デバイス制御アラート

デバイス制御では、制御対象のデバイスタイプ、ポート、またはインターフェイスにアクセスしようとするユーザーの行動をトラックすることで、イベントログを保持します。特定のイベントについてアラートが発生するようにして、Cyber Protectコンソールにログとして保存するようにできます。例えば、デバイス制御モジュールでは、ユーザーが対象となるデバイスにデータをコピーしようとしたとき、またはそのようなデバイスからデータをコピーしようとしたときに、アラートをログに記録して、リムーバブルデバイスの使用を防止するように構成することができます。

デバイス制御モジュールを構成するときに、デバイスのタイプ（スクリーンショットのキャプチャを除く）またはポートの下に列挙されているほとんどのアイテムのアラートを有効化できます。アラートが有効になっている場合、ユーザーが許可されていない操作を実行しようとするたびにアラートが発生します。たとえば、リムーバブルデバイスへのアクセスが読み取り専用に制限されており、そのデバイスタイプで [アラートの表示] オプションが選択されている場合、保護されたコンピューターのユーザーがリムーバブルデバイスにデータをコピーしようとするたびにアラートが生成されます。

Cyber Protectコンソールでアラートを確認するには、[監視] > [アラート] に進みます。各デバイス制御アラートの内部で、コンソールはそれぞれのイベントに関する以下の情報を提供します。

• タイプ - 警告。
• ステータス - 「周辺デバイスへのアクセスがブロックされました」と表示されます。
• メッセージ - 「'<コンピューター名>'の'<デバイスタイプまたはポート>'に対するアクセスがブロックされました」と表示されます。例えば、「'accountant-pc'の'Removable'に対するアクセスがブロックされました」となります。
• 日付と時刻 - イベントが発生した日付と時刻です。
• デバイス - イベントが発生したコンピューター名です。
• 計画名 - イベントが発生した保護計画の名前です。
• ソース - イベントに関係するデバイスタイプとポートです。例えば、拒否対象のユーザーがリムーバブルデバイスにアクセスしようとした場合、このフィールドには「Removable」デバイスが読み込まれます。
• アクション - イベントの原因となった操作です。例えば、拒否対象のユーザーがデバイスにデータをコピーしようとした場合、このフィールドは「Write」を読み取ります。詳細については、「アクションフィールドの値」を参照してください。
• 名前 - ユーザーがコピーしようとしたファイルや、ユーザーが使用しようとしたデバイスなど、イベントのターゲットオブジェクトの名前です。ターゲットオブジェクトが特定できない場合は表示されません。
• 情報 - USBデバイスのデバイスIDなど、イベントのターゲットデバイスに関する追加情報です。ターゲットデバイスに関する追加情報がない場合は表示されません。
• ユーザー - イベントの原因となったユーザーの名前です。
• プロセス - イベントの原因となったアプリケーションの実行可能ファイルへの完全修飾パスです。場合によっては、パスの代わりにプロセス名が表示されることがあります。プロセス情報が存在しない場合は表示されません。

アラートがUSBデバイス（リムーバブルデバイスおよび暗号化されたリムーバブルデバイスを含む）に適用される場合、管理者はそのデバイスをアラートから直接許可リストに追加して、デバイス制御モジュールによってその特定デバイスへのアクセスが制限されないようにすることができます。[このUSBデバイスを許可する] をクリックすると、該当のUSBデバイスが、デバイス制御モジュールの構成で許可リストに追加され、さらに参照用としてUSBデバイスデータベースに追加されます。

関連項目「デバイス制御アラートを表示する手順」も参照してください。