結果変更ルールと許容ルールについて

[ホスト監査] タブの [変更] ページで、結果変更と許容の両方のルールを作成できます。結果変更ルールはホスト監査の結果を変更するのに対し、許容ルールは検出結果を非表示にします。これらのルールは過去のスキャン結果を変更するものではありません。

結果変更ルール

結果変更ルールは、[ホスト監査] タブに表示されるテーブルの [基準] 列に表示されるクエリによって決定される監査検出結果を対象としています。

結果変更ルールの影響を受ける資産

結果変更ルールの影響を受ける資産を表示する方法

結果変更ルールの影響を受ける資産を[変更] ぺージから表示する方法
1. [変更] ページで [ホスト監査] タブを選択します。
2. ルールの行で、結果変更ルールのチェックボックスを選択します。
3. 行の左側にあるボタンをクリックします。
  
  テーブルが表示されます。
4. [資産] タブをクリックします。
  
  そのルールの基準を満たす資産のリストを含むテーブルが表示されます。
変更ルールの詳細ページから、結果変更ルールの影響を受ける資産を表示する方法
1. 結果変更ルールの詳細ビューで [資産] タブを選択します。詳細は、変更ルールの詳細を参照してください。

注意: [調査] > [検出結果] のテーブルでは、結果変更ルールにより監査結果が変更された資産を見つけることができます。[検出結果] > [ホスト監査]で、[修正された結果] フィルターの値に [変更された結果] を指定します。[結果] 列には、結果変更アイコン (

など) とツールのヒント ([失敗 - 結果変更] など) が表示されます。

結果変更ルールの例

次の例では、HIPAA 監査からのホスト監査の結果に関するルールを作成します。一部の資産にのみ保護対象保健情報 (PHI) が含まれるため、PHI の含まれない資産ではこのルールにより結果が合格に変更されます。

アクション — 結果変更
カテゴリ — カスタム
監査ファイル — HIPAA_Security_Rule_v1.1.0.audit
監査名 — HIPAA セキュリティのチェック
元の結果 — 不合格
新しい結果 — 合格
ターゲット — カスタム
ターゲットホスト — 192.0.2.1 - 192.0.2.10
有効期限 - 無期限

許容ルール

許容ルールは、結果を変更するのではなく検出結果を非表示にします。これは、実行可能な項目を示すクリーンな監査リストを表示したい場合に役立ちます。結果変更ルールと同様、一部またはすべての資産に許容ルールを適用し、有効期限を設定できます。許容ルールの有効期限が切れると、対象となる検出結果は [検出結果] テーブルに再び表示されます。

許容ルールの検出結果を表示するには、[ホスト監査] タブの [検出結果] テーブルで、[修正された結果] フィルターの値に [許容] を指定します。

許容ルールの例

次の例では、エンドポイントセキュリティパッケージが独自のファイアウォールを提供しているため、組み込まれているファイアウォールが無効になっている Windows マシンのホスト監査の検出結果を許容するルールを作成します。

アクション — 許容
カテゴリ — Windows
監査ファイル — CIS_Microsoft_Windows_11_Enterprise_v3.0.0_L1.audit
監査名 — Windows ファイアウォールの検出結果を非表示にする
元の結果 — 不合格
ターゲット — すべて
有効期限 - 無期限