加、編集、または削除してルールを編集します。
  7. ルールが希望する結果を生成することを確認するため、ルール内の式をテストします。

カスタム EDD ルールのテストが終了し、希望する結果を返すことを確認できたら、ルールを公開して EDD ポリシーで利用できるようにする必要があります。

ルールの名前を編集するには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。

  3. EDD ルールのサイドバーで編集したいルールをクリックします。ルールが作業エリアで開きます。

    作業エリアがグレーアウトしている場合、そのルールが 1 つ以上の EDD ポリシーで使用中であることを意味します。ルールを編集をクリックして作業エリアを有効にします。

  4. 以下の1つを実行します:

    • ページ上部のルール名をクリックします。
    • 作業エリアのツールバーで、EDD ルールオプション > 名前を変更をクリックします。
  5. ルールの名前を編集して Enter を押すか、またはページ上の任意の場所をクリックします。

ルール名が変更され、保存日時が現在の日時に更新されます。

EDD ルールエリアを操作していると、変更が自動的に保存されます。既存ルールを編集し、変更を元に戻したい場合、最後に発行したバージョンに戻すことができます。

最後に発行したルールのバージョンに変更内容を戻すには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。

  3. EDD ルールのサイドバーで編集したいルールをクリックします。ルールが作業エリアで開きます。

    作業エリアがグレーアウトしている場合、そのルールが 1 つ以上の EDD ポリシーで使用中であることを意味します。ルールを編集をクリックして作業エリアを有効にします。

  4. EDD ルールのオプション > 戻すをクリックします。
  5. EDD ルールを元に戻すダイアログで、戻すをクリックします。システムがリクエストを処理している間、メッセージが表示されます。

最後に発行されてからルールに対して行ったすべての変更が元に戻ります。保存日時が現在の日時に更新されます。

ルールを発行し、EDD スキャンに割り当てできるようにする前に、ルールの式と式セットを含むルールの定義をテストする必要があります。各式を念入りにテストし、 誤検知 EDD 関連のレポートまたはページの結果で、ファイルに一致が検出されたが、詳細な調査のうえで一致したコンテンツがリスクのあるデータであるとは考えられない場合。 (想定より多くのコンテンツが検出されること) がないようにします。検出されたマッチの数が多すぎる場合、デバイスの EDD スキャンが停止します。

「ルールをテスト」を使用して @FILENAME@SHA256 演算子の一致をテストすることはできません。

ルールをテストするには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。
  3. EDD ルールのサイドバーで、テストしたいルールをクリックします。ルールが作業エリアで開きます。
  4. 作業エリアがグレーアウトしている場合、そのルールが 1 つ以上のデバイスポリシーで使用中であることを意味します。その場合、ルールを編集をクリックします。作業エリアが有効になります。
  5. ルールをテストセクションが折りたたまれている場合、ルールをテストをクリックすると展開されます。

  6. テキストボックスで、ルールで検索したいコンテンツを含むサンプルテキストを入力するか、貼り付けます。たとえば、お客様の国の ID のインスタンスを検索するためのルールであれば、「患者の ID は 123 567 988」などの有効な数字を含む文章を入力します。

    無効な健康保険番号など、マッチすべきでないコンテンツを定義する式がルールに含まれる場合、それについてもテストしてください。たとえば、健康保険番号の先頭が「11」であってはならないと定義する式があれば、サンプルテキストとして「113 567 988」などのように入力します。マッチが見つからないはずです。

  7. テストをクリックします。

    条件 結果
    1 つ以上のマッチが見つかった
    • マッチするテキストが「ルールのテスト」テキストボックスでハイライトされる
    • マッチした式セットそれぞれが展開され、マッチした式の行番号がハイライトされる

    • マッチの合計数がテストボタンの隣に表示される

      合計マッチ数は、マッチスコアとは一致しません。テストツールはマッチした単語の単純な数を示しますが、マッチスコアは計算結果です。
    マッチが見つからなかった

    • テストボタンの下に 0 個のマッチが見つかりましたと表示される

      0 個のマッチが見つかりましたという結果を想定していなかった場合、ルールに複数の式セットが含まれるときは、すべての式セットのうち少なくとも 1 つの式に一致しなければマッチは検出されないことを忘れないでください。
  8. ルール内の式が期待どおりの結果を出すようにするには、上記のステップを繰り返してルールのすべての式をテストすることを推奨します。@Mask_After@Mask_Upto といった複数の演算子を使用する複雑な式がルールに含まれる場合、このステップは特に重要です。
  9. テスト結果が期待どおりでない場合、該当する式を編集します。

カスタム EDD ルールのテストが終了し、希望する結果を返すことを確認できたら、ルールを公開して EDD ポリシーで利用できるようにする必要があります。

デフォルトでは、GDPR 概要レポートに含まれるのは事前設定済みの GDPR 個人データルールのみです。このレポートにカスタムルールを含めるようにするには、ルールのGDPR レポートに含むオプションを有効にする必要があります。

国別の個人識別情報以外に、同じく個人データとみなされる従業員 ID も検出したいとします。これを行うには、「従業員 ID」という名前のカスタムルールを作成し、GDPR 個人データルールと一緒に EDD ポリシーで有効化します。GDPR 概要レポートに 従業員 ID ルールを含めるようにするには、ルールのGDPR レポートに含むオプションを有効します。

GDPR 概要レポートにカスタムルールを表示するかどうか設定するには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。
  3. EDD ルールのサイドバーで、更新したいルールをクリックします。ルールが作業エリアで開きます。

  4. 以下の1つを実行します:

    • レポートにルールを含めるには、EDD ルールのオプション > GDPR レポートに含むをクリックします。

    • 以前に含まれていたルールを除外するには:

      1. EDD ルールのオプションをクリックしてメニューを開きます。GDPR レポートに含むの隣にチェックマークが表示され、オプションが有効なことがわかります。
      2. GDPR レポートに含むをクリックしてオプションを無効にします。メニューが閉じ、チェックマークが削除されます。

ルールの作成が終了し、EDD スキャンで使用する準備ができたら、ルールを発行できます。

ルールを発行して EDD スキャンで使用できるようにするには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。
  3. EDD ルールのサイドバーで、発行したいルールをクリックします。ルールが作業エリアで開きます。
  4. 作業エリアがグレーアウトしている場合、そのルールが 1 つ以上のデバイスポリシーで使用中であることを意味します。その場合、ルールを編集をクリックします。作業エリアが有効になります。
  5. デバイスポリシーに発行をクリックします。

  6. デバイスポリシーに発行ダイアログで、発行をクリックします。ルールがポリシーエリアに発行されます。

    ルールを発行できませんというメッセージが表示された場合、ルールにエラーがあり、発行できないことを意味します。ルールを発行するには、まず式の要件と制約を確認し、それに適合しない式を編集する必要があります。

新しいルールを EDD スキャンに適用するには、該当する EDD ポリシーの設定を、EDD の設定ダイアログで更新します。

発行した EDD ルールが使用されているポリシーグループのリストを表示するには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。
  3. EDD ルールのサイドバーで、ルールをクリックします。ルールが作業エリアで開きます。
  4. ルールを編集をクリックします。作業エリアが有効になります。
  5. Active in <#> policy groupsというインジケーターがルール名の下に表示されます。 アイコンにカーソルを当てると、ルールに関連付けられたポリシーグループのリストが表示されます。

アクティブな Endpoint Data Discovery ポリシーに関連付けられていないルールは削除できます。

以前デバイスで有効にしたルールを削除する場合、そのルールに関連付けられたこれまでの EDD 情報もすべて削除されます。

ルールを削除するには:

  1. Endpoint Data Discovery を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > EDD ルールをクリックします。
  3. EDD ルールのサイドバーで、削除したいルールをクリックします。ルールが作業エリアで開きます。

  4. 作業エリアがグレーアウトしている場合、そのルールが 1 つ以上のデバイスポリシーで使用中であることを意味します。ルールが使用されているポリシーグループのリストを表示するには:

    1. ルールを編集をクリックします。作業エリアが有効になります。
    2. ルール名の下の アイコンにカーソルを当てると、ルールに関連付けられたポリシーグループのリストが表示されます。ルールを削除する前に、各 EDD ポリシーの設定からそのルールを削除する必要があります。

  5. ルールを削除できたら、EDD ルールオプション > 削除をクリックします。

    削除オプションを選択できない場合、そのルールが 1 つ以上のデバイスポリシーの EDD ポリシーで使用中であることを意味します。

  6. カスタムルールを削除ダイアログで、削除をクリックします。

ルールが削除されます。