アプリケーション制御ルールのテスト

アプリケーション制御ルールを追加した後は、ネットワークでそれらをテストする必要があります。アプリケーション制御ポリシーで使われているルールセット内に設定エラーがあると、コンピュータまたはサーバーが使用できなくなることがあります。また、クライアントコンピュータが障害になったり、
つの Symantec Endpoint Protection Manager
との通信が遮断されることもあります。テストした後、ルールを実働ネットワークに適用します。
ステップ 1: ルールセットをテストモードに設定する
モードをテストモードに設定してルールセットをテストします。テストモードでは、実際にはルールを適用しないで、ルールセットのルールがいつ適用されるかを示すログエントリが作成されます。
デフォルトルールは、デフォルトで実働モードを使います。カスタムルールは、デフォルトでテストモードを使います。デフォルトルールセットとカスタムルールセットを両方テストしてください。
セット内のルールを個別にテストしたい場合もあります。ルールセットの各ルールの有効と無効を切り替えることで、個々のルールをテストできます。
  1. ルールセットのテストモードへの変更
  2. コンソールで、アプリケーションとデバイス制御ポリシーを開きます。
  3. [アプリケーション制御ポリシー]
    [アプリケーション制御]
    をクリックします。
  4. [アプリケーション制御ルールの設定]
    リストで、ルールセットの
    [テスト/実働]
    列のドロップダウン矢印をクリックし、
    [テスト (ログのみ)]
    をクリックします。
ステップ 2: テストネットワーク内にあるコンピュータにアプリケーションとデバイス制御ポリシーを適用する
新しいアプリケーションとデバイス制御ポリシーを作成したら、テストネットワーク内のクライアントにポリシーを適用します。
ステップ 3: アプリケーション制御ログを監視する
ルールセットをテストモードでしばらく実行したら、ログでエラーを調べます。テストモードと実動モードの両方で、アプリケーション制御イベントは
つの Symantec Endpoint Protection Manager
のアプリケーション制御ログにあります。クライアントコンピュータでは、アプリケーション制御およびデバイス制御イベントは制御ログに表示されます。
単一のアプリケーション制御処理に対して、重複または複数のログエントリを確認できます。たとえば、explorer.exe はファイルをコピーしようとすると、ファイルのアクセスマスクの書き込みおよび削除ビットを設定します。
Symantec Endpoint Protection
はイベントをログに記録します。アプリケーション制御ルールが処理を遮断したためにコピー処理が失敗した場合、explorer.exe は、アクセスマスクの削除ビットのみを使ってファイルのコピーを試みます。
Symantec Endpoint Protection
は、コピー試行の別のイベントをログに記録します。
ステップ 4: ルールセットを実働モードに戻す
ルールが予期したとおり機能している場合は、ルールセットを実働モードに戻します。