結果変更ルールと許容ルールについて

[ホスト監査] タブの [許容/変更ルール] ページで、結果変更許容の両方のルールを作成できます。結果変更ルールはホスト監査の結果を変更するのに対し、許容ルールは検出結果を非表示にします。これらのルールは過去のスキャン結果を変更するものではなく、ホスト監査の検出結果に対してのみ使用できます。

結果変更ルール

結果変更ルールは、監査ファイルと監査名を使用して、検出結果を指定された値に変更します。結果変更ルールは、一部またはすべての資産に対して使用でき、有効期限を設定できます。結果変更ルールの有効期限が切れると、検出結果は元の結果に戻ります。

変更結果ルールの検出結果を表示するには、[ホスト監査] タブの [検出結果] ワークベンチで、[修正された結果] フィルターの値に [変更された結果] を指定します。

結果変更ルールの例

次の例では、HIPAA 監査からのホスト監査の結果に関するルールを作成します。一部の資産にのみ保護対象保健情報 (PHI) が含まれるため、PHI の含まれない資産ではこのルールにより結果が合格に変更されます。

  • アクション — 結果変更

  • カテゴリ — カスタム

  • 監査ファイル — HIPAA_Security_Rule_v1.1.0.audit

  • 監査名 — HIPAA セキュリティのチェック

  • 元の結果 — 不合格

  • 新しい結果 — 合格

  • ターゲット — カスタム

  • ターゲットホスト — 192.0.2.1 - 192.0.2.10

  • 有効期限 - 無期限

許容ルール

許容ルールは、結果を変更するのではなく検出結果を非表示にします。これは、実行可能な項目を示すクリーンな監査リストを表示したい場合に役立ちます。結果変更ルールと同様、一部またはすべての資産に許容ルールを適用し、有効期限を設定できます。許容ルールの有効期限が切れると、対象となる検出結果は [検出結果] ワークベンチに再び表示されます。

許容ルールの検出結果を表示するには、[ホスト監査] タブの [検出結果] ワークベンチで、[修正された結果] フィルターの値に [許容済み] を指定します。

許容ルールの例

次の例では、エンドポイントセキュリティパッケージが独自のファイアウォールを提供しているため、組み込まれているファイアウォールが無効になっている Windows マシンのホスト監査の検出結果を許容するルールを作成します。

  • アクション — 許容

  • カテゴリ — Windows

  • 監査ファイル — CIS_Microsoft_Windows_11_Enterprise_v3.0.0_L1.audit

  • 監査名 — Windows ファイアウォールの検出結果を非表示にする

  • 元の結果 — 不合格

  • ターゲット — すべて

  • 有効期限 - 無期限