CVD ファイル コンプライアンス ツールはエンドポイントでのファイル変更を監視し、異常なファイル アクティビティを検出します。これにより、イメージ コンプライアンスが保証されます。
ツールを使用して、通常は静的なマシン上の異常なアクティビティや変更を検出し、セキュリティ違反を追跡し、データの漏洩や予想外の動作を防ぎます。
- リファレンス マニフェストの作成モード:ツールはロードされた最後のマニフェストをストレージの特殊なパスにコピーします。このモードでポリシー ファイルは使用されず、すべてのマニフェスト エントリが含まれます。
- コンプライアンスのチェック モード:追跡する拡張子を含むポリシー ファイルを指定し、追跡しないフォルダを除外します。ツールはリファレンス マニフェストと最新マニフェストの両方のポリシー ファイルを適用し、修正をチェックして、変更を報告します。
エンドポイントの各ファイルにはマニフェストに格納される署名(データ チェックサム)があり、これはストレージにバックアップされるすべてのファイルのリストです。マニフェストのパスとチェックサム データを使用して、ファイルが元の場所からいつ移動されたか、または変更されたかを特定します。Mirage は、最後のマニフェストをストレージの特定のファイルに格納します。
リファレンス マニフェストの作成
ツールを実行する前に、エンドポイントがサーバへのアップロード操作を完了していることを確認します。
アップロードの頻度は、Mirage 構成によって異なります。マニフェストがない場合にツールはリファレンス マニフェストを特定のパスに作成し、マニフェストがある場合にツールはそのマニフェストをストレージの最後のマニフェストと比較して、マニフェストが変更されたかどうかを報告します。フラグ -CreateReferenceFileList を使用せず、リファレンス マニフェストがない場合、エラーが発生することを注意してください。
初めてリファレンス マニフェストを作成するには、FileComplianceScan -CreateReferenceFileList -MgmServerAddress localhost -CvdID 10008 を実行します
-CreateReferenceFileListは最初のマニフェスト リファレンス ファイルを作成します。-MgmServerAddressは Mirage 管理サーバの名前または IP アドレスです。-CvdID <id>はマシン/CVD ID です。
ツールは見つかったファイルの数をリストします。CVD ポリシーのすべてのファイルが含まれます。
コンプライアンスのチェック
追跡するファイルをチェックするには、FileComplianceScan -MgmServerAddress localhost -FilesPolicy "C:\PolicyFile.xml" -OutputDir "c:\DetectManifestOutput" -LogTraceLevel -CvdID 10008 を実行します
-MgmServerAddressは Mirage 管理サーバの名前または IP アドレスです。-FilesPolicy <xmlFilePath>は、含める拡張子と除外するフォルダを含む xml ファイルへのパスです。ファイルがない場合、ツールはファイルがないことを報告し、テンプレート ファイルを作成します。このテンプレート ファイル編集し、コマンドを再度実行したときにツールで追跡するファイルを定義します。-OutputDir <CsvResultDirPath>は、ディレクトリへのパスです。ツールが見つかったファイルのレポートを含む CSV ファイルをこのディレクトリで作成します。CreateReferenceFileListモードでは有効ではありません。-LogTraceLevelは、トラブルシューティングのために出力ログに詳細なデータを取得するパラメータです。-CvdID <id>はマシン/CVD ID です。
ポリシー ファイル
ポリシー ファイルは、ツールに対しルールを定義する xml ファイルです。ファイルを編集して、ツールが追跡するディレクトリ除外パスとファイル拡張子を入力します。ファイルの例:
<?xml version="1.0" encoding="utf-8"?>
<DetectManifestFilterOptions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<PathFilterArray>
<Directory ExcludePath="C:\\Folder1\\Folder2" Recursive="true" />
<Directory ExcludePath=" C:\\Folder1\\FileName.exe" Recursive="false" />
</PathFilterArray>
<TrackExtArray>
<Track Extention="exe" />
<Track Extention="dll" />
</TrackExtArray>
</DetectManifestFilterOptions>
このファイルを出力データに基づいて新しいファイル拡張子を含めるように編集し、コマンドを再度実行できます。
出力
ツールの出力は次の形式の csv ファイルになります:変更タイプ、ファイル データ署名、リファレンスマニフェストのファイル パス、最新のファイル パス
| 出力 | 説明 |
|---|---|
| 変更タイプ | FileAdded:署名は元のマニフェストにないが、新しいマニフェストにはある。 FileRemoved:署名は元のマニフェストにあるが、新しいマニフェストにはない。 FilePathChanged:署名が両方のマニフェストにあるが、パス名が変更された、またはこのファイルのインスタンス数が変更された。 |
| ファイル データ署名 | ファイルの署名の 32 HEX 値。ファイルに複数の署名値を含めることはできません。 |
| リファレンスマニフェストのファイル パス | この署名があるすべてのファイルのリファレンス マニフェストからのフル パスのリスト。 |
| 最新のファイル パス | この署名があるすべてのファイルの現在のマニフェストからのフル パスのリスト。 |
コマンド ラインの要約には、出力ファイルの行数と、各変更タイプからの行数が報告されます。ツールで問題が見つからない場合、出力 csv ファイルは空になります。
マシンのコンプライアンスが 100% でない場合、出力ファイルをチェックし、Mirage 操作を行ってマシンを元の状態に戻すかどうかを決定します。
使用事例
銀行業界で、ブランチ ATM にウィルスが含まれている場合、IT 管理者はツールを実行して中央コンソールからエンドポイント イメージを管理することにより、ウィルスを検出し、マシンを元の状態に戻します。このプロセスにより、エンドポイントの重大なダウンタイムと、問題解決のために技術者を現場に派遣するコストが削減されます。
小売業界で、このツールはファイルのコンプライアンスが 100% ではない破損したマシンを検出し、それらを元の状態に戻すことができます。
ツールの条件
ツールには次の条件があります。
- ツールは一度に 1 つの CVD で実行できます。実行は CVD ごとに約 1 分です。
- ツールはアーカイブされた CVD で実行できません。
- このツールは LMO(レイヤ管理のみ)の CVD で実行できません。
- エラーのためツールがスキャンを完了できない場合、該当するエラー メッセージが表示されます。
- ツールは Mirage サーバ ツールを実行しているすべてのマシンで実行できます。拡張性を目的として、Mirage 管理サーバからのみ実行する必要はありません。
CVD 10001 is an archived CVD. This tool does not support archive CVD. Please type valid CVD ID Could not find volume path for CVD 10001 Error: Invalid program parameter(s): Missing server address
