警告モード

警告モードとは、リソースに適用できるプロパティであると同時に、クラスに適用できるオプションです。
capamsc141
警告モードとは、リソースに適用できるプロパティであると同時に、クラスに適用できるオプションです。
警告モードがリソースまたはクラスに適用されている場合にアクセス ルールのアクセス違反が発生すると、
Privileged Access Manager
は、エントリにリターン コード「W」を付けて監査ログに記録します。ただし、製品はリソースへのアクセスを許可します。クラスが警告モードの場合は、そのクラス内のすべてのリソースが警告モードになります。
警告モードは、
Privileged Access Manager
が Full Enforcement モードの場合にのみ有効です。
Privileged Access Manager
for UNIX でサポートされているモードは Full Enforcement モードのみです。
Privileged Access Manager
for Windows では、Audit Only モードもサポートされています。
警告モードは、アクセス ポリシーを導入または変更する場合に使用できます。警告モードを使用する場合は、ポリシーを有効にする前に、監査ログで対象となるポリシーの結果を事前に確認することができます。監査ログを表示するには、seaudit コマンドを使用します。
クラスにプロパティ
warning
がある場合は、クラスを警告モードに設定できます。リソース グループまたはクラスが警告モードの場合に、アクセス ルール違反が発生すると、
Privileged Access Manager
は、以下の手順に従います。
  • アクセスを許可します。
  • (リソース グループまたはクラスではなく)そのリソースを参照するエントリを監査ログに記録します。
リソースの警告モードの設定とクラスの警告モードの設定は独立しています。リソースを警告モードに設定した場合、そのリソースが属するクラスから警告モードを削除したとしても、そのリソースは警告モードのままとなります。
リソースまたはクラスを警告モードに設定できるのは、リソースまたはクラスにプロパティ
warning
がある場合のみで、必ずしもすべてのリソースまたはクラスにこのプロパティがあるわけではありません。

リソースの警告モードの設定

リソースを警告モードに設定することで、アクセス ルールを適用することなく、アクセス ルールの効果を監視できます。
リソースを警告モードに設定するには:
  1. Privileged Access Manager
    エンドポイント管理で、警告モードに設定するリソースを編集します。
    適切な[変更]ページが表示されます。
  2. [監査]タブをクリックします。
    リソースに対する[監査モード]ページが表示されます。
  3. [警告モード]を選択し、[保存]をクリックします。
    変更したリソースが警告モードになります。
警告モードでは、アクセスが許可されてもアクセス ルール違反が発生した場合は、
Privileged Access Manager
によって必ず警告レコードが監査ログに記録されます。したがって、この目的でリソースに audit プロパティを設定する必要はありません。
: ファイルを警告モードに設定する:
以下の selang の例では、ファイル c:\myfile を警告モードに設定します。
chres FIlE c:\myfile warning
: ファイルから警告モードをクリアする:
以下の selang の例では、ファイル c:\myfile の警告モードを無効にします。
chres FIlE c:\myfile warning-
myfile の警告モードは無効になるので、
Privileged Access Manager
によって myfile に対するアクセス ルールが適用されます。
: 端末を警告モードに設定する:
以下の selang の例では、端末 myterminal を警告モードに設定します。
chres terminal myterminal warning
この場合、
Privileged Access Manager
は権限のあるユーザによる端末 myterminal からのアクセスを許可します。ただし、製品は、その端末からのアクセスが通常拒否されるユーザについて監査レコードをログに記録します。

クラスを警告モードに設定する

capamsc141
個々のレコードを警告モードに設定するのではなく、クラス内のすべてのレコードを警告モードに設定することができます。警告モードを使用することで、アクセス ルールを適用することなく、アクセス ルールの効果を監視できます。
クラスを警告モードに設定する方法
  1. Privileged Access Manager
     エンドポイント管理で、以下のことを実行します。
    1. [設定]をクリックします。
    2. [クラスのアクティブ化]をクリックします。
    [クラスのアクティブ化]ページが表示されます。
  2. [警告]モードに設定するクラスの[警告]列のチェック ボックスをオンにします。
  3. [保存]をクリックします。
    確認メッセージが表示され、
    Privileged Access Manager
    のオプションが正常に更新されたことが通知されます。

警告モードが指定されたリソースの確認

警告モードは、
Privileged Access Manager
を実装する際の一時的な手段として使用します。ユーザが必要とするリソースへの必要なアクセス権を持っていることを確認したら、警告モードをオフにします。そうすると、
Privileged Access Manager
は関連するルールの適用を開始します。
警告モードであるリソースを確認するために、警告モードであるすべてのリソースを示すレポートを作成します。
レポートを作成するには、以下のコマンドを入力します。
sereport -f pathname.html -r 6
Privileged Access Manager
によってレポートが作成されます。
sereport ユーティリティの詳細については「
リファレンス ガイド
」を参照してください。

警告モードであるクラスの確認

capamsc141
警告モードは、
Privileged Access Manager
を実装する際の一時的な手段として使用する必要があります。ユーザが必要とするリソースへの必要なアクセス権を持っていることを確認したら、警告モードをオフにします。そうすると、
Privileged Access Manager
は関連するルールの適用を開始します。
警告モードになっているクラスを確認するために、
Privileged Access Manager
でこのデータを表示することができます。
このデータを表示するには、以下の selang コマンドを入力します。
setoptions cwarnlist
Privileged Access Manager
は、警告モードになっているクラスを示す表を表示します。
setoptions の詳細については、「selang リファレンス ガイド」を参照してください。

システム メンテナンスの実行方法

capamsc141
システムをアップグレードしたり、新しいアプリケーションをインストールするために、特定の時間にシステム メンテナンスを実行しなければならない場合があります。システム メンテナンス中は、
Privileged Access Manager
ルールを警告モードに設定する必要があります。メンテナンスが必要なリソースへのユーザ アクセスに影響しないことが確認できたら、警告モードをオフにする必要があります。そうすると、
Privileged Access Manager
は関連ルールの適用を開始します。
システム メンテナンスの実行時に警告モードを使用するには、以下の操作を行います。
  1. メンテナンスを開始する前に、以下の selang ルールを使用して、該当するクラスを警告モードに設定します。
    setoptions class(NAME) flags(W)
  2. メンテナンスを実行します。
  3. メンテナンスの実行後、seretrust ユーティリティを実行します。
    seretrust ユーティリティは selang コマンドを生成します。このコマンドは、データベースで定義されているプログラムおよびセキュア ファイルを再度 trusted 状態にするために必要です。
  4. selang コマンドを実行して、データベース内で定義されたプログラムを再度 trust 状態にします。
  5. 以下の selang ルールを使用して、ポリシー適用を有効にするために、クラスから警告モードを削除します。
    setoptions class(NAME) flags-(W)
  6. Privileged Access Manager
    監査ログ ファイルを確認します。
    監査ログには、メンテナンスによる影響を受けたリソースの警告が含まれています。
seretrust ユーティリティの詳細については「リファレンス ガイド
」を参照してください。