使ってみよう! Apex One SaaS 「ラベル機能」の活用方法

ラベル機能とは

ラベル機能とは、Apex One SaaSのセキュリティエージェント（Windows プラットフォーム）（以降、エージェント）に対して任意のラベルを割り当てることで、一覧表示やポリシーの割り当て、ログのクエリなど、エージェントの管理体系の一つとして利用することができる機能です。

Apex One シリーズではこれまでドメイン(グループ)作成によるツリー構造でのエージェント管理が可能でした。
SaaS版でも同様にドメインを単位とした管理が可能ですが、ラベルは製品のドメインツリー構造に関係なく、任意の名称で複数作成することが可能です。
ラベルにより一元管理が可能になる項目は以下のとおりです。　

- ポリシー配信
- エージェントの一覧表示
- ログのクエリ

また、ラベルは任意ルールにより自動で端末へ割り当てることが可能です(自動ラベル機能)。本機能により展開した端末に自動的にラベルを割り当てることで、初期ポリシーの割り当てや一覧表示をより自動的に行うことが可能になります。

設定手順

ここからは、実際に設定を行う手順を紹介していきます。設定は以下の流れで行います。

1.新規ラベルの作成
2.ラベルの割り当て(手動/自動)

1. 新規ラベルの作成

ラベルの作成はApex One SaaSのコンソール（Apex Centralコンソール）から行います。
Apex Centralコンソールにログインしたら上部メニュー「ディレクトリ」内の「ユーザ/エンドポイント」をクリックし、「ユーザ/エンドポイントディレクトリ」を表示します。

画面左側の「エンドポイント」欄の「ラベル」を開き、「新規ラベルの追加」をクリックします。

任意のラベル名を入力します。
※今回は”Tech Blog(Windows10)”というラベルを作成しています。

=====(オプション)=====
ラベルは「自動ラベル設定ルール」を作成することで、エンドポイントに対して自動的にラベルを割り当てることが可能です。

「＋自動ラベル設定ルールの作成」をクリックし、以下の設定画面を表示させます。

プルダウンを開き、ラベルを自動で割り当てる条件を設定します。
※今回はOS種類が"Windows10"の端末に自動割り当てするルールを作成しています

■自動ラベル設定ルール項目一覧
・エンドポイント名
・IPアドレス
・エンドポイントの種類
・OS
・Active Directory内の場所
・Apex One ドメイン階層
・サービス

なお条件は "OR" "AND" で複数組み合わせることが可能です。

==================
ラベル名(＋自動ラベル設定ルール) を入力したら、「保存」をクリックして保存します。

保存したラベルが「エンドポイント」 - 「ラベル」欄に表示されていることを確認します。

2.ラベルの割り当て(手動/自動)

はじめに、作成したラベルを「手動」で割り当てる手順について解説します。
ラベルを割り当てたい該当端末をエンドポイントの一覧から選択します。

次にエージェント一覧画面上の「タスク」から「ラベルの割り当て/解除」をクリックします。

以下の画面が表示されるので、割り当てたいラベルを選択し「保存」をクリックします。
※今回は"調査中端末"というラベルを作成して割り当てています
(逆に解除する場合は、チェックを外して保存します)

該当ラベルを右側の一覧からクリックし、割り当てた端末が一覧に表示されることを確認します。

次に「自動」で割り当てる手順についてですが、こちらは先ほどの手順１でラベルを作成する際に、「自動ラベル設定ルール」を設定していれば該当エンドポイントに自動的に割り当てられていきます。
そのため、該当ラベルをクリックするだけで一覧に該当エンドポイントが表示されます。
また自動割り当ての場合は、新規登録された端末にもラベルが自動的に割り当てられていきます。(これが非常に便利です)

ラベルの活用方法

これできっとラベルの作成はマスターできたかと思いますので、今度はラベルを活用したエージェントの管理方法についてご紹介していきます！
設定したラベルは以下の項目の表示/管理に活用することができます。

- ポリシー配信
- エージェントの一覧表示
- ログのクエリ

1.  ポリシー配信

ラベルはポリシーの配信対象として設定可能です。

こちらの記事でもご紹介しているとおり、ポリシーの管理はApex One SaaSのコンソール（Apex Centralコンソール）の「ポリシー」内の「ポリシー管理」から行います。

対象の選択時に「ラベルの選択」をクリックし、作成済みの任意ラベルを選択することで、該当ラベルが割り当てられている端末に対してのみポリシー配信が可能です。
※ラベルは複数選択可能です

「条件に応じてフィルタ」と同じく、「ラベルの選択」も複数のポリシーを作成した際の「優先度」の順位対象になります。
優先度判定はラベルもフィルタも同様に内部では扱われるため、ラベルとフィルタは環境内で併用した優先度付けが可能です。
※複数のラベルを割り当てているエンドポイントも同様に、自身が条件合致する一番優先度の高いポリシーを1つ取得します。

なおラベルは製品のドメイン構造とは関係なく作成/割り当てが可能なため、ドメイン構造を崩さずにドメインを跨いだ共通条件でのポリシー割り当てを行うことが可能です。

またラベルを活用することで、例えば、感染端末や不具合の調査中端末に一時的ラベルを割り当てることで、該当する調査用のポリシーをラベル条件で自動的に割り当てる。
調査後はラベルの方を外すことで通常のポリシーに戻す。など動的かつ柔軟なポリシー管理も可能になります。

2.エージェントの一覧表示

こちらはすでに前章でご紹介しているとおりですが、ラベルはエージェントの一覧表示にも活用できます。
表示したいラベルを右側の一覧からクリックすることで、該当ラベルが割り当てられている端末が一覧で表示されます。

ラベルによるエージェント管理の特徴として、「ラベルは１台の端末に複数割り当てられる」ことが挙げられます。
従来のドメインによる管理の場合は基本的にエージェントはどこか１つのドメインにしか所属できないため、一覧表示する単位もドメイン構造に依存していました。

しかしラベルの場合は、「Windows10」端末を識別するラベルを割り当てつつ「東京本社」の端末を識別する別ラベルを割り当てたり、
一時的に「調査中」のラベルを追加で割り当てることで、現在調査中の端末のみを一覧表示する。など
エージェントのドメインを毎回移動したり検索したりすることなく、目的に応じた一覧表示を可能にします。

3.ログのクエリ

最後はログのクエリへの活用です。
Apex One SaaSのコンソールでは各エージェントの検知ログのクエリが可能ですが、こちらのログのクエリ単位としてもラベルは設定可能です。

ログのクエリは「レポート」 - 「ログ」 - 「ログクエリ」から実施します。

ログを検索する際、条件として「ラベル/タグ/フィルタ」を選択します。
ログを表示したい端末が割り当てられているラベルを選択し、「検索」をクリックすることで対象端末のログのみ表示可能です。

ラベルによるログクエリを活用することで、例えば、感染端末や調査中の端末のみのログを一時的に監視する際に利用したり、各拠点の重要端末のみ検出状況を確認するなど、これまでよりもさらに柔軟なログ監視が可能になります。

従来のドメイン管理との違い

以下は従来のドメイン管理とラベルによる管理を比較したマトリクスになります。
それぞれに得意/不得意な領域があるので、目的や状況に応じて使い分けを考える際のご参考にしてください！

※1：設定した管理ドメイン以外のエージェントの一覧表示やポリシーの割り当てなどを制御するための権限

まとめ

今回はラベル機能の概要から、その設定方法と活用方法について紹介いたしました。ここまでお読みになられた方は、もうラベル機能マスターと言っても過言ではないでしょう。

ラベル機能は今回ご紹介した内容のほかにも、まだ様々な活用方法やポテンシャルがある機能です。
本記事の内容をご参考にしていただき、ぜひ皆さまの運用にさらに適したラベルの活用方法を探してみていただければと思います！

なお今回ご紹介したラベル機能は、以下のTrend Micro Apex One™ SaaS 導入・移行ガイドにも手順を掲載しておりますので併せてご参照ください。

最後までお読みいただきありがとうございました！また次回の記事もぜひご覧いただければ幸いです！