製品ガイド 改訂 B McAfee ePolicy Orchestrator 5.1.0 ソフト ウェア 著作権 Copyright © 2014 McAfee, Inc. 無断複製を禁じます。 商標 McAfee、McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、Foundscore、Foundstone、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee Total Protection、TrustedSource、 VirusScan、WaveSecure は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標です。 その他すべての登録商標および商標は それぞれの所有者に帰属します。 製品名および機能名、説明については、事前の断りなく変更される場合があります。 最新の製品および機能については、mcafee.com でご確認ください。 ライセンス情報 ライセンス条項 お客様へ: お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」 といいます) をよくお読みください。 お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに 付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認くださ い。 本契約の規定に同意されない場合は、製品をインストールしないでください。 この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすこ とによりご購入額全額をお返しいたします。 2 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 目次 13 まえがき このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 McAfee ePolicy Orchestrator について 1 ePolicy Orchestrator によるネットワークの保護 17 ePolicy Orchestrator の利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 コンポーネントと機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ソフトウェアの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 ePolicy Orchestrator インターフェースの使用 18 21 ログオンとログオフ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 インターフェースを移動する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ePolicy Orchestrator のナビゲーション メニューの使用 . . . . . . . . . . . . . . . . . 22 ナビゲーション バーのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . 22 サーバー設定カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 リストとテーブルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 リストをフィルタリングする . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 特定のリスト項目を検索する . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 テーブル行のチェックボックスを選択する . . . . . . . . . . . . . . . . . . . . . . 25 ePolicy Orchestrator サーバーのセットアップ 3 ePolicy Orchestrator の構成計画 29 拡張性に関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 複数の McAfee ePO サーバーを使用する場合 . . . . . . . . . . . . . . . . . . . . . 29 29 複数のリモート エージェント ハンドラーを使用する場合 . . . . . . . . . . . . . . . . . 30 管理対象環境でのインターネット プロトコル . . . . . . . . . . . . . . . . . . . . . . . . 4 McAfee ePO サーバーのセットアップ 30 33 サーバー設定の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 自動設定時に製品配備を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 基本機能の手動設定または段階的な設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 36 製品の自動設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 基本的な機能を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 プロキシ サーバーを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 ライセンス キーを入力する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 41 ユーザー アカウントと権限セット ユーザー アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 39 41 製品ガイド 3 目次 ユーザー アカウントを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . 41 カスタム ログイン メッセージを作成する . . . . . . . . . . . . . . . . . . . . . . 42 Active Directory ユーザー ログインの設定 . . . . . . . . . . . . . . . . . . . . . 42 使用可能なユーザー名とパスワードの形式 . . . . . . . . . . . . . . . . . . . . . . 46 [入力ファイル] ページ (ポリシー割り当てのインポート ツール) . . . . . . . . . . . . . . 47 クライアント証明書による認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . クライアント証明書認証を使用する場合 . . . . . . . . . . . . . . . . . . . . . . . 47 47 ePolicy Orchestrator でクライアント証明書による認証を設定する . . . . . . . . . . . . . 48 McAfee ePO サーバーで証明書による認証を変更する . . . . . . . . . . . . . . . . . . 48 McAfee ePO サーバーでクライアント証明書による認証を無効にする . . . . . . . . . . . . 49 ユーザーに証明書による認証を設定する . . . . . . . . . . . . . . . . . . . . . . . 49 CRL ファイルを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 クライアント証明書による認証で発生する問題 . . . . . . . . . . . . . . . . . . . . . 50 SSL 証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 OpenSSL で自己署名証明書を作成する . . . . . . . . . . . . . . . . . . . . . . . 53 その他の便利な OpenSSL コマンド . . . . . . . . . . . . . . . . . . . . . . . . 55 既存の PVK ファイルを PEM ファイルに変換する . . . . . . . . . . . . . . . . . . . 56 権限セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 6 ユーザー、グループ、権限セットの関係 . . . . . . . . . . . . . . . . . . . . . . . 57 権限セットの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 61 リポジトリ リポジトリの種類と動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 分散リポジトリの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 リポジトリ ブランチの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 リポジトリ リスト ファイルとその使用方法 . . . . . . . . . . . . . . . . . . . . . . 65 リポジトリの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 リポジトリを初めて設定する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 ソース サイトとフォールバック サイトを管理する . . . . . . . . . . . . . . . . . . . . . . 66 ソース サイトを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 ソース サイトとフォールバック サイトを切り替える . . . . . . . . . . . . . . . . . . 67 ソース サイトとフォールバック サイトを編集する . . . . . . . . . . . . . . . . . . . 67 ソース サイトの削除またはフォールバック サイトの無効化を行う . . . . . . . . . . . . . . 68 ソース サイトへのアクセス権を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . 68 プロキシを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 McAfee Agent のプロキシを設定する . . . . . . . . . . . . . . . . . . . . . . . . 69 グローバル アップデートを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 エージェント ポリシーを設定して分散リポジトリを使用する . . . . . . . . . . . . . . . . . . . 70 分散リポジトリとして SuperAgent を使用する . . . . . . . . . . . . . . . . . . . . . . . 71 SuperAgent 分散リポジトリを作成する . . . . . . . . . . . . . . . . . . . . . . . 71 SuperAgent リポジトリにパッケージを複製する . . . . . . . . . . . . . . . . . . . . 72 SuperAgent 分散リポジトリを削除する . . . . . . . . . . . . . . . . . . . . . . . 72 FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する . . . . . . . . . . . . . 72 フォルダーを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 ePolicy Orchestrator に分散リポジトリを追加する . . . . . . . . . . . . . . . . . . . 73 選択したパッケージの複製を回避する . . . . . . . . . . . . . . . . . . . . . . . . 75 選択したパッケージの複製を無効にする . . . . . . . . . . . . . . . . . . . . . . . 75 UNC と HTTP リポジトリでフォルダー共有を有効にする . . . . . . . . . . . . . . . . . 76 分散リポジトリを編集する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 分散リポジトリを削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 分散リポジトリとして UNC 共有を使用する場合 . . . . . . . . . . . . . . . . . . . . . . . 77 管理対象外のローカル分散リポジトリを使用する . . . . . . . . . . . . . . . . . . . . . . . 78 4 リポジトリ リスト ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 リポジトリ リスト ファイル (SiteList.xml) をエクスポートする . . . . . . . . . . . . . . 79 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 目次 バックアップまたは他のサーバー用にリポジトリ リストをエクスポートする . . . . . . . . . . 80 7 リポジトリ リストから分散リポジトリをインポートする . . . . . . . . . . . . . . . . . 80 SiteMgr.xml ファイルからソース サイトをインポートする . . . . . . . . . . . . . . . . 80 83 登録済みのサーバー McAfee ePO サーバーを登録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 LDAP サーバーを登録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 SNMP サーバーを登録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 データベース サーバーを登録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 サーバー間でのオブジェクトの共有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 ePolicy Orchestrator からオブジェクトをエクスポートする . . . . . . . . . . . . . . . 87 項目を ePolicy Orchestrator にインポートする . . . . . . . . . . . . . . . . . . . . 88 McAfee ePO サーバーからオブジェクトとデータをエクスポートする . . . . . . . . . . . . 88 McAfee ePO サーバー間で ASSC キーのエクスポート/インポートを行う . . . . . . . . . . . 89 8 91 エージェント ハンドラー エージェント ハンドラーの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 DMZ のエージェント ハンドラーをドメインの McAfee ePO サーバーに接続する . . . . . . . . . . . 92 ハンドラー グループと優先度 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 エージェント ハンドラーを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 McAfee Agent をエージェント ハンドラーに割り当てる . . . . . . . . . . . . . . . . . 94 エージェント ハンドラーの割り当てを管理する . . . . . . . . . . . . . . . . . . . . 94 エージェント ハンドラー グループを作成する . . . . . . . . . . . . . . . . . . . . . 95 エージェント ハンドラー グループを管理する . . . . . . . . . . . . . . . . . . . . . 96 ハンドラー間でエージェントを移動する . . . . . . . . . . . . . . . . . . . . . . . 96 ネットワーク セキュリティを管理する 9 101 システム ツリー システム ツリーの構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 ユーザーの組織グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 未分類グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 システム ツリー グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 継承 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . システム ツリーの編成を計画する場合の考慮事項 . . . . . . . . . . . . . . . . . . . . . . 102 103 管理者アクセス権 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 ネットワーク環境の境界とシステム編成に与える影響 . . . . . . . . . . . . . . . . . . 103 サブネットと IP アドレスの範囲 . . . . . . . . . . . . . . . . . . . . . . . . . 104 オペレーティング システムとソフトウェア . . . . . . . . . . . . . . . . . . . . . 104 タグおよび類似する特徴を持つシステム . . . . . . . . . . . . . . . . . . . . . . . 104 Active Directory との同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Active Directory の同期化の種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 システムと構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 システムのみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 NT ドメインの同期化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 条件によるソート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 ソート設定による影響 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 IP アドレスのソート条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 タグに基づいたソート条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 グループの順序とソート . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 catch-all グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 ソート実行時のシステム ツリーへのシステムの追加方法 . . . . . . . . . . . . . . . . . 109 システム ツリー グループを作成して追加する . . . . . . . . . . . . . . . . . . . . . . . McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 110 製品ガイド 5 目次 グループを手動で作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 既存のグループにシステムを手動で追加する . . . . . . . . . . . . . . . . . . . . . 112 システム ツリーからシステムをエクスポートする . . . . . . . . . . . . . . . . . . . 113 テキスト ファイルからシステムをインポートする . . . . . . . . . . . . . . . . . . . 113 システムを条件別のグループにソートする . . . . . . . . . . . . . . . . . . . . . . 114 Active Directory コンテナーをインポートする . . . . . . . . . . . . . . . . . . . . 116 既存のグループに NT ドメインをインポートする . . . . . . . . . . . . . . . . . . . 118 システム ツリーの同期スケジュールを設定する . . . . . . . . . . . . . . . . . . . . 119 NT ドメインを使用して同期済みグループを手動で更新する . . . . . . . . . . . . . . . . 120 システム ツリー内でシステムを移動する . . . . . . . . . . . . . . . . . . . . . . . . . 121 システム転送の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 McAfee ePO サーバー間でシステムを転送する . . . . . . . . . . . . . . . . . . . . 10 123 125 タグ 新しいタグ ビルダーでタグを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . 125 タグを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 タグ サブグループの作成、削除、変更を行う . . . . . . . . . . . . . . . . . . . . . . . . 127 タグの自動適用からシステムを除外する . . . . . . . . . . . . . . . . . . . . . . . . . . 128 選択したシステムにタグを適用する . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 システムからタグを消去する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 条件に一致するすべてのシステムにタグを適用する . . . . . . . . . . . . . . . . . . . . . . 130 条件に基づいたタグの適用スケジュールを設定する . . . . . . . . . . . . . . . . . . . . . . 130 11 133 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 . . . . . . . . . . . . . . . . . . . . . . 133 エージェント/サーバー間通信の機能 . . . . . . . . . . . . . . . . . . . . . . . . 133 SuperAgent とその機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 エージェント リレー機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 ポリシー イベントに応答する . . . . . . . . . . . . . . . . . . . . . . . . . . 143 クライアント タスクをすぐに実行する . . . . . . . . . . . . . . . . . . . . . . . 144 アクティブでないエージェントの検索 . . . . . . . . . . . . . . . . . . . . . . . 145 エージェントで報告される Windows システムと製品プロパティ . . . . . . . . . . . . . . 145 McAfee Agent 提供のクエリ . . . . . . . . . . . . . . . . . . . . . . . . . . 147 エージェント/サーバー間通信の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 エージェント配備の認証情報をキャッシュに保存する . . . . . . . . . . . . . . . . . 148 エージェント通信ポートを変更する . . . . . . . . . . . . . . . . . . . . . . . . 148 12 149 セキュリティ キー セキュリティ キーとその機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 マスター リポジトリのキー ペア . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 他のリポジトリのパブリック キー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 リポジトリ キーを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 1 つのマスター リポジトリ キー ペアをすべてのサーバーで使用する . . . . . . . . . . . . 151 複数サーバー環境でマスター リポジトリ キーを使用する . . . . . . . . . . . . . . . . 151 エージェント/サーバー間セキュア通信 (ASSC) キー . . . . . . . . . . . . . . . . . . . . . 152 ASSC キーを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 ASSC キー ペアを使用するシステムを表示する . . . . . . . . . . . . . . . . . . . . 154 すべてのサーバーとエージェントで同じ ASSC キー ペアを使用する . . . . . . . . . . . . McAfee ePO サーバーごとに別の ASSC キー ペアを使用する . . . . . . . . . . . . . . キーをバックアップまたは復元する . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 ソフトウェア マネージャー 155 155 155 157 ソフトウェア マネージャーとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 ソフトウェア マネージャーでソフトウェアのチェックイン、更新、削除を行う . . . . . . . . . . . . 158 6 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 目次 14 製品の互換性を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 製品互換性リストのダウンロードを再設定する . . . . . . . . . . . . . . . . . . . . 160 163 製品の配備 製品配備方法の選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 製品配備プロジェクトの利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 15 [製品の配備] ページの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 製品配備監査ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 配備プロジェクトで製品を配備する . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 配備プロジェクトの監視と編集を行う . . . . . . . . . . . . . . . . . . . . . . . . . . 167 新しい McAfee Agent の配備例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 171 ポリシーの管理 ポリシーとポリシー施行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 ポリシーの適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 ポリシーの作成と保守を行う . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 [ポリシー カタログ] ページでポリシーを作成する . . . . . . . . . . . . . . . . . . . 174 [ポリシー カタログ] ページで既存のポリシーを管理する . . . . . . . . . . . . . . . . 174 ポリシーを初めて設定する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 ポリシーを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 ポリシーの所有者を変更する . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 McAfee ePO サーバー間でポリシーを移動する . . . . . . . . . . . . . . . . . . . . 176 システム ツリー グループにポリシーを割り当てる . . . . . . . . . . . . . . . . . . . 178 管理対象システムにポリシーを割り当てる . . . . . . . . . . . . . . . . . . . . . . 178 システム ツリー グループのシステムにポリシーを割り当てる . . . . . . . . . . . . . . . 179 システム ツリー グループの製品にポリシーを施行する . . . . . . . . . . . . . . . . . 179 システム上の製品にポリシーを施行する . . . . . . . . . . . . . . . . . . . . . . . 180 ポリシー割り当てをコピーする . . . . . . . . . . . . . . . . . . . . . . . . . . 180 [ポリシーとタスクの保存期間の編集] ページ . . . . . . . . . . . . . . . . . . . . . . . . 182 ポリシー割り当てルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシー割り当てルールの優先度 . . . . . . . . . . . . . . . . . . . . . . . . . 182 182 ユーザー別のポリシー割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . 183 システム別のポリシー割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . 184 タグによるシステム別ポリシーの割り当て . . . . . . . . . . . . . . . . . . . . . . 184 ポリシー割り当てルールを作成する . . . . . . . . . . . . . . . . . . . . . . . . 184 ポリシー割り当てルールを管理する . . . . . . . . . . . . . . . . . . . . . . . . 185 ポリシー管理クエリを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 ポリシー情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 ポリシーが割り当てられているグループとシステムを表示する . . . . . . . . . . . . . . 187 ポリシー設定を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 ポリシー所有者を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 ポリシー施行が無効な割り当てを表示する . . . . . . . . . . . . . . . . . . . . . . 188 グループに割り当てられたポリシーを表示する . . . . . . . . . . . . . . . . . . . . 188 特定のシステムに割り当てられたポリシーを表示する . . . . . . . . . . . . . . . . . . 188 グループのポリシー継承を表示する . . . . . . . . . . . . . . . . . . . . . . . . 189 無効になっている継承を表示してリセットする . . . . . . . . . . . . . . . . . . . . 189 ポリシーを比較する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 McAfee ePO サーバー間でポリシーを共有する . . . . . . . . . . . . . . . . . . . . . . . 190 複数の McAfee ePO サーバーにポリシーを配布する . . . . . . . . . . . . . . . . . . . . . 190 ポリシーを共有するサーバーを登録する . . . . . . . . . . . . . . . . . . . . . . . 190 共有するポリシーを指定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 ポリシー共有のサーバー タスクのスケジュールを設定する . . . . . . . . . . . . . . . . 191 16 クライアント タスク McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 193 製品ガイド 7 目次 クライアント タスク カタログの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 配備タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 製品パッケージと更新パッケージの配備 . . . . . . . . . . . . . . . . . . . . . . . 194 製品および更新の配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 製品と更新の配備を初めて設定する場合 . . . . . . . . . . . . . . . . . . . . . . . 196 配備タグ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 製品配備タスクを使用して管理対象システムに製品を配備する . . . . . . . . . . . . . . . . . . 197 管理対象システムのグループに対する配備タスクを設定する . . . . . . . . . . . . . . . 197 管理対象システムに製品をインストールする配備タスクを設定する . . . . . . . . . . . . . 198 更新タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 更新タスクのスケジュールを設定して管理対象システムを定期的に更新する . . . . . . . . . . 200 クライアントが最新 DAT ファイルを使用しているかどうか確認する . . . . . . . . . . . . 201 配布前に DAT とエンジンを評価する . . . . . . . . . . . . . . . . . . . . . . . . 201 クライアント タスクを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 クライアント タスクを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 17 202 クライアント タスクを編集する . . . . . . . . . . . . . . . . . . . . . . . . . 202 クライアント タスクを削除する . . . . . . . . . . . . . . . . . . . . . . . . . 203 クライアント タスクを比較する . . . . . . . . . . . . . . . . . . . . . . . . . 203 205 サーバー タスク グローバル アップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 グローバル アップデートで更新パッケージを自動的に配備する . . . . . . . . . . . . . . . . . 206 プル タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 複製タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 リポジトリ選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 サーバー タスクのスケジュール設定時に許可される cron 構文 . . . . . . . . . . . . . . . . . 209 サーバー タスク ログでサーバー タスク情報を表示する . . . . . . . . . . . . . . . . . . . . 210 18 19 Product Improvement Program を設定する . . . . . . . . . . . . . . . . . . . . . . . 210 McAfeeProduct Improvement Program を削除する . . . . . . . . . . . . . . . . . . . . 211 213 パッケージと更新の手動管理 製品を管理対象にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 パッケージを手動でチェックインする . . . . . . . . . . . . . . . . . . . . . . . . . . 214 マスター リポジトリから DAT またはエンジンのパッケージを削除する . . . . . . . . . . . . . . 214 手動による DAT とエンジン パッケージのブランチ間での移動 . . . . . . . . . . . . . . . . . 215 エンジン、DAT、ExtraDAT 更新パッケージを手動でチェックインする . . . . . . . . . . . . . . 215 217 イベントと応答 自動応答の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 システム ツリーでの自動応答の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 スロットル、集計およびグループ化 . . . . . . . . . . . . . . . . . . . . . . . . 218 デフォルト ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 応答の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 応答を初めて設定する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 イベントの転送方法を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 すぐに転送されるイベントを確認する . . . . . . . . . . . . . . . . . . . . . . . 220 転送されるイベントを確認する . . . . . . . . . . . . . . . . . . . . . . . . . . 221 自動応答を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 通知権限を割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 自動応答権限を割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 SNMP サーバーを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 サーバーに転送されるイベントを確認する . . . . . . . . . . . . . . . . . . . . . . . . . 224 8 通知ベントの間隔を選択する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 自動応答ルールを作成または編集する . . . . . . . . . . . . . . . . . . . . . . . . . . 225 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 目次 ルールを記述する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 ルールにフィルターを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 225 ルールにしきい値を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 自動応答ルールのアクションを設定する . . . . . . . . . . . . . . . . . . . . . . . 226 ネットワーク セキュリティの監視と状況の報告 20 231 ダッシュボード ダッシュボードを初めて設定する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . 231 ダッシュボードの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 ダッシュボードを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 ダッシュボードのエクスポートとインポートを行う . . . . . . . . . . . . . . . . . . 233 ダッシュボード モニターの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 ダッシュボード モニターを管理する . . . . . . . . . . . . . . . . . . . . . . . . 234 ダッシュボード モニターの移動とサイズの変更を行う . . . . . . . . . . . . . . . . . 235 デフォルトのダッシュボードとモニター . . . . . . . . . . . . . . . . . . . . . . . . . . 236 デフォルトのダッシュボードとダッシュボードの更新間隔を指定する . . . . . . . . . . . . . . . 238 21 239 クエリとレポート クエリとレポートの権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 クエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 クエリ ビルダー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 クエリとレポートを初めて設定する場合 . . . . . . . . . . . . . . . . . . . . . . . . . . 242 クエリの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 カスタム クエリを管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 既存のクエリを実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 スケジュールでクエリを実行する . . . . . . . . . . . . . . . . . . . . . . . . . 245 タグに基づいてシステム リストを作成するクエリを作成する . . . . . . . . . . . . . . . 249 クエリ グループを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 異なるグループにクエリを移動する . . . . . . . . . . . . . . . . . . . . . . . . 251 クエリのエクスポートとインポートを行う . . . . . . . . . . . . . . . . . . . . . 251 クエリの結果を他の形式でエクスポートする . . . . . . . . . . . . . . . . . . . . . 252 マルチサーバー ロールアップ クエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 データ ロールアップ サーバー タスクを作成する . . . . . . . . . . . . . . . . . . . 253 クエリを作成して対応状況を定義する . . . . . . . . . . . . . . . . . . . . . . . 254 対応状況イベントを生成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 レポートの構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 レポートの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 新しいレポートを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 既存のレポートを編集する . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 レポート出力を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 レポートをグループ化する . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 レポートを実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 サーバー タスクでレポートを実行する . . . . . . . . . . . . . . . . . . . . . . . 263 レポートのエクスポートとインポートを行う . . . . . . . . . . . . . . . . . . . . . 264 エクスポートしたレポートのテンプレートと場所を設定する . . . . . . . . . . . . . . . 264 レポートを削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 McAfee ePO によるダウンロードを自動的に承認するように Internet Explorer 8 を設定する . . 265 データベース サーバーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 データベース サーバーの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 データベースの登録を変更する . . . . . . . . . . . . . . . . . . . . . . . . . . 267 登録済みデータベースを削除する . . . . . . . . . . . . . . . . . . . . . . . . . McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 267 製品ガイド 9 目次 22 269 問題 問題とその機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 問題の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 基本的な問題を手動で作成する . . . . . . . . . . . . . . . . . . . . . . . . . . 269 問題を自動的に作成するように応答を設定する . . . . . . . . . . . . . . . . . . . . 270 問題を管理する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 クローズされた問題を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 クローズされた問題を手動で削除する . . . . . . . . . . . . . . . . . . . . . . . 272 クローズされた問題をスケジュールで削除する . . . . . . . . . . . . . . . . . . . . 272 McAfee ePO でのチケット作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 23 ePolicy Orchestrator ログ ファイル 275 監査ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 監査ログを表示して削除する . . . . . . . . . . . . . . . . . . . . . . . . . . 275 監査ログの削除スケジュールを設定する . . . . . . . . . . . . . . . . . . . . . . . 276 サーバー タスク ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 サーバー タスク ログを管理する . . . . . . . . . . . . . . . . . . . . . . . . . 277 脅威イベント ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 脅威イベント ログを表示して削除する . . . . . . . . . . . . . . . . . . . . . . . 279 脅威イベント ログの削除スケジュールを設定する . . . . . . . . . . . . . . . . . . . 24 279 281 障害時復旧 障害時復旧とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 障害時復旧のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 リモート コマンドを使用して Microsoft SQL データベース サーバーと名前を確認する . . . . . 285 Microsoft SQL Server Management Studio で McAfee ePO サーバー情報を検索する . . . . . 285 障害時復旧の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 障害時復旧スナップショットとバックアップの概要 . . . . . . . . . . . . . . . . . . 286 McAfee ePO サーバーの復元インストールの概要 . . . . . . . . . . . . . . . . . . . 287 スナップショットを設定して SQL データベースを復元する . . . . . . . . . . . . . . . . . . 289 障害時復旧サーバー タスクを設定する . . . . . . . . . . . . . . . . . . . . . . . 289 スナップショットを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Microsoft SQL を使用してデータベースのバックアップと復元を行う . . . . . . . . . . . . 293 障害時復旧サーバーを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 A 295 ポートの概要 コンソール/アプリケーション サーバー間通信ポートを変更する . . . . . . . . . . . . . . . . . 295 エージェント/サーバー間通信ポートを変更する . . . . . . . . . . . . . . . . . . . . . . . 296 B ファイアウォール経由の通信で必要なポート . . . . . . . . . . . . . . . . . . . . . . . . 300 トラフィックのクイック リファレンス . . . . . . . . . . . . . . . . . . . . . . . . . . 301 ePolicy Orchestrator データベースの保守 303 インストールに必要な SQL 権限 McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . 304 データベース ユーザーの役割の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 SQL 保守計画の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 SQL データベースの復旧モデルの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . 307 テーブル データの最適化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 SQL 保守計画を作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 SQL Server 接続情報を変更する . . . . . . . . . . . . . . . . . . . . . . . . . . . . C リモート コンソール接続の開始 311 D よくある質問 313 ポリシー管理に関する質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 310 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 313 製品ガイド 目次 イベントと応答に関する質問 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 索引 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 315 製品ガイド 11 目次 12 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド まえがき このガイドでは、McAfee 製品の使用に必要な情報が提供されています。 目次 このガイドについて 製品マニュアルの検索 このガイドについて ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。 対象読者 McAfee では、対象読者に合わせてドキュメントを作成し、提供しています。 このガイドは、主に以下の方を対象としています。 • 管理者 - 会社のセキュリティ プログラムを実装し、管理する担当者。 • ユーザー - このソフトウェアが実行されているコンピューターを使用し、ソフトウェアの一部またはすべての機 能にアクセスできるユーザー。 • セキュリティ責任者 - 重要な機密情報を判断し、企業のポリシーを定義して企業の知的財産を保護する担当者。 • レビュー担当者 - 製品評価を行う担当者。 表記法則 このガイドでは、以下の表記規則とアイコンを使用しています。 『マニュアルのタイト ル』、用語 または強調 太字 マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。 特に強調するテキスト ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。 メッセージ [インターフェースのテ キスト] オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの テキストを表します。 ハイパーテキスト (青 色) トピックまたは外部の Web サイトへのリンクを表します。 注: 追加情報 (オプションにアクセスする別の方法など) を表します。 ヒント: ヒントや推奨事項を表します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 13 まえがき 製品マニュアルの検索 重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ の保護に役立つ情報を表します。 警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項 を表します。 製品マニュアルの検索 製品のリリース後は、マカフィー のオンライン ナレッジセンターに製品情報が掲載されます。 タスク 14 1 マカフィー ServicePortal (http://support.mcafee.com) に移動して、[ナレッジセンター] をクリックしま す。 2 製品名を入力してバージョンを選択し、[検索] をクリックしてマニュアルのリストを表示します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド McAfee ePolicy Orchestrator につ いて ここでは、ePolicy Orchestrator のコンポーネントについて説明します。また、これら のコンポーネントでネットワーク内のセキュリティを強化する方法についても説明しま す。 第1章 ePolicy Orchestrator によるネットワークの保護 第2章 ePolicy Orchestrator インターフェースの使用 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 15 McAfee ePolicy Orchestrator について 16 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 1 ePolicy Orchestrator によるネットワークの保 護 ePolicy Orchestrator は、エンドポイント、ネットワーク、データ セキュリティを統合管理する McAfee セキュリ ティ管理プラットフォームの重要なコンポーネントです。ePolicy Orchestrator の自動機能と強力な可視化機能に より、インシデント対応の時間が短縮され、セキュリティ対策が強化されます。 目次 ePolicy Orchestrator の利点 コンポーネントと機能 ソフトウェアの動作 ePolicy Orchestrator の利点 ePolicy Orchestrator は、セキュリティ製品とこれらの製品がインストールされたシステムのポリシーを一元的に管 理し、施行できる拡張性に優れた管理プラットフォームです。 包括的なレポートの作成や製品の配備も一元的に管理できます。 ePolicy Orchestrator では、次のネットワーク セキュリティ タスクを実行できます。 • ネットワーク内のシステムにセキュリティ製品、パッチ、サービス パックを配備します。 • セキュリティ ポリシーの施行とタスクの作成により、ホストとシステムに配備されているネットワーク セキュリ ティ製品を管理します。 • 検出定義 (DAT) ファイル、ウイルス対策エンジン、セキュリティ ソフトウェアが必要とする他のコンテンツを 更新し、管理対象システムを保護します。 • 組み込みのクエリ システム ウィザードでレポートを作成します。このレポートでは、ユーザーが設定したグラフ や表にネットワーク セキュリティ データが表示されます。 コンポーネントと機能 ePolicy Orchestrator は次のコンポーネントから構成されます。 • McAfee ePO サーバー - 管理を行う中心となる場所。このサーバーは、すべての管理対象システムに対して、 セキュリティ ポリシーとタスクの配信、更新の管理、イベントの処理を行います。 • データベース - ePolicy Orchestrator で作成および使用されるデータを一元管理するストレージ。組織のニー ズに合わせて、McAfee ePO サーバー上または個別のシステム上のどちらにデータベースを配置するか選択でき ます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 17 1 ePolicy Orchestrator によるネットワークの保護 ソフトウェアの動作 • McAfee Agent - McAfee ePO サーバーと各システム間で情報を収集して施行します。エージェントは、管理 対象システムに対して、更新の取得、タスクの実装の確認、ポリシーの施行、イベントの転送を行います。個別 のセキュア データ チャンネルを使用して、サーバーにデータを転送します。McAfee Agent は SuperAgent と して設定することもできます。 • マスター リポジトリ - McAfee ePO サーバー内にあり、McAfee 製品のすべての更新およびシグネチャが格納 されている場所。マスター リポジトリは、マカフィー またはユーザー定義のソース サイトからユーザー指定の 更新とシグネチャを取得します。 • 分散リポジトリ - 環境全体に分散しているローカル アクセス ポイント。これにより、エージェントは帯域幅へ の影響を最小限に抑えながら、シグネチャ、製品の更新、製品インストールを受信します。ネットワークの設定 によっては、SuperAgent、HTTP、FTP、UNC 共有の分散リポジトリを設定することができます。 • リモート エージェント ハンドラー - エージェント通信、負荷分散、製品の更新を管理するために、ネットワー クの様々な場所にインストールできるサーバー。リモート エージェント ハンドラーは、Apache サーバーとイベ ント パーサーから構成されます。リモート エージェント ハンドラーを使用することで、エージェント/サーバー 間通信を柔軟に制御し、大規模で複雑なネットワーク インフラを管理することができます。 • 登録済みサーバー - McAfee ePO サーバーに他のサーバーを登録するときに使用します。登録済みサーバーに は次の種類があります。 • LDAP サーバー - ポリシー割り当てルールでユーザー アカウントの自動作成を有効にする際に使用しま す。 • SNMP サーバー - SNMP トラップの受信に使用します。トラップの送信先を ePolicy Orchestrator が把 握するため、SNMP サーバーの情報を追加します。 • データベース サーバー - ePolicy Orchestrator に提供された高度なレポート ツールを展開する場合に使 用します。 組織の要件やネットワークの複雑さによっては、これらのコンポーネントをすべて使用する必要はありません。 ソフトウェアの動作 ePolicy Orchestrator は、非常に柔軟な設計になっています。環境の要件に合わせて、様々な方法でセットアップで きます。 ePolicy Orchestrator は、従来のクライアント/サーバー モデルに準拠しています。このモデルでは、クライアン ト システム (システム) がサーバーにアクセスし、処理を行います。サーバーとのアクセスを簡単に行うため、ネッ トワーク内の各システムに McAfee Agent が配備されます。システムにエージェントが配備されると、システムは 18 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator によるネットワークの保護 ソフトウェアの動作 1 McAfee ePO サーバーの管理対象になります。ePolicy Orchestrator のコンポーネントに接続するため、サーバー と管理対象システム間の通信が保護されています。以下の図は、保護されたネットワーク環境での McAfee ePO サ ーバーとコンポーネントの関係を表しています。 1 McAfee ePO サーバーが McAfee 更新サーバーに接続詞、最新のセキュリティ コンテンツを取得します。 2 ネットワーク内の管理対象システムに関するすべてのデータが ePolicy Orchestrator データベースに保存され ます。次の情報が保存されます。 3 • システム プロパティ • ポリシー情報 • ディレクトリ構造 • システムの状態を最新に維持するために必要なその他の関連データ 次の処理を行うため、McAfee Agent がシステムに配備されます。 • ポリシーの施行 • 製品配備と更新 • 管理対象システムに関する報告 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 19 1 20 ePolicy Orchestrator によるネットワークの保護 ソフトウェアの動作 4 システムとサーバー間でエージェント/サーバー間通信 (ASSC) が定期的に発生します。ネットワークにリモー ト エージェント ハンドラーがインストールされていると、エージェントは割り当て済みのエージェント ハンド ラーを介してサーバーに接続します。 5 ユーザーが ePolicy Orchestrator コンソールにログオンしてセキュリティ管理作業を行います。たとえば、クエ リを実行してセキュリティ状況のレポートを生成したり、管理対象ソフトウェアのセキュリティ ポリシーを設定 します。 6 McAfee 更新サーバーには最新のセキュリティ コンテンツがホスティングされています。ePolicy Orchestrator は、スケジュールに従ってこのコンテンツをプル操作で取得します。 7 ネットワーク上に配置された分散リポジトリにもセキュリティ コンテンツがホスティングされます。これによ り、エージェントはより迅速に更新を取得できます。 8 リモート エージェント ハンドラーを使用すると、1 台の McAfee ePO サーバーで処理できるエージェントが増 えるため、ネットワークを拡張することができます。 9 イベントが発生すると、自動応答通知がセキュリティ管理者に送信されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 2 ePolicy Orchestrator インターフェースの使用 ePolicy Orchestrator のインターフェースにログオンして McAfee ePO サーバーを設定し、ネットワーク セキュリ ティの管理と監視を行います。 目次 ログオンとログオフ インターフェースを移動する リストとテーブルの操作 ログオンとログオフ ePolicy Orchestrator にアクセスするには、ログオン画面でユーザー名とパスワードを入力します。 開始する前に ユーザー名とパスワードが割り当てられていないと、ePolicy Orchestrator にログオンできません。 リモート接続または McAfee ePO サーバー アイコンから McAfee ePO サーバーに接続すると、最初に ePolicy Orchestrator のログオン画面が表示されます。 タスク 1 ユーザー名とパスワードを入力して、[ログオン] をクリックします。 ePolicy Orchestrator にデフォルトのダッシュボードが表示されます。 2 ePolicy Orchestrator セッションを終了するには、[ログオフ] をクリックします。 ログオフすると、セッションが終了し、他のユーザーがアクセスできなくなります。 インターフェースを移動する ePolicy Orchestrator インターフェースでは、メニューによるナビゲーション モデルが採用されています。お気に 入りバーを設定すると、必要なサイトに迅速にアクセスできます。 メニュー セクションには McAfee ePO サーバーの上位レベルの機能が表示されます。新しい管理対象製品をサーバ ーに追加すると、関連するインターフェースのページが既存のカテゴリに追加されるか、メニューに新しいカテゴリ が作成されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 21 2 ePolicy Orchestrator インターフェースの使用 インターフェースを移動する ePolicy Orchestrator のナビゲーション メニューの使用 ePolicy Orchestrator の [メニュー] を開き、ePolicy Orchestrator のインターフェースを移動します。 メニューでは、McAfee ePO サーバーの様々な機能を構成するカテゴリが使用されています。各カテゴリには、基本 的な機能のページと固有のアイコンがあります。[メニュー] でカテゴリを選択すると、その機能を構成する基本ペー ジを表示し、移動することができます。 ナビゲーション バーのカスタマイズ よく利用する機能をすぐに実行できるように、ナビゲーション バーをカスタマイズできます。 このバージョンでは、メニュー項目をナビゲーション バーからドラッグして、ナビゲーション バーに表示するアイ コンをユーザー自身が選択できます。 1024x768 の画面解像度を使用しているシステムでは、ナビゲーション バーには 6 つのアイコンが表示されます。 ナビゲーション バー上に 6 つ以上のアイコンを配置すると、バーの右側にオーバーフロー メニューが作成されま す。ナビゲーション バーにメニュー項目が表示されていない場合は、下矢印をクリックして、メニュー項目にアクセ スします。ナビゲーション バーに表示されているアイコンは、ユーザー設定として保存されるため、各ユーザーがカ スタマイズしたナビゲーション バーは、サーバーにログオンするコンソールに関係なく表示されます。 サーバー設定カテゴリ ePolicy Orchestrator では、デフォルトで使用できるサーバー設定カテゴリが用意されています。 McAfee ePO サーバーにソフトウェアをチェックインすると、製品固有のサーバー設定がサーバー設定カテゴリ リ ストに追加されます。製品固有のサーバー設定については、該当する製品のマニュアルを参照してください。ePolicy Orchestrator インターフェースの [設定] セクションにある [サーバー設定] ページに移動すると、インターフェー スからサーバー設定を変更できます。 22 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator インターフェースの使用 インターフェースを移動する 表 2-1 2 デフォルトのサーバー設定カテゴリ サーバー設定カテゴリ 説明 [Active Directory グループ] 各ドメインで使用される LDAP サーバーを指定します。 [Active Directory ユーザー ログイン] Active Directory ユーザー ログイン機能が完全に設定されている場合に、対応す る Active Directory (AD) グループのメンバーが Active Directory ユーザー ロ グイン機能でサーバーにログインできるかどうかを指定します。 [エージェント配備の認証情 報] ユーザーがエージェント配備の認証情報をキャッシュに保存できるかどうかを指 定します。 [証明書による認証 ] 証明書による認証を有効にするかどうかを指定します。また、使用する認証局 (CA) 証明書に必要な設定を行います。 [ダッシュボード] アカウント作成時に新しいユーザー アカウントに割り当てられるデフォルトのア クティブ ダッシュボードを指定します。ダッシュボード モニターの更新間隔 (デ フォルトは 5 分) も指定します。 [障害時復旧] 障害時復旧キーストアの暗号化パスフレーズを有効にして設定します。 [電子メール サーバー] ePolicy Orchestrator が電子メールを送信する際に使用する電子メール サーバー を指定します。 [イベント フィルタリング] エージェントが転送するイベントを指定します。 [イベント通知] ePolicy Orchestrator の通知イベントを自動応答に送信する間隔を指定します。 [グローバル アップデート] グローバル アップデートを有効にするかどうかを指定します。また、有効にする方 法も指定します。 [ライセンス キー] この ePolicy Orchestrator の登録に使用するライセンス キーを指定します。 [ログイン メッセージ] 環境内のユーザーが ePolicy Orchestrator コンソールのログオン画面に移動した ときに表示さえるカスタム ログイン メッセージを指定します。 [ポリシーとタスクの保存期 間] 製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク デー タを削除するかどうかを指定します。 [ポリシーのメンテナンス] サポートされていない製品のポリシーを表示するかどうかを指定します。これは、 ePolicy Orchestrator が旧バージョンからアップグレードされた後でのみ必要で す。 [ポート] エージェントとデータベース間の通信時にサーバーが使用するポートを指定しま す。 [印刷とエクスポート ] 各種形式での情報のエクスポート方法と、PDF エクスポートのテンプレートを指定 します。また、エクスポートされたファイルを保存するデフォルトの場所も指定し ます。 [製品互換性リスト] 製品互換性リストを自動的にダウンロードし、互換性のない製品拡張ファイルを表 示するかどうかを指定します。 [Product Improvement Program ] McAfee ePO サーバーが管理するクライアント システムから McAfee ePO がデ ータを定期的に収集できるかどうかを表します。 [プロキシ設定] McAfee ePO サーバーのプロキシ設定のタイプを指定します。 [セキュリティ キー ] エージェント/サーバー間セキュア通信キーとリポジトリ キーを指定します。 [サーバー証明書 ] McAfee ePO サーバーがブラウザーとの HTTPS 通信で使用するサーバー証明書 を指定します。 [ソフトウェアの評価] 評価版ソフトウェアをチェックインし、ソフトウェア マネージャーから配備するた めに必要な情報を指定します。 [ソース サイト] 更新時にサーバーが接続するソース サイトを指定します。また、フェールバックと して使用するサイトも指定します。 [システムの詳細設定] 管理対象システムの システムのデフォルト ページに表示されるクエリとシステム プロパティを指定します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 23 2 ePolicy Orchestrator インターフェースの使用 リストとテーブルの操作 表 2-1 デフォルトのサーバー設定カテゴリ (続き) サーバー設定カテゴリ 説明 [システム ツリーのソート] 使用している環境でシステム ツリーのソートを有効にするかどうかを指定します。 また、有効にする方法も指定します。 [ユーザー セッション] アクティブでないユーザーがシステムにログインできる時間を指定します。 リストとテーブルの操作 ePolicy Orchestrator の検索とフィルタリング機能を使用して、データのリストをソートします。 ePolicy Orchestrator では、データ リストのエントリが数百または数千になる場合があります。検索フィルターで [高速検索] を使用しないと、ePolicy Orchestrator リストで特定のエントリを手動で検索することはできません。 リストをフィルタリングする プリセット フィルターまたはカスタム フィルターを使用すると、ePolicy Orchestrator インターフェースのリスト で特定のデータ行を選択できます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 リストの先頭にあるバーで、リストのフィルタリングに使用するプリセット フィルターまたはカスタム フィルタ ーを選択します。 フィルター条件に一致する項目だけが表示されます。 2 必要なリスト項目の横にあるチェックボックスを選択して、[選択した行を表示] を選択します。 選択した行だけが表示されます。 特定のリスト項目を検索する 高速検索フィルターを使用すると、大きなリストで項目を簡単に検索できます。 デフォルトのクエリ名はローケルに合わせて翻訳されている場合があります。ロケールが異なるとクエリ名も異なる 可能性があるので注意してください。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [高速検索] フィールドに検索項目を入力します。 2 [適用] をクリックします。 [高速検索] フィールドに入力された語句を含む項目だけが表示されます。 [クリア] をクリックしてフィルターを削除すると、すべてのリスト項目が表示されます。 これは、特定のクエリ リストに有効な検索の例です。 24 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator インターフェースの使用 リストとテーブルの操作 2 1 [メニュー] 、 [クエリとレポート] の順にクリックします。[クエリ] をクリックします。ePolicy Orchestrator で使用可能なすべてのクエリがリストに表示されます。 2 リストに表示されるクエリを制限できます。たとえば、 「検出」クエリを表示するには、[高速検索] で detect と 入力し、[適用] をクリックします。 次のようなクエリがリストに表示されます。 • [マルウェアの検出履歴] • [製品ごとの 24 時間内の検出 ] テーブル行のチェックボックスを選択する ePolicy Orchestrator のユーザー インターフェースには、特別なテーブル行選択アクションとショートカットを使 用できます。これらの項目をクリックするか、Shift キーを押しながらクリックすると、テーブル行のチェックボッ クスを選択できます。 ePolicy Orchestrator ユーザー インターフェースの一部の出力ページでは、テーブル内の各項目の横にチェックボ ックスが表示されます。このチェックボックスを使用すると、行を個別に選択したり、グループとして選択できます。 また、テーブルのすべての行を選択することもできます。 次の表では、テーブル行チェックボックスの選択に使用するキーストロークについて説明します。 選択対象 アクション 応答 個々の行 個々の行をクリックする。 各行が個別に選択されます。 行のグル ープ チェックボックスの 1 つをクリックして、 最初に選択した行から最後に選択した行までがグループ Shift キーを押しながらグループ内の最後の として選択されます。 チェックボックスをクリックする。 Shift キーを押しながら 1,500 以上の行をクリック して選択すると、CPU の使用率が急激に増加し、ス クリプト エラーを通知するエラー メッセージが表 示されます。 すべての 行 テーブル見出しの先頭にあるチェックボッ クスをクリックする。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア テーブルの各行が選択されます。 製品ガイド 25 2 ePolicy Orchestrator インターフェースの使用 リストとテーブルの操作 26 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator サーバーのセ ットアップ ePolicy Orchestrator サーバーのセットアップはネットワーク セキュリティ管理の最 初のステップです。 第3章 ePolicy Orchestrator の構成計画 第4章 McAfee ePO サーバーのセットアップ 第5章 ユーザー アカウントと権限セット リポジトリ 登録済みのサーバー エージェント ハンドラー 第6章 第7章 第8章 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 27 ePolicy Orchestrator サーバーのセットアップ 28 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 3 ePolicy Orchestrator の構成計画 McAfee ePO サーバーを効果的に使用するには、環境に合わせて総合的な計画を作成する必要があります。 サーバー インフラのセットアップ方法や実行する必要がある構成の数は、ネットワーク固有の要件によって異なりま す。これらの点を事前に検討しておくと、稼動までに要する期間を短縮できます。 目次 拡張性に関する考慮事項 管理対象環境でのインターネット プロトコル 拡張性に関する考慮事項 拡張性の管理方法は、使用している McAfee ePO サーバーとリモート エージェント ハンドラーの数によって異なり ます。 ePolicy Orchestrator では、垂直方向または水平方向にネットワークを拡張できます。 • 垂直方向の拡張性 - 大型で高速なハードウェアを追加してアップグレードし、より大規模な配備環境を管理しま す。McAfee ePO サーバーを垂直方向に拡張するには、サーバー ハードウェアをアップグレードして、ネットワ ーク全体で複数の McAfee ePO サーバーを配置し、それぞれのサーバーで固有のデータベースを使用します。 • 水平方向の拡張性 - 1 台の McAfee ePO サーバーで管理可能な配備規模を大きくします。サーバーを水平方向 に拡張するには、複数のリモート エージェント ハンドラーをインストールし、各ハンドラーが 1 つのデータベ ースに情報を送信するようにします。 複数の McAfee ePO サーバーを使用する場合 組織の規模と構成によっては、複数の McAfee ePO サーバーが必要になる場合があります。 複数のサーバーが必要になる環境は次のとおりです。 • 部門別に異なるデータベースを維持する必要がある場合。 • 管理グループとテスト環境など、別個の IT インフラが必要な場合。 • 組織が地理的に離れた場所に分散し、リモート サイト間で WAN、VPN など比較的低速のネットワーク接続を使 用している場合。帯域幅の要件については、『McAfee ePolicy Orchestrator ハードウェア要件と帯域幅のサイ ジング ガイド』を参照してください。 ネットワークで複数のサーバーを使用する場合、サーバーごとに別のデータベースを使用する必要があります。各サ ーバーからメインの McAfee ePO サーバーとデータベースに情報をロールアップできます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 29 3 ePolicy Orchestrator の構成計画 管理対象環境でのインターネット プロトコル 複数のリモート エージェント ハンドラーを使用する場合 複数のリモート エージェント ハンドラーを使用すると、環境に McAfee ePO サーバーを追加せずに大規模な配備を 管理することができます。 エージェント ハンドラーは、エージェント要求を管理するサーバーのコンポーネントです。デフォルトでは、各 McAfee ePO サーバーにエージェント ハンドラーがインストールされます。次の場合には、複数のリモート エージ ェント ハンドラーが必要になります。 • エージェントが複数の物理デバイスから選択できる場合。アプリケーション サーバーが使用不能で、McAfee ePO サーバーをクラスター環境で実行していない場合でも、ポリシー、タスク、製品の更新を取得できます。 • より多くのエージェントや製品を処理し、エージェント/サーバー間通信間隔 (ASCI) が短くても対応できるよう に、既存の ePolicy Orchestrator インフラを拡張する場合。 • ネットワーク アドレス変換 (NAT) を使用するシステムや外部ネットワークのシステムなど、切断されたネット ワーク セグメントを McAfee ePO サーバーで管理する必要がある場合。 エージェント ハンドラーが高帯域幅で ePolicy Orchestrator データベースと接続している限り、この環境でも機 能します。 複数のエージェント ハンドラーを使用すると、柔軟性が増し、大規模配備の複雑さを解消することができます。ただ し、エージェント ハンドラーは非常に高速のネットワーク接続を必要とするため、次のような場合にはハンドラーの 使用に適しません。 • 分散リポジトリを置換する場合。分散リポジトリは、エージェントの通信トラフィックをローカルで行うように するためのローカル ファイル共有です。エージェント ハンドラーにはリポジトリ機能が組み込まれているため、 ePolicy Orchestrator データベースと常に接続している必要があります。このため、大量の帯域幅を消費しま す。 • WAN 接続でリポジトリの複製を向上させる場合。リポジトリの複製ではデータベースとの接続を維持する必要 があるため、WAN 接続を占有してしまう可能性があります。 • ePolicy Orchestrator データベースとの接続が制限されているか、一定ではないネットワーク セグメントに接続 する場合。 管理対象環境でのインターネット プロトコル ePolicy Orchestrator は、両方のインターネット プロトコル (IPv4 と IPv6) をサポートしています。 McAfee ePO サーバーは次の 3 つのモードで機能します。 • IPv4 のみ - IPv4 アドレス形式のみをサポートします。 • IPv6 のみ - IPv6 アドレス形式のみをサポートします。 • 混合モード - IPv4 と IPv6 アドレスの両形式をサポートします。 McAfee ePO で使用するモードはネットワークの設定により異なります。たとえば、ネットワークが IPv4 アドレス のみを使用するよう設定されている場合、サーバーは IPv4 のみのモードで機能します。同様に、ネットワークが IPv4 と IPv6 の両方のアドレスを使用するよう設定されている場合、サーバーは混合モードで機能します。 IPv6 がインストールされて有効になるまで、McAfee ePO サーバーは IPv4 アドレスのみを受信します。IPv6 を有 効にすると、設定されているモードで機能します。 McAfee ePO サーバーがエージェント ハンドラーと IPv6 で通信している場合、IP アドレスやサブネット アドレ ス、サブネット マスクなどのアドレス関連プロパティは、IPv6 形式でレポートされます。IPv6 関連のプロパティ がクライアントと McAfee ePO サーバー間で転送されたり、ユーザー インターフェースまたはログ ファイルに表示 される場合、IPv6 関連のプロパティは拡大形式や括弧で囲まれた形式で表示されます。 30 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator の構成計画 管理対象環境でのインターネット プロトコル 3 たとえば、3FFE:85B:1F1F::A9:1234 は [3FFE:085B:1F1F:0000:0000:0000:00A9:1234] と表示されます。 FTP または HTTP ソースに IPv6 アドレスを設定する場合、アドレスへの変更は必要ありません。ただし、UNC ソ ースにリテラル IPv6 アドレスを設定する場合は、Microsoft のリテラル IPv6 形式を使用してください。詳細につ いては、Microsoft のマニュアルを参照してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 31 3 ePolicy Orchestrator の構成計画 管理対象環境でのインターネット プロトコル 32 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 4 McAfee ePO サーバーのセットアップ McAfee ePO サーバーの基本的な機能を設定すると、サーバーをすぐに使用することができます。 目次 サーバー設定の概要 自動設定時に製品配備を行う 基本機能の手動設定または段階的な設定 製品の自動設定 基本的な機能を設定する プロキシ サーバーを使用する ライセンス キーを入力する サーバー設定の概要 環境固有の要件に合わせて McAfee ePO サーバーをセットアップするには、いくつかの方法があります。 設定が必要な McAfee ePO サーバーの基本機能は次のとおりです。 • [ソフトウェア マネージャー] - 新しいセキュリティ ソフトウェアと更新されたセキュリティ ソフトウェアを コンソールから McAfee ePO サーバーと[マスター リポジトリ]にチェックインします。 • [システム ツリー] - McAfee ePO サーバーで管理されているすべてのシステムが表示されます。これらのシス テムに対してアクションを実行できます。 • [ポリシー カタログ] - ポリシーを設定して、管理対象システムに配備されたセキュリティ ソフトウェアを制御 します。 • クライアント タスク カタログ - クライアント タスクの作成や割り当てを行います。また、管理対象システムで 自動的に実行されるように、タスクのスケジュールを設定します。 • [McAfee Agent] - ネットワーク内のシステムの管理を可能にします。エージェントを配備すると、エージェン トはサーバーと管理対象システムの間でステータス情報と関連データを送受信します。この機能により、セキュ リティ ソフトウェアの配備、ポリシーの施行、タスクの割り当てが実行されます。 McAfee Agent は独立したソフトウェア製品で、McAfee ePO サーバーがネットワーク内のシステムを管理する ために必要な製品です。ePolicy Orchestrator を最初にインストールしたときに、McAfee Agent がマスター リ ポジトリに自動的にチェックインされます。 これらの基本機能は次の方法で設定できます。 • [製品の初期配備] - すべての基本機能を自動的に設定します。 ePolicy Orchestrator へようこそ スライド ショーで、ソフトウェアの機能と動作を確認してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 33 4 McAfee ePO サーバーのセットアップ サーバー設定の概要 • [ガイド付き設定] - 基本機能を順番に設定することができます。 • [手動設定] - それぞれの基本機能の設定方法は、このガイドで説明します。 多くのユーザーは McAfee ePO サーバーを自動で設定しています。ただし、次のような場合には手動での設定が必 要になる場合があります。 • インターネット アクセスなし • 重要なインフラに対する直接ダウンロードの制限 • 製品配備の段階的な実施 (重要な環境に製品を段階的にリリースする必要がある場合) • 特定の要件が存在する大規模な組織 以下の表では、ePolicy Orchestrator を設定する場合の手順を段階的に説明します。 表 4-1 各設定方法の概要 製品の初期配備での手順 ガイド付き設定での手順 1 ePolicy Orchestrator のインストールが完了し、ソフ トウェアを開始します。 1 ePolicy Orchestrator のインストールが完了し、ソ フトウェアを開始します。 2 ログオン画面から ePolicy Orchestrator ユーザー イ ンターフェースにログオンします。ePolicy Orchestrator の開始 ダッシュボード ページが表示さ れます。 2 ログオン画面から ePolicy Orchestrator ユーザー インターフェースにログオンします。 通常の製品配備の場合、製品の自動設定 ページは表 示されません。表示された場合、製品のダウンロー ドまたはインストールに失敗しています。 3 ePolicy Orchestrator へようこそ スライド ショーを 実行して、ソフトウェアの機能と動作を確認してくださ い。 4 製品の配備 ダッシュボードで、正しい製品とバージョン が自動的にインストールされていることを確認し、[配 備の開始] をクリックします。 5 マイソフトウェアの配備 で、デフォルトの設定を使用す るか、個別に設定を行い、ソフトウェアを配備します。 6 環境の要件に応じて、次の操作を行います。 • サーバーの全般設定 を行う • サーバーの詳細設定 と機能を設定する • ユーザー アカウン トを作成する • 追加のコンポーネン トをセットアップす る • 権限セットを設定す る ePolicy Orchestrator の設定が完了し、システムを保護 できる状態になります。 3 ePolicy Orchestrator ガイド付き設定を実行し、次 の操作を行います。 • マスター リポジト リに McAfee セキ ュリティ ソフトウ ェアを追加する • クライアント更新 タスクのスケジュ ールを設定する • システム ツリーに システムを追加す る • セキュリティ製品 を管理対象システ ムに配備する • 1 つ以上のセキュ リティ ポリシーを 作成して管理対象 システムに割り当 てる ガイド付き設定は必須ではありません。それぞ れの手順を手動で行うこともできます。 4 環境の要件に応じて、次の操作を行います。 • サーバーの全般設 定を行う • サーバーの詳細設 定と機能を設定す る • ユーザー アカウン トを作成する • 追加のコンポーネ ントをセットアッ プする • 権限セットを設定 する ePolicy Orchestrator の設定が完了し、システムを保 護できる状態になります。 34 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド McAfee ePO サーバーのセットアップ 自動設定時に製品配備を行う 4 自動設定時に製品配備を行う 製品の初期配備を使用すると、ePolicy Orchestrator と管理対象システムに製品を迅速に配備し、インストールする ことができます。 開始する前に ePolicy Orchestrator をインストールすると、製品の自動設定が開始し、サイト ライセンスで許可され ている製品のダウンロードとインストールが実行されます。 エラーが発生しない限り、ユーザーが製品の自動設定の実行に気付くことはありません。 初期インストール後に ePolicy Orchestrator を自動的に設定するには、次の操作を行います。 タスク 1 McAfee ePO サーバーのデスクトップにある [ePolicy Orchestrator の起動] アイコンをクリックし、[ログオ ン] 画面を表示します。 2 [ログオン] ダイアログ ボックスで認証情報を入力し、言語を選択します。 [ePolicy Orchestrator の開始] ダッシュボードに、[ePolicy Orchestrator へようこそ] スライド ショーと [製 品配備] ダッシュボードが表示されます。 3 [ePolicy Orchestrator へようこそ] スライド ショーを実行します。ここで、ユーザー インターフェースと設定 プロセスを確認してください。 [製品配備] ダッシュボードに、製品の自動設定で自動的にダウンロードされ、インストールされた製品がすべて 表示されます。 4 インストールされている製品とバージョンが正しいことを確認して、[配備の開始] をクリックします。 5 必要に応じて次のタスクを実行し、ePolicy Orchestrator の設定を完了します。 • サーバーの全般設定を行う - このグループのサーバー設定は、サーバーが正常に動作するために必要でない 機能に影響を及ぼします。また、サーバーの機能については制御が可能です。 • ユーザー アカウントと作成して権限セットを設定する - ユーザーは、ユーザー アカウントを使用してサー バーにアクセスします。また、権限セットにより、ePolicy Orchestrator の機能に対するアクセス権が付与 されます。 • サーバーの詳細設定と機能の設定を行う - McAfee ePO サーバーには、ネットワーク セキュリティの管理 を自動化するための高度な機能が用意されています。 • 追加コンポーネントをセットアップする - ePolicy Orchestrator の高度な機能を使用するには、分散リポジ トリ、登録済みサーバー、エージェント ハンドラーなどの追加コンポーネントが必要になります。 McAfee ePO サーバーが管理対象システムを保護します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 35 4 McAfee ePO サーバーのセットアップ 基本機能の手動設定または段階的な設定 基本機能の手動設定または段階的な設定 McAfee ePO サーバーの機能の中には、手動設定または段階的な設定でセットアップが必要な重要な機能がありま す。これらの機能をセットアップしないと、ネットワーク上のシステムにセキュリティ ソフトウェアを配備して管理 することができません。 ePolicy Orchestrator には段階的な設定ツールが用意されています。このツールを使用すると、基本的な機能を設定 したり、ePolicy Orchestrator インターフェースの操作を確認することができます。段階的な設定では、次の操作を 行います。 1 McAfee セキュリティ ソフトウェアをマスター リポジトリにチェックインし、ネットワーク上のシステムに配備 できるようにします。 2 ePolicy Orchestrator システム ツリーにシステムを追加します。これにより、システムを管理対象にすることが できます。 3 管理対象システムに施行するセキュリティ ポリシーを作成し、割り当てることができます。 4 クライアント更新タスクのスケジュールを設定し、セキュリティ ソフトウェアを常に最新の状態にします。 5 管理対象システムにセキュリティ ソフトウェアを配備します。 段階的な設定は必須ではありません。これらの操作を手動で行う場合には、設定プロセスで類似したワークフローを 使用してください。機能の設定方法に関わらず、段階的な設定ツールを使用するか、McAfee ePO メニューの各ペー ジに直接移動すると、サーバーの設定を変更し、調整することができます。 製品の自動設定 McAfee ePO サーバーは、サイト ライセンスで使用が許可されているすべての McAfee 製品を自動設定時にダウン ロードします。 通常、ユーザーが製品の自動設定プロセスを意識することはありません。このプロセスは、ePolicy Orchestrator の インストールが完了するとすぐに開始し、ユーザーがログオンする前に終了します。 最初に ePolicy Orchestrator にログオンしたときに [製品の自動設定] ページが表示された場合、製品のダウンロー ドまたはインストールでエラーが発生しています。たとえば、インターネット接続が中断すると、このようなエラー が発生します。インストールに失敗した製品をメモして [再試行] をクリックし、製品のインストールを再度行って ください。 製品の自動インストールを停止するには、[停止] をクリックします。確認のダイアログ ボックスが表示され、ソフ トウェア マネージャーで製品をインストールするかどうかが確認されます。 [製品の自動セットアップの停止] 確認ダイアログ ボックスで [OK] をクリックした場合、ソフトウェア マネージャー を使用して製品をインストールする必要があります。製品の自動設定を実行できるのは、初期設定を行う場合だけで す。 製品の自動設定時に製品のインストールに繰り返し失敗する場合には、McAfee テクニカル サポートに連絡してくだ さい。あるいは、[OK] をクリックして [製品の自動設定] ページを終了し、McAfee ePO サーバーのセットアップ を開始してください。 製品のインストール状況を確認するには、[メニュー] 、 [ソフトウェア] 、 [ソフトウェア マネージャー] の順にク リックして、ソフトウェア マネージャーを開きます。 36 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド McAfee ePO サーバーのセットアップ 基本的な機能を設定する 4 基本的な機能を設定する ガイド付き設定ツールを使用して、基本的な機能を設定します。あるいは、McAfee ePO サーバーを手動で設定する ときに、これらのタスクを実行します。 開始する前に ePolicy Orchestrator を手動で設定する場合、あるいはガイド付き設定ツールを使用する場合には、製 品の自動設定を停止する必要があります。このタスクを実行するには、コマンドラインで SKIPAUTOPRODINST=1 パラメーターを指定して ePolicy Orchestrator の Setup.exe を実行し、製品 の自動設定を無効にする必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 McAfee ePO サーバーのデスクトップにある [ePolicy Orchestrator の起動] アイコンをクリックし、[ログオ ン] 画面を表示します。 2 ユーザー名とパスワードを入力します。必要であれば言語を選択して、[ログオン] をクリックします。ePolicy Orchestrator が開始し、[ダッシュボード] ダイアログ ボックスが表示されます。 3 [メニュー] 、 [レポート] 、 [ダッシュボード] の順にクリックし、[ダッシュボード] ドロップダウン リストか ら [ガイド付き設定] を選択して、[開始] をクリックします。 4 [ガイド付き設定] の概要と手順を確認して、[開始] をクリックします。 5 [ソフトウェアの選択] ページで次の操作を実行します。 6 a [チェックインされていないソフトウェア] 製品カテゴリで [ライセンス版] または [評価版] をクリックし て、使用可能な製品を表示します。 b [ソフトウェア] テーブルで、チェックインする製品を選択します。下のテーブルに製品の説明と使用可能なコ ンポーネントが表示されます。 c [すべてチェックイン] をクリックして、製品の拡張ファイルを McAfee ePO サーバーにチェックインし、製 品パッケージをマスター リポジトリにチェックインします。 d すべてのソフトウェアのチェックインが完了し、次のステップに進む準備ができたら、画面の上にある [次 へ] をクリックします。 [システムの選択] ページで次の操作を実行します。 a システム ツリー内でシステムを追加するグループを選択します。カスタム グループを定義していない場合に は、[ユーザーの組織] を選択して [次へ] をクリックします。[システムの追加] ダイアログ ボックスが開き ます。 b システム ツリーにシステムを追加する方法を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 37 4 McAfee ePO サーバーのセットアップ 基本的な機能を設定する システム 操作... を追加す る方 法... 手順... [AD 同 期] McAfee ePO サーバーと Active Directory 1 [AD 同期] ダイアログ ボックスで、使用する同期の (AD) サーバーまたはドメイン コントロー タイプを選択し、必要な設定を指定します。 ラー (DC) を同期します。このいずれかを 環境で使用している場合、AD 同期を使用す 2 [同期]、[保存] の順にクリックして、次の手順に進 ると、システム ツリーにシステムを簡単に追 みます。 加できます。 [手動] [システム ツリー]にシステムを手動で追加 1 [新しいシステム] ページで、[参照] をクリックして するには、名前を指定するか、ドメイン別に ドメインからシステムを個別に追加し、[OK] をクリ 表示されるシステムのリストを使用します。 ックします。あるいは、[ターゲット システム] フィ ールドにシステム名を入力します。 2 [システムの追加] をクリックして次の手順に進みま す。 7 [ポリシーの設定] ページで次の操作を実行します。 選択... 操作... 手順... [デフォルト を使用する] 配備するソフトウェアの My このステップを完了します。 Default ポリシー設定を使用して、 設定を続行します。 [ポリシーを 設定] チェックインしたソフトウェア製 品のカスタム ポリシーを設定しま す。 1 [ポリシーの設定] ダイアログ ボックスで、[OK] をクリ ックします。 2 [製品リスト] から製品を選択して [My Default] をクリ ックし、デフォルトのポリシー設定を編集します。 3 [次へ] をクリックして次の手順に進みます。 8 [ソフトウェアの更新] ページで次の操作を実行します。 選択... 操作... 手順... [デフォルト 毎日午後 12 時に実行される このステップを完了します。 を作成] デフォルトの製品更新クライ アント タスクを自動的に作成 します。 [タスク ス ケジュール の設定] 製品更新クライアント タスク 1 クライアント タスク割り当てビルダーを使用して、製品更新タ の実行スケジュールを手動で スクに製品とタスク名を指定します。 設定します。 [タスクの種類] の選択は変更しないでください。[タスクの 種類] は [製品の更新] でなければなりません。 2 [タスクの継承をロック] と [タグ] オプションを設定し、[次 へ] をクリックします。 3 更新タスクのスケジュールを指定し、[次へ] をクリックします。 4 サマリーを確認し、[保存] をクリックします。 38 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド McAfee ePO サーバーのセットアップ プロキシ サーバーを使用する 9 4 [ソフトウェアの配備] ページで次の操作を実行します。 a システム ツリーで、ソフトウェアを配備するシステムの場所を選択し、[次へ] をクリックします。[OK] を クリックして続行します。 b McAfee Agent 配備の設定を指定して [配備] をクリックします。 このアクションを後で実行するには、[エージェントの配備をスキップ] をクリックします。ただし、他のセキ ュリティ ソフトウェアを配備する前に、エージェントを配備する必要があります。 c 管理対象システムに配備するソフトウェア パッケージを選択して、[配備] をクリックします。 10 [設定のサマリー] ページで [完了] をクリックし、[ガイド付き設定] を終了します。 11 必要に応じて次のタスクを実行し、ePolicy Orchestrator の設定を完了します。 • サーバーの全般設定を行う - このグループのサーバー設定は、サーバーが正常に動作するために必要でない 機能に影響を及ぼします。また、サーバーの機能については制御が可能です。 • ユーザー アカウントと作成して権限セットを設定する - ユーザーは、ユーザー アカウントを使用してサー バーにアクセスします。また、権限セットにより、ePolicy Orchestrator の機能に対するアクセス権が付与 されます。 • サーバーの詳細設定と機能の設定を行う - McAfee ePO サーバーには、ネットワーク セキュリティの管理 を自動化するための高度な機能が用意されています。 • 追加コンポーネントをセットアップする - ePolicy Orchestrator の高度な機能を使用するには、分散リポジ トリ、登録済みサーバー、エージェント ハンドラーなどの追加コンポーネントが必要になります。 McAfee ePO サーバーが管理対象システムを保護します。 プロキシ サーバーを使用する ネットワーク環境でプロキシ サーバーを使用している場合には、[サーバーの設定] ページでプロキシの設定を指定 する必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [プロキシ設定] を選択して [編集] をクリックします。 2 [プロキシ設定を手動で設定] を選択し、各オプションでプロキシ サーバーが使用する設定情報を入力し、[保 存] をクリックします。 ライセンス キーを入力する ソフトウェアをインストールしたり、会社で所有する ePolicy Orchestrator ライセンス ソフトウェアを McAfee ソ フトウェア マネージャーに登録するには、ライセンス キーが必要です。 ライセンス キーがないと、ソフトウェアは評価モードで実行されます。評価期間が過ぎると、ソフトウェアは機能し なくなります。評価期間中または期間終了後、いつでもライセンス キーを追加できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 39 4 McAfee ePO サーバーのセットアップ ライセンス キーを入力する タスク オプションの定義については、インターフェースの [?] をクリックしてください。 40 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [ライセンス キー] を選択し て [編集] をクリックします。 2 ライセンス キーを入力して、[保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 5 ユーザー アカウントと権限セット ユーザー アカウントには 1 つ以上の権限セットが関連付けられています。権限セットによって、ソフトウェアでユ ーザーに許可される操作が決まります。 目次 ユーザー アカウント クライアント証明書による認証 権限セット ユーザー アカウント ユーザー アカウントを使用すると、ソフトウェアに対するユーザーのアクセスと使用を制御することができます。最 も小さい環境でも、システムの様々な部分に対するアクセス権をユーザーに付与し、アクセスを制御する必要があり ます。 ユーザー アカウントの作成と管理は、いくつかの方法で行うことができます。 • ユーザー アカウントを手動で作成し、各アカウントに適切な権限セットを割り当てます。 • ユーザーが Windows 認証でログオンできるように McAfee ePO サーバーを設定します。 ユーザーに Windows 認証情報によるログオンを許可するには、複数の設定を行い、コンポーネントをセットアップ する必要があります。 ユーザー アカウントと権限セットは密接に関係していますが、これらは別々の方法で作成し、設定します。 目次 ユーザー アカウントを管理する カスタム ログイン メッセージを作成する Active Directory ユーザー ログインの設定 使用可能なユーザー名とパスワードの形式 [入力ファイル] ページ (ポリシー割り当てのインポート ツール) ユーザー アカウントを管理する [ユーザー管理] ページでは、ユーザー アカウントを手動で作成、編集、削除することができます。 他のユーザーにアカウントに関連付けられた重要な情報がすべて移動するまで、アカウントの [ログイン ステータス] は削除せず、無効にすることをお勧めします。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 41 5 ユーザー アカウントと権限セット ユーザー アカウント タスク 1 [ユーザー管理] ページを開きます。[メニュー] 、 [ユーザー管理] 、 [ユーザー] の順にクリックします。 2 以下のいずれかのアクションを選択します。 アクショ ン 手順 ユーザー を作成す る 1 [新規ユーザー] をクリックします。 2 ユーザー名を入力します。 3 このアカウントのログオン ステータスを有効にするかどうかを選択します。たとえば、組織外の 個人がこのアカウントを使用する場合に、アカウントを無効にできます。 4 新しいアカウントで使用する認証方法 ([McAfee ePO 認証]、[Windows 認証] または [証明書 による認証]) を選択し、必要な認証情報を入力するか、証明書を検索して選択します。 5 ユーザーの姓名、電子メール アドレス、電話番号、説明などを [メモ] テキスト ボックスに入力 します (オプション) 6 ユーザーを管理者にするかどうか選択し、該当する権限セットを選択します。 7 [保存] をクリックして、[ユーザー] タブに戻ります。 [ユーザー管理] ページの [ユーザー] リストに新しいユーザーが表示されます。 ユーザー を編集す る 1 編集するユーザーを [ユーザー] リストから選択して、[アクション] 、 [編集] の順にクリックし ます。 2 必要に応じて、アカウントを編集します。 3 [保存] をクリックします。 [ユーザー管理] ページの [ユーザー] リストにユーザーの変更が表示されます。 ユーザー を削除す る 1 削除するユーザーを [ユーザー] リストから選択して、[アクション] 、 [削除] の順にクリックし ます。 2 プロンプトが表示されたら、[OK] をクリックします。 [ユーザー管理] ページの [ユーザー] リストからユーザーが消えます。 カスタム ログイン メッセージを作成する [ログオン] ページに表示されるカスタム ログオン メッセージを作成または表示します。 メッセージはテキスト形式で作成することも、HTML 形式で作成することもできます。HTML 形式で作成した場合、 正しい書式を使用し、エスケープを正しく行う必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [ログイン メッセージ] を選 択して [編集] をクリックします。 2 [カスタム ログイン メッセージを表示する] を選択してメッセージを入力し、[保存] をクリックします。 Active Directory ユーザー ログインの設定 Active Directory ユーザー ログインを設定すると、ユーザー アカウントとアクセスの管理で発生するオーバーヘッ ドを減らすことができます。 42 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット ユーザー アカウント 5 目次 Active Directory での ePolicy Orchestrator ユーザーの管理 Windows 認証と認証方針 McAfee ePO サーバーで Windows 認証を有効にする Windows 認証を設定する Windows 権限を設定する Active Directory での ePolicy Orchestrator ユーザーの管理 事前に存在するユーザーの Windows 認証情報を使用して ePolicy Orchestrator ユーザーを自動的に作成し、権限 を割り当てることができます。 このプロセスでは、使用している環境の Active Directory グループに ePolicy Orchestrator 権限セットを関連付 けます。組織内に多くの ePolicy Orchestrator ユーザーが存在する場合、この機能により管理作業が軽減できます。 設定を完了するには、次の手順を実行します。 • ユーザー認証を設定します。 • LDAP サーバーを登録します。 • Active Directory グループに権限セットを割り当てます。 ユーザー認証 ePolicy Orchestrator のユーザー認証では、ePolicy Orchestrator パスワード認証または Windows 認証を使用す ることができます。Windows 認証を使用する場合には、次のようにユーザーの認証方法を指定できます。 • McAfee ePO サーバーが参加しているドメインに対する認証 (デフォルト)。 • 1 つ以上のドメイン コントローラーのリストに対する認証。 • 1 つ以上の DNS 形式のドメイン名リストに対する認証。 • WINS サーバーを使用して適切なドメイン コントローラーを参照。 ドメイン コントローラー、DNS 形式のドメイン名または WINS サーバーを使用する場合には、Windows 認証サー バーを設定する必要があります。 登録済みの LDAP サーバー McAfee ePO サーバーに LDAP サーバーを登録し、動的に割り当てられた権限セットを Windows ユーザーに許可 する必要があります。動的に割り当てられた権限セットは、Active Directory グループ メンバーシップに基づいて ユーザーに割り当てられる権限セットです。 一方向の外部信頼で認証されたユーザーはサポートされません。 ePolicy Orchestrator に LDAP サーバーを登録するユーザー アカウントは、推移する双方向の信頼関係にあるか、 LDAP サーバーが所属するドメインに物理的に存在している必要があります。 Windows 認証 Windows 認証のサーバー設定では、ePolicy Orchestrator が特定ドメインのユーザーやグループの情報を収集する ために使用する Active Directory (AD) サーバーを指定します。複数のドメイン コントローラーと AD サーバーを 指定することができます。このサーバー設定では、ログイン時に Windows 認証情報を使用するユーザーに権限セッ トを動的に割り振ることができます。 Active Directory ユーザー ログインが無効になっている場合でも、ePolicy Orchestrator は Windows 認証ユーザ ーに権限セットを動的に割り当てることができます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 43 5 ユーザー アカウントと権限セット ユーザー アカウント 権限の割り当て ユーザーのプライマリ グループ以外の AD グループに 1 つ以上の権限セットを割り当てる必要があります。ユーザ ーのプライマリ グループに権限セットを動的に割り当てることはできません。このような権限は、個々のユーザーに 手動で割り当てる必要があります。デフォルトのプライマリ グループは「ドメイン ユーザー」です。 Active Directory ユーザー ログイン 前のセクションで設定を行っている場合には、ユーザーの自動作成を有効にできます。ユーザーの自動作成を有効に すると、次の条件を満たした場合にユーザー レコードが自動的に作成されます。 • ユーザーが <ドメイン\名前> の形式で有効な認証情報を入力する。たとえば、Windows ドメイン eng のメン バーで、Windows 認証が jsmith1 のユーザーの場合、認証情報 (eng\jsmith1) と適切なパスワードを入力し ます。 • このユーザーに関する情報がある Active Directory サーバーが ePolicy Orchestrator に登録されている。 • ユーザーが ePolicy Orchestrator 権限セットに関連付けられているドメイン ローカル グループまたはドメイ ン グローバル グループのメンバーになっている。 Windows 認証と認証方針 LDAP サーバーの登録方法を計画する場合、いくつかの方法があります。十分な時間をかけてサーバーの登録方法を 計画すれば、ユーザー認証で発生する問題を少なくすることができます。 このプロセスは一回だけ行い、以降はネットワーク トポロジ全体を変更した場合にのみ変更するのが理想的です。サ ーバーを登録し、Windows 認証を設定した後は、これらの設定を頻繁に変更する必要はありません。 認証と許可 認証 はユーザーの身元を確認する作業です。これは、ユーザーが提供した認証情報を比較し、システムが信頼してい る情報と比較するプロセスです。この作業では、McAfee ePO サーバー アカウント、Active Directory 証明書、認 証情報などが使用されます。Windows 認証を使用する場合には、ユーザー アカウントが存在するドメイン (または サーバー) の編成方法を確認する必要があります。 許可は、ユーザーの認証情報を検証した後に実行されます。このプロセスでは、権限セットが適用され、ユーザーが システム内で実行できう操作が決まります。Windows 認証を使用している場合には、別のドメインのユーザーに許 可する操作を決めることができます。この設定を行うには、これらのドメインに含まれているグループに権限セット を付与します。 ユーザー アカウントのネットワーク トポロジ Windows 認証と許可を完全に設定するために必要な時間はネットワーク トポロジ (ネットワーク内でのユーザー アカウントの分布) によって異なります。 • 潜在的なユーザーの認証情報がすべて単一ドメイン ツリー内の限られた数のドメイン (またはサーバー) に存在 している場合には、このツリーのルートを登録すれば作業は完了です。 • ユーザー アカウントが広範囲に分布している場合には、複数のサーバーまたはドメインを登録する必要がありま す。必要なドメイン (またはサーバー) のサブツリーの最小数を決定し、これらのツリーのルートを登録します。 最も使用回数が多い順番で登録してください。認証プロセスはドメイン (またはサーバー) のリストの上から順 番に実行されるので、使用頻度の最も高いドメインをリストの先頭に置くと、認証プロセスの平均的なパフォー マンスが向上します。 権限構造 Windows 認証を使用してユーザーが McAfee ePO サーバーにログインできるようにするには、ドメインに参加して いるアカウントの Active Directory グループに権限セットを割り当てる必要があります。権限セットを割り当てる 方法を決定する場合には、次の点に留意してください。 44 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット ユーザー アカウント 5 • 権限セットは複数の Active Directory グループに割り当てることができます。 • 権限セットは、Active Directory グループ全体に動的に割り当てることができます。グループ内の一部のユーザ ーにだけ割り当てることはできません。 個々のユーザーに特別な権限を割り当てる必要がある場合には、そのユーザーだけを含む Active Directory グルー プを作成してください。 McAfee ePO サーバーで Windows 認証を有効にする 高度な Windows 認証を行うには、サーバーを準備する必要があります。 サーバー設定で [Windows 認証] ページをアクティブにするには、ePolicy Orchestrator サービスを停止する必要 があります。このタスクは、McAfee ePO サーバーで実行する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 サーバーのコンソールから、[スタート] 、 [設定] 、 [コントロール パネル] 、 [管理ツール] の順に選択しま す。 2 [サービス] を選択します。 3 [サービス] ウィンドウで、[McAfee ePolicy Orchestrator Applications Server] を右クリックし、[停止] を選 択します。 4 Winauth.dll の名前を Winauth.bak に変更します。 デフォルトのインストールでは、このファイルは C:\Program Files\McAfee\ePolicy Orchestrator \Server\bin にあります。 5 サーバーを再起動します。 [サーバー設定] ページを開くと、[Windows 認証] オプションが表示されます。 Windows 認証を設定する ePolicy Orchestrator で既存の Windows アカウントの認証情報を使用するには、いくつかの方法があります。 開始する前に Windows 認証を行うサーバーを準備する必要があります。 設定方法は、次のような状況により異なります。 • 複数のドメイン コントローラーを使用しているかどうか。 • ユーザーが複数のドメインに点在しているかどうか。 • ユーザーが認証を受けるドメインを WINS サーバーで参照するかどうか。 特別な設定でなければ、McAfee ePO サーバーが参加しているドメインまたは McAfee ePO サーバーのドメインと 相互に信頼関係を構築しているドメインの Windows 認証情報でユーザーの認証を行うことができます。この条件 に該当しないドメインにユーザーが存在している場合には、Windows 認証を設定する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] リストから [Windows 認証] を 選択します。 2 [編集] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 45 5 ユーザー アカウントと権限セット ユーザー アカウント 3 1 つ以上のドメインを使用するのか、1 つ以上のドメイン コントローラーを使用するのか、あるいは WINS サー バーを使用するのかどうかを指定します。 ドメインは DNS 形式 (例: internaldomain.com) で指定する必要があります。ドメイン コントローラーと WINS サーバーの場合には完全修飾ドメイン名 (例: dc.internaldomain.com) を指定する必要があります。 ドメインまたはドメイン コントローラーは複数指定できますが、WINS サーバーは 1 つのみです。[+] をクリッ クして、ドメインまたはドメイン コントローラーをリストに追加します。 4 サーバーの追加が終了したら、[保存] をクリックします。 ドメインまたはドメイン コントローラーを指定すると、McAfee ePO サーバーは、表示された順番でサーバーに接 続し、ユーザーの認証を行います。まず最初に、リストの先頭にあるサーバーにアクセスし、ユーザーの認証に失敗 すると、リスト内の次のサーバーにアクセスします。 Windows 権限を設定する Windows 認証で McAfee ePO サーバーにログオンするには、Active Directory グループの一つに割り当てられた 権限セットが必要です。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ユーザー管理] 、 [権限セット] の順にクリックします。 2 [権限セット] リストから権限セットを選択して [名前とユーザー] の [編集] をクリックします。あるいは、[ア クション] 、 [新規] の順にクリックします。 3 権限セットを適用するユーザーを選択します。 4 リストからサーバー名を選択して、[追加] をクリックします。 5 LDAP ブラウザーで、この権限セットを適用するグループを選択します。 [参照] ペインで項目を選択すると、この項目のメンバーが [グループ] ペインに表示されます。権限セットを動的 に受信するグループを選択できます。一回に追加されるメンバーは 1 つだけです。複数を追加する場合には、手 順 4 と 5 を繰り返します。 6 [保存] をクリックします。 Windows 認証でサーバーにログオンするときに、指定したグループのすべてのユーザーに権限セットが適用されま す。 使用可能なユーザー名とパスワードの形式 SQL データベースのユーザー名とパスワードを作成する場合には、使用可能な形式を確認してください。 次の例外を除き、ISO8859-1 文字セットのすべての印刷可能文字を使用できます。 プラットフォーム ユーザー名とパスワードに使用できない文字 McAfee ePO • 先頭または末尾のスペース。スペースの みで構成されているパスワード。 • ユーザー名のコロン (:) • 二重引用符 (") • ユーザー名のセミコロン (;) • 先頭のバックスラッシュ (\) 46 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット クライアント証明書による認証 5 [入力ファイル] ページ (ポリシー割り当てのインポート ツール) インポートするポリシー割り当てを含む XML ファイルを検索して選択します。 表 5-1 オプションの定義 オプション 定義 [インポート ファイル] インポートする XML 形式のポリシー割り当てファイルを指定します。[参照] を選択し て、ファイルを選択します。 クライアント証明書による認証 McAfee ePO サーバーにログオンするときに、認証証明書としてデジタル証明書を使用することができます。 目次 クライアント証明書認証を使用する場合 ePolicy Orchestrator でクライアント証明書による認証を設定する McAfee ePO サーバーで証明書による認証を変更する McAfee ePO サーバーでクライアント証明書による認証を無効にする ユーザーに証明書による認証を設定する CRL ファイルを更新する クライアント証明書による認証で発生する問題 SSL 証明書 OpenSSL で自己署名証明書を作成する その他の便利な OpenSSL コマンド 既存の PVK ファイルを PEM ファイルに変換する クライアント証明書認証を使用する場合 クライアント証明書による認証は、最も安全な認証方法です。ただし、すべての環境で最適な方法とはいえません。 クライアント証明書による認証は公開鍵認証の拡張機能です。基本的に公開鍵を使用しますが、公開鍵認証とは異な り、認証局 (CA) という信頼できる第三者を信頼するだけです。証明書は、情報の正確性を検証する CA が電子署名 した識別情報と公開鍵を含むデジタル文書です。 証明書による認証の利点 証明書による認証には、パスワード認証にはない利点があります。 • 証明書には有効期限が事前に定義されています。証明書が期限切れになると、ユーザーの権限を定期的に確認す る必要があります。 • ユーザーのアクセス権を停止または終了する必要がある場合、証明書を証明書失効リスト (CRL) に追加できま す。不正アクセスを防止するため、このリストがログオン試行時に確認されます。 • 非常に少ない CA (通常は 1 つ) を信頼すればよいため、他の認証形式よりも柔軟に証明書認証を管理し、展開す ることができます。 証明書認証のデメリット すべての環境で証明書認証が最適な方法とは限りません。この方法のデメリットは次のとおりです。 • 公開鍵基盤が必要です。余分な費用が必要になりますが、必ずしもセキュリティが強化されるわけではありませ ん。 • パスワードによる認証に比べると、証明書を維持するために余分な作業が必要になります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 47 5 ユーザー アカウントと権限セット クライアント証明書による認証 ePolicy Orchestrator でクライアント証明書による認証を設定する 証明書認証でログインする前に、ePolicy Orchestrator を正しく設定する必要があります。 開始する前に P7B、PKCS12、DER または PEM 形式の署名付き証明書を取得している必要があります。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 [証明書による認証] を選択して [編集] をクリックします。 3 [証明書による認証を有効にする] を選択します。 4 [クライアント証明書の CA 証明書 (P7B、PEM)] の横にある [参照] をクリックします。 5 証明書ファイルを検索して選択し、[OK] をクリックします。 6 証明書失効リスト (CRL) ファイルがある場合には、この編集ボックスの横にある [参照] をクリックして CRL フ ァイルを選択し、[OK] をクリックします。 7 [保存] をクリックして、すべての変更を保存します。 8 ePolicy Orchestrator を再起動して、証明書認証を有効にします。 McAfee ePO サーバーで証明書による認証を変更する 標準の HTTP セッションよりもセキュリティが強化される SSL 接続を行うには、サーバーに証明書が必要です。 開始する前に 署名付きの証明書をアップロードするには、認証局 (CA) からサーバーの証明書を取得している必要が あります。 外部の署名付き証明書は危険性が高くなります。このような証明書ではなく、自己署名付きの証明書を作成すること もできます。このタスクは、証明書による認証を最初に設定する場合や、更新された証明書で既存の設定を変更する 場合に実行できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 [証明書による認証] を選択して [編集] をクリックします。 3 [証明書による認証を有効にする] を選択します。 4 [クライアント証明書の CA 証明書] の横にある [参照] ボタンをクリックします。証明書ファイルを検索して選 択し、[OK] をクリックします。 ファイルが適用されると、プロンプトが [現在の CA 証明書を置換] に変わります。 5 PKCS12 証明書ファイルを使用する場合には、パスワードを入力します。 6 証明書失効リスト (CRL) ファイルを使用する場合には、[証明書失効リスト (PEM)] の横にある [参照] をクリッ クします。CRL ファイルを検索して選択し、[OK] をクリックします。 CRL ファイルは PEM 形式にしてください。 7 48 必要に応じて、高度な設定を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット クライアント証明書による認証 8 [保存] をクリックして、すべての変更を保存します。 9 サーバーを再起動して、証明書による認証の設定変更を有効にします。 5 McAfee ePO サーバーでクライアント証明書による認証を無効にする 不要になったサーバー証明書は無効にする必要があります。 開始する前に サーバー証明書を無効にする前に、サーバーでクライアント証明書による認証を設定する必要がありま す。 アップロードされたサーバー証明書は無効にできますが、削除できません。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順に選択して、[サーバー設定] ページを開きます。 2 [証明書による認証] を選択して [編集] をクリックします。 3 [証明書による認証を有効にする] の選択を解除して、[保存] をクリックします。 サーバーの設定が変更されます。ただし、変更を有効にするにはサーバーを再起動する必要があります。 ユーザーに証明書による認証を設定する デジタル証明書で認証を行うには、証明書による認証を設定する必要があります。 通常、ユーザー認証に使用する証明書はスマートカードまたは同等のデバイスで提供されます。証明書ファイルは、 スマートカードにあるソフトウェアで抽出します。抽出した証明書ファイルは、この手順でアップロードしたファイ ルと同じです。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ユーザー管理] 、 [ユーザー] の順にクリックします。 2 ユーザーを選択して、[アクション] 、 [編集] の順にクリックします。 3 [認証方法または認証情報を変更]、[証明書による認証] の順に選択します。 4 以下のいずれかの方法で認証情報を指定します。 • 証明書ファイルの DN フィールドをコピーして、[個人証明書の件名識別名フィールド] 編集ボックスに貼り 付けます。 • 「ePolicy Orchestrator の証明書認証を設定する」セクションでアップロードした CA 証明書で署名されてい る証明書ファイルをアップロードします。[参照] をクリックしてコンピューター上の証明書ファイルを選択 し、[OK] をクリックします。 ユーザーの証明書を PEM または DER でエンコードします。形式が X.509 または PKCS12 準拠であれば、実際 の証明書はどのような形式でもかまいません。 5 [保存] をクリックし、ユーザーの設定に対する変更を保存します。 指定した証明書情報が検証されます。エラーがあれば、警告が表示されます。証明書がインストールされたブラウザ ーから ePolicy Orchestrator にログオンすると、ログオン フォームがグレー表示になり、ユーザーがすぐに認証さ れます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 49 5 ユーザー アカウントと権限セット クライアント証明書による認証 CRL ファイルを更新する McAfee ePO サーバーにインストールされた証明書失効リスト (CRL) ファイルを更新すると、特定のユーザーによ る ePolicy Orchestrator へのアクセスを阻止することができます。 開始する前に ZIP または PEM 形式の CRL ファイルを用意する必要があります。 CRL ファイルには、失効した ePolicy Orchestrator ユーザーの一覧とデジタル証明書のステータスが記録されま す。このリストには、失効した証明書、失効理由、証明書の発行日、発行元などが記録されています。ユーザーが McAfee ePO サーバーにアクセスすると、CRL ファイルが確認され、ユーザーによるアクセスを許可または禁止し ます。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 [証明書による認証] を選択して [編集] をクリックします。 3 証明書失効リスト (CRL) ファイルを更新するんは、この編集ボックスの横にある [参照] をクリックして CRL フ ァイルを選択し、[OK] をクリックします。 4 [保存] をクリックして、すべての変更を保存します。 5 ePolicy Orchestrator を再起動して、証明書認証を有効にします。 コマンドラインで cURL を実行しても CRL ファイルを更新できます。たとえば、コマンドラインで次のように cURL コマンドを入力します。 コマンドラインから cURL コマンドを実行するには、cURL がインストールされ、McAfee ePO サーバーにリモー トからアクセスできる必要があります。cURL ダウンロードの詳細と例については、『ePolicy Orchestrator 5.0.0 スクリプト ガイド』を参照してください。 curl -k --cert <admin_cert>.pem --key <admin_key>.pem https://<localhost>:<port>/ remote/console.cert.updatecrl.do -F crlFile=@<crls>.zip このコマンドで: • <admin_cert> -管理者クライアントの認証 .PEM ファイルの名前 • <admin_key> -管理者クライアントの秘密鍵 .PEM ファイルの名前 • <localhost>:<port> - McAfee ePO サーバー名と通信ポート番号 • <crls> - CRL、.PEM または .zip ファイルの名前 ユーザーが McAfee ePO サーバーにアクセスして証明書認証の失効状態を確認するたびに、新しい CRL ファイルが 確認されます。 クライアント証明書による認証で発生する問題 証明書を使用した認証で発生する問題の大半は、特定の問題が原因で発生しています。 証明書で ePolicy Orchestrator にログオンできない場合には、以下のいずれかの方法で問題を解決してください。 50 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット クライアント証明書による認証 • ユーザーが無効になっていないかどうか確認しま す。 • ユーザーの設定ページで DN フィールドが正し く設定されているかどうか確認します。 • 証明書が期限切れになっていないか、あるいは失 効していないかどうか確認します。 • ブラウザーが正しい証明書を提供しているかどう か確認します。 • 証明書に正しい認証局の署名が付いているかどう か確認します。 • 監査ログで認証メッセージを調べます。 5 SSL 証明書 McAfee ePO でサポートされるブラウザーでは、サーバーの SSL 証明書が有効であることや、ブラウザーが信頼し ているソースによって署名されていることが確認できない場合、証明書に関する警告が表示されます。デフォルトで は、McAfee ePO サーバーは Web ブラウザーとの SSL 通信時に自己署名付き証明書を使用します。これはデフォ ルトでは、ブラウザーで信頼されていません。このため、McAfee ePO コンソールにアクセスするたびに警告メッセ ージが表示されます。 警告メッセージを表示しないようにするには、次のいずれかを実行してください。 • McAfee ePO サーバー証明書を、ブラウザーが使用する信頼済み証明書のリストに追加します。 これは、McAfee ePO で使用するすべてのブラウザーで実行する必要があります。ブラウザーの証明書が変更され た場合、サーバーから送信される証明書がブラウザーで使用するよう設定されたものと一致しなくなるため、 McAfee ePO サーバーの証明書を再度追加する必要があります。 • デフォルトの McAfee ePO サーバー証明書と、ブラウザーが信頼する認証局 (CA) によって署名されている有効 な証明書を置き換えます。これは最善の方法です。信頼されている CA によって証明書が署名されているため、 組織内のすべての Web ブラウザーにその証明書を追加する必要はありません。 サーバーのホスト名が変更された場合は、サーバーの証明書を信頼済みの CA によって署名されているものと置き 換えます。 McAfee ePO サーバー証明書を置き換える前に、証明書 (信頼済みの CA によって署名されている証明書) を先に取 得する必要があります。また、証明書の秘密鍵とパスワードも必要となります。これらのすべてのファイルを使用し て、サーバーの証明書を置き換えることができます。サーバー証明書の置き換えについては、「セキュリティ キーと その機能」を参照してください。 McAfee ePO ブラウザーでは、次の形式のファイルの使用が想定されています。 • サーバー証明書 - P7B または PEM • 秘密鍵 - PEM サーバー証明書または秘密鍵がこれらの形式でない場合、サーバー証明書を置き換える前にサポート対象の形式に変 換する必要があります。 サーバー証明書を置換する [サーバー設定] では、ePolicy Orchestrator が使用するサーバー証明書と秘密鍵を指定できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバーの設定] の順にクリックし、[カテゴリの設定] リストの [サーバー証明書] を クリックします。 2 [編集] をクリックします。[サーバー証明書を編集] ページが表示されます。 3 サーバー証明書ファイルを検索して [開く] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 51 5 ユーザー アカウントと権限セット クライアント証明書による認証 4 秘密鍵ファイルを検索して [開く] をクリックします。 5 必要であれば、秘密鍵のパスワードを入力します。 6 [保存] をクリックします。 変更を有効にするには、新しい証明書と秘密鍵を適用した後に ePolicy Orchestrator を再起動する必要がありま す。 Internet Explorer でセキュリティ証明書をインストールする セキュリティ証明書をインストールすると、ログオン時に証明書を確認するプロンプトが表示されなくなります。 タスク 1 ブラウザーから ePolicy Orchestrator を起動します。ナビゲーションを中断したことを通知する証明書エラー ページが表示されます。 2 [この Web サイトに進む (推奨しません)] をクリックしてログオン ページを開きます。アドレス バーが赤くな り、ブラウザーでセキュリティ証明書が確認できないことが通知されます。 3 アドレス バーの右側にある [証明書エラー] をクリックし、無効な証明書の警告を表示します。 4 警告メッセージの下にある [証明書の表示] をクリックし、[証明書] ダイアログ ボックスを開きます。 [全般] タブで [証明書のインストール] をクリックしないでください。この操作を行うと、エラーが発生します。 5 [証明のパス] タブを選択して [Orion_CA_<サーバー名>] を選択し、[証明書の表示] をクリックします。別の ダイアログ ボックスが開き、[全般] タブに証明書情報が表示されます。 6 [証明書のインストール] をクリックし、[証明書のインポート ウィザード] を開きます。 7 [次へ] をクリックして、証明書の保存場所を指定します。 8 [次のストアにすべての証明書を保存] を選択して [参照] をクリックし、場所を選択します。 9 リストから [信頼されたルート証明機関] フォルダーを選択して [OK] をクリックし、[次へ] をクリックします。 10 [完了] をクリックします。セキュリティ警告が表示されたら、[はい] をクリックします。 11 ブラウザーを閉じます。 12 ePolicy Orchestrator のショートカットのターゲットを変更して、「localhost」ではなく McAfee ePO サーバ ーの NetBIOS 名を使用します。 13 ePolicy Orchestrator を再起動します。 ePolicy Orchestrator にログオンしたときに、証明書のプロンプトが表示されなくなります。 Firefox 3.5 以降でセキュリティ証明書をインストールする Firefox 3.5 以降を使用しているときに、ログオン時にダイアログ ボックスが表示されないようにセキュリティ証明 書をインストールできます。 タスク 52 1 ブラウザーから ePolicy Orchestrator を起動します。[安全な接続ができませんでした] ページが表示されま す。 2 ページの下にある [例外として扱うこともできます] をクリックします。ページに [例外の追加] ボタンが表示さ れます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット クライアント証明書による認証 5 3 [例外の追加] をクリックします。[セキュリティ例外の追加] ダイアログ ボックスが表示されます。 4 [証明書を取得] をクリックします。証明書のステータス情報が更新され、[セキュリティ例外を確認] ボタンが有 効になります。 5 [次回以降にもこの例外を有効にする] を選択して [セキュリティ例外を承認] をクリックします。 ePolicy Orchestrator にログオンしたときに、証明書のプロンプトが表示されなくなります。 OpenSSL で自己署名証明書を作成する 認証局が発行した証明書を使用できない場合や不要な場合があります。また、このような証明書が間に合わない場合 もあります。初期のテストや、内部ネットワークで使用するシステムの場合、自己署名証明書を使用すると、基本的 なセキュリティと必要な機能を提供することができます。 開始する前に 自己署名証明書を作成するには、Windows 用の OpenSSL が必要です。OpenSSL は次の場所から入 手できます。 http://www.slproweb.com/products/Win32OpenSSL.html McAfee ePO サーバーで使用する証明書を作成して自己署名するには、Windows 用の OpenSSL を使用します。 自己署名証明書の作成には他のツールも使用できます。ここでは、OpenSSL を使用する場合のプロセスについて説明 します。 このタスクで使用するファイル構造は次のとおりです。 デフォルトでは、OpenSSL はこれらのフォルダーを作成しません。以下の例では、これらのフォルダーを使用しま す。フォルダーを作成しておくと、出力ファイルを簡単に見つけることができます。 • [C:\ssl\] - OpenSSL のインストール フォルダー • [C:\ssl\certs\] - 作成する証明書の保存場所 • [C:\ssl\keys\] - 作成するキーの保存場所 • [C:\ssl\requests\] - 作成する証明書要求の保存場所 タスク 1 コマンドラインで以下のコマンドを入力して、初期の証明書キーを生成します。 C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024 次の画面が表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 53 5 ユーザー アカウントと権限セット クライアント証明書による認証 2 最初のコマンド プロンプトでパスフレーズを入力します。確認のため、次のコマンド プロンプトでも同じパスフ レーズを入力します。 入力したパスフレーズは記録しておいてください。プロセスの後半で必要になります。 ca.key という名前のファイルが生成され、C:\ssl\keys\ に保存されます。 次のようなキーが生成されます。 3 コマンドラインで以下のコマンドを入力して、作成した証明書キーに自己署名します。 openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer 次の画面が表示されます。 以下のコマンド プロンプトで必要な情報を入力します。 54 • Country Name (2 letter code) [AU]: • State or Province Name (full name) [Some-State]: • Locality Name (eg, city) []: • Organization Name (eg, company) [Internet Widgits Pty Ltd]: McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット クライアント証明書による認証 • Organizational Unit Name (eg, section) []: • Common Name (eg, YOUR name) []: 5 このコマンド プロンプトで、サーバーの名前 (McAfee ePO サーバーの名前など) を入力します。 • Email Address []: ca.cer という名前のファイルが生成され、C:\ssl\certs\ に保存されます。 次のような自己署名証明書が生成されます。 VeriSign や Microsoft Windows Enterprise Certificate Authority などの外部の認証局を使用する場合には、 ePolicy Orchestrator に署名済み証明書を作成してください。詳細については、KnowledgeBase の記事 KB72477 を参照してください。 4 証明書を McAfee ePO サーバーにアップロードして管理します。 その他の便利な OpenSSL コマンド OpenSSL コマンドを使用すると、生成された PKCS12 証明書からキーを抽出して結合したり、パスワードで保護 された秘密鍵の PEM ファイルをパスワードで保護されていないファイルに変換することができます。 PKCS12 証明書に使用するコマンド 以下のコマンドは、証明書とキーの両方を含む PKCS12 証明書を 1 つのファイルに作成します。 説明 OpenSSL コマンドの形式 証明書とキーを 1 つのファイルに作成する openssl req -x509 -nodes -days 365 -newkey rsa:1024 -config path \openssl.cnf -keyout path \pkcs12Example.pem -out path \pkcs12Example.pem 証明書の PKCS12 バージョンをエクスポートする openssl pkcs12 -export -out path \pkcs12Example.pfx -in path \pkcs12Example.pem -name " user_name_string " 以下のコマンドは、PKCS12 証明書に含まれる証明書とキーを分離します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 55 5 ユーザー アカウントと権限セット 権限セット OpenSSL コマンドの形式 説明 .pfx ファイルから .pem キーを抽出する openssl pkcs12 -in pkcs12ExampleKey.pfx -out pkcs12ExampleKey.pem キーのパスワードを削除する openssl rsa -in pkcs12ExampleKey.pem -out pkcs12ExampleKeyNoPW.pem ePolicy Orchestrator サーバーは、pkcs12ExampleCert.pem を証 明書として使用し、pkcs12ExampleKey.pem をキー (またはパスワ ードで保護されていないキー pkcs12ExampleKeyNoPW.pem) とし て使用します。 パスワードで保護された秘密鍵の PEM ファイルを変換するコマンド パスワードで保護された秘密鍵の PEM ファイルをパスワードで保護されていないファイルに変換するには、次のコ マンドを入力します。 openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem 前の例で、C:\ssl\keys は、key.pem、keyNoPassword.pem という名前のファイルの入出力パスです。 既存の PVK ファイルを PEM ファイルに変換する ePolicy Orchestrator のブラウザーは、PEM でエンコードされた秘密鍵に対応しています。パスワードで保護され た秘密鍵だけでなく、パスワードで保護されていない秘密鍵にも対応しています。OpenSSL を使用すると、PVK 形 式のキーを PEM 形式に変換できます。 開始する前に PVK ファイルを変換するには、Windows 用の OpenSSL をインストールします。このソフトウェアは 次の場所から取得できます。 http://www.slproweb.com/products/Win32OpenSSL.html Windows 用の OpenSSL を使用して、PVK 形式の証明書を PEM 形式に変換します。 タスク 1 以前に作成した PVK ファイルを PEM ファイルを変換するには、コマンドラインで次のコマンドを入力します。 openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl \keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd この例で、-passin と -passout はオプションの引数です。 2 プロンプトが表示されたら、元の PVK ファイルを作成したときに使用したパスワードを入力します。 前の例で -passout 引数を指定しないと、新しく作成した PEM 形式のキーはパスワードで保護されません。 権限セット 権限セットを使用すると、ソフトウェアで使用できる機能に対するアクセス権を制御できます。 ePolicy Orchestrator では、システムの様々な部分に対するアクセス権をユーザーに付与し、アクセスを制御する必 要があります。 目次 ユーザー、グループ、権限セットの関係 56 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット 権限セット 5 権限セットの操作 ユーザー、グループ、権限セットの関係 ePolicy Orchestrator では、ユーザー、グループ、権限セットの関係によって項目へのアクセスが制御されていま す。 ユーザー ユーザーには 2 つのカテゴリがあります。一つは管理者で、システム全体に対するフルアクセス権が付与されます。 もう一つは通常ユーザーです。通常ユーザーには、ePolicy Orchestrator でのアクセス レベルが定義された権限セ ットが割り当てられます。 ユーザー アカウントの作成と管理は、いくつかの方法で行うことができます。 • ユーザー アカウントを手動で作成し、各アカウントに適切な権限セットを割り当てます。 • ユーザーが Windows 認証でログオンできるように McAfee ePO サーバーを設定します。 ユーザーに Windows 認証情報によるログオンを許可するには、複数の設定を行い、コンポーネントをセットアップ する必要があります。このオプションの詳細については、「Active Directory による ePolicy Orchestrator ユーザ ーの管理」を参照してください。 ユーザー アカウントと権限セットは密接に関係していますが、これらは別々の方法で作成し、設定します。権限セッ トの詳細については、「権限セットを管理する」を参照してください。 管理者 管理者には、読み取り権限、書き込み権限、すべての操作の実行権限があります。サーバーをインストールすると、 管理者のアカウントが自動的に作成されます。デフォルトでは、このアカウントのユーザー名は [admin] になりま す。インストール中にデフォルト値を変更すると、このアカウントの名前も変更されます。 別のユーザーが管理者権限を必要とする場合には、管理者アカウントを追加することができます。 管理者固有の権限は次のとおりです。 • ソース サイトおよびフォールバック サイトの作成、編集、削除 • サーバー設定の変更 • ユーザー アカウントの追加と削除 • 権限セットの追加、削除、割り当て • ePolicy Orchestrator データベースへのイベントのインポートと保存されるイベントの制限 グループ クエリとレポートはグループに割り当てられます。グループは、プライベート (そのユーザーのみ)、グローバル公 開 (共有)、1 つ以上の権限セットで共有、のいずれかになります。 権限セット 特定のアクセス プロファイルは権限セットで定義されます。通常、ePolicy Orchestrator の様々な部分に対するア クセス レベルの組み合わせが記述されます。たとえば、単一の権限セットで、監査ログの読み取り権限、公開/共有 ダッシュボードの使用、公開レポートまたはクエリの作成および編集権限が付与される場合があります。 権限セットは個々のユーザーに割り当てることができます。Active Directory を使用している場合には、特定の Active Directory サーバーのすべてのユーザーに割り当てることもできます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 57 5 ユーザー アカウントと権限セット 権限セット 権限セットの操作 [権限セット] ページでは、ユーザー アクセスを管理します。権限セットの作成と変更を行うこともできます。 タスク • 58 ページの「権限セットを管理する」 [権限セット] ページでは、ユーザー アクセスを管理します。権限セットの作成、変更、エクスポート、 インポートを行うことができます。 • 60 ページの「権限セットのエクスポートとインポートを行う」 完全な権限セットを定義している場合、これらの権限セットをエクスポートして他のサーバーにインポ ートすると、別の McAfee ePO サーバーに簡単に移行することができます。 権限セットを管理する [権限セット] ページでは、ユーザー アクセスを管理します。権限セットの作成、変更、エクスポート、インポート を行うことができます。 権限セットを定義したら、それらをエクスポートして他のサーバーにインポートとすると、別の McAfee ePO サーバ ーに簡単に移行することができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 58 1 [新しい権限セット] ページを開きます。[メニュー] 、 [ユーザー管理] 、 [権限セット] の順にクリックします。 2 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ユーザー アカウントと権限セット 権限セット アクショ ン 手順 新しい権 限セット を作成す る 1 [アクション] 、 [新規] の順にクリックします。 5 2 新しい権限セットの名前を入力します。 ePolicy Orchestrator では、既存の名前を使用できません。権限セットごとに一意の名前を設定 してください。 3 この権限セットを特定のユーザーにすぐに割り当てるには、[ユーザー] セクションでユーザー名 を選択します。 4 この権限セットを割り当てるすべてのユーザーが Active Directory グループ内に存在する場合、 [サーバー名] リストからサーバーを選択して [追加] をクリックします。 5 追加されている Active Directory サーバーを削除するには、Active Directory のリスト ボック スからサーバーを選択して、[削除] をクリックします。 6 [保存] をクリックして、権限セットを作成します。 これで権限セットが作成されましたが、権限はまだ割り当てていません。 既存の権 限セット を変更す る 1 変更する権限セットを選択します。詳細が右側に表示されます。 新しい権限セットを作成した場合、新しく作成した権限セットが選択されています。 2 カテゴリの行で [編集] をクリックし、変更する権限のカテゴリを選択します。 このオプションは、選択した権限のカテゴリに該当する場合に表示されます。 3 必要に応じて権限セットを変更し、[保存] をクリックします。 これにより、権限セットに対する変更がデータベースにコミットされます。 権限セットの変更を完了したときに [保存] をクリックする必要はありません。各カテゴリを変更 すると、変更は自動的に保存されます。行った変更はすぐにシステムに反映されます。ポリシーの 設定に従い、ネットワーク内の残りのシステムに変更が適用されます。 権限セッ トを複製 する 1 複製する権限セットと [権限セット] リストから選択し、[アクション] 、 [複製] の順にクリック します。 2 複製後の権限セットの名前を入力します。デフォルトでは、既存の名前の前に (copy) が付きま す。 ePolicy Orchestrator では、既存の名前を使用できません。権限セットごとに一意の名前を設定 してください。 3 [OK] をクリックします。 権限セットが複製されます。元の権限セットは、[権限セット] リストで選択されたままです。 権限セッ トを削除 する 1 削除する権限セットを [権限セット] リストから選択します。詳細が右側に表示されます。 2 [アクション] 、 [削除] の順にクリックし、[アクション] ペインで [OK] をクリックします。 選択した権限セットが [権限セット] リストから削除されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 59 5 ユーザー アカウントと権限セット 権限セット アクショ ン 手順 権限セッ トをエク スポート する 1 エクスポートする権限セットを選択します。 2 [権限セット アクション] 、 [すべてエクスポート] の順にクリックします。 McAfee ePO サーバーが XML ファイルをブラウザーに送信します。ブラウザーの設定によって次 の処理が変わります。デフォルトでは、ファイルの保存が確認されます。 XML ファイルには、定義済みの権限レベルの役割しか記述されていません。たとえば、特定の権限セ ットにクエリとレポートに関する権限がない場合、ファイルには何も書き込まれません。 権限セッ トをイン ポートす る 1 インポートする権限セットを選択します。 2 [参照] をクリックして、インポートする権限セットを含む XML ファイルを選択します。 3 該当するオプションを選択しないで、インポートする権限セットと同じ名前を使用するかどうか を選択します。[OK] をクリックします。 指定されたファイル内で有効な権限セットが見つからないと、ePolicy Orchestrator はエラー メ ッセージを表示し、インポート プロセスを中止します。 権限セットがサーバーに追加され、[権限セット] リストに表示されます。 権限セットのエクスポートとインポートを行う 完全な権限セットを定義している場合、これらの権限セットをエクスポートして他のサーバーにインポートすると、 別の McAfee ePO サーバーに簡単に移行することができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ユーザー管理] 、 [権限セット] の順にクリックして、権限セットのページを開きます。 2 以下のいずれかのアクションを選択します。 アクション 手順 権限セット 1 エクスポートする権限セットを選択します。 をエクスポ ートする。 2 [権限セット アクション] 、 [すべてエクスポート] の順にクリックします。 McAfee ePO サーバーが XML ファイルをブラウザーに送信します。ブラウザーの設定によって 次の処理が変わります。デフォルトでは、ファイルの保存が確認されます。 XML ファイルには、定義済みの権限レベルの役割しか記述されていません。たとえば、特定の権限 セットにクエリとレポートに関する権限がない場合、ファイルには何も書き込まれません。 権限セット 1 インポートする権限セットを選択します。 をインポー 2 [参照] をクリックして、インポートする権限セットを含む XML ファイルを選択します。 トする。 3 該当するオプションを選択して、インポートする権限セットと同じ名前を使用するかどうかを選 択します。[OK] をクリックします。 指定されたファイル内で有効な権限セットが見つからないと、ePolicy Orchestrator はエラー メッセージを表示し、インポート プロセスを中止します。 権限セットがサーバーに追加され、[権限セット] リストに表示されます。 60 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 6 リポジトリ リポジトリには、管理対象システムに配備されるセキュリティ ソフトウェアのパッケージと更新が格納されます。 セキュリティ ソフトウェアは、最新の更新がインストールされていなければ効果を発揮することができません。たと えば、期限の切れた DAT ファイルを使用していると、最高のウイルス対策ソフトウェアを使用していても新しい脅 威は検出できません。効果的な更新方法を実施し、可能な限りセキュリティ ソフトウェアを最新の状態にしておく必 要があります。 ePolicy Orchestrator のリポジトリ アーキテクチャは、ソフトウェアの配備と更新を容易にし、環境で可能な限り 自動化を行うことができます。リポジトリ インフラの準備が完了したら、更新タスクを作成し、更新の方法、場所、 時刻を決めます。 目次 リポジトリの種類と動作 リポジトリの機能 リポジトリを初めて設定する場合 ソース サイトとフォールバック サイトを管理する ソース サイトへのアクセス権を確認する グローバル アップデートを設定する エージェント ポリシーを設定して分散リポジトリを使用する 分散リポジトリとして SuperAgent を使用する FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する 分散リポジトリとして UNC 共有を使用する場合 管理対象外のローカル分散リポジトリを使用する リポジトリ リスト ファイルの操作 リポジトリの種類と動作 ネットワークを介して製品と更新を配布するため、ePolicy Orchestrator には、強力な更新インフラを構築する複数 のリポジトリが用意されています。このリポジトリを使用すると、更新方針を柔軟に設計し、システムを常に最新の 状態に保つことができます。 マスター リポジトリ マスター リポジトリは、最新バージョンのセキュリティ ソフトウェアを保持し、環境の更新を行います。このリポ ジトリは、使用している環境全体のもととなります。 デフォルトでは、ePolicy Orchestrator は、Microsoft Internet Explorer のプロキシ設定を使用します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 61 6 リポジトリ リポジトリの種類と動作 分散リポジトリ 分散リポジトリには、マスター リポジトリの内容のコピーが格納されます。ネットワーク全体に分散リポジトリを配 備すると、ネットワーク トラフィックが少ないときに管理対象システムを更新できます。この機能は、低速のネット ワーク接続を使用しているシステムで特に有効です。 マスター リポジトリが更新されると、ePolicy Orchestrator は分散リポジトリに内容を複製します。 複製は次の方法で実行されます。 • グローバル アップデートが有効になっている場合、指定したパッケージの種類がマスター リポジトリにチェック インされると、自動的に実行されます。 • 繰り返し実行する複製タスクのスケジュールに従って実行されます。 • 手動ですぐに複製タスクを実行します。 大規模な組織の場合、帯域幅の使用が制限されている箇所がいくつか存在している場合があります。分散リポジトリ を使用すると、低帯域幅の接続や、クライアント システムが多いリモート サイトを通過する更新トラフィックを制 限できます。リモートに分散リポジトリを作成し、その場所に存在するシステムがこの分散リポジトリから更新を取 得するように設定した場合、低速接続で実行される更新操作は分散リポジトリへのコピーだけです。リモートに存在 するシステムごとにコピーが行われることはありません。 グローバル アップデートが有効になっている場合、選択した更新とパッケージがマスター リポジトリにチェックイ ンされると、分散リポジトリは自動的に管理対象システムを更新します。更新タスクは不要です。ただし、自動更新 を行う場合は、環境で SuperAgent を実行する必要があります。また、リポジトリと更新タスクを作成して設定す る必要があります。 選択したパッケージのみを複製するように分散リポジトリが設定されている場合、デフォルトでは、新規にチェックイ ンされるパッケージが複製されます。新規にチェックインされるパッケージを複製しないようにするには、各分散リポ ジトリでその選択を削除するか、パッケージをチェックインする前に複製タスクを無効にします。詳細については、 「選 択したパッケージの複製の回避」と「選択したパッケージの複製の無効化」を参照してください。 マスター リポジトリと同じディレクトリを参照するように分散リポジトリを設定しないでください。このような設定 を行うと、マスター リポジトリのファイルが分散リポジトリのユーザーによってロックされます。ロックされると、 プル操作とパッケージのチェックインに失敗し、マスター リポジトリが不安定な状態になる場合があります。 ソース サイト ソース サイトは、マスター リポジトリにすべての更新を提供します。デフォルトのソース サイトは McAfeeHttp 更新サイトですが、必要に応じて、ソース サイトを変更したり、複数のソース サイトを作成することができます。 ソース サイトには McAfeeHttp または McAfeeFtp 更新サイトを使用することをお勧めします。 ソース サイトは必須ではありません。手動で更新をダウンロードし、マスター リポジトリにチェックインすることも できます。ソース サイトを使用すると、この作業を自動的に行うことができます。 McAfee では、これらのサイトにソフトウェア更新を定期的に提供しています。たとえば、DAT ファイルは毎日更新 されます。更新が使用可能になったら、マスター リポジトリを更新してください。 ソース サイトの内容をマスター リポジトリにコピーするには、プル タスクを使用します。 McAfee 更新サイトでは、検出定義ファイル (DAT) とスキャン エンジン ファイルの更新と、一部の言語パックを入 手できます。サービス パックやパッチなどの他のパッケージと更新はすべて、マスター リポジトリに手動でチェッ クインする必要があります。 62 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ リポジトリの種類と動作 6 フォールバック サイト フォールバック サイトは、バックアップ サイトとして有効なソース サイトです。通常のリポジトリにアクセスでき ない場合、管理対象システムはフォールバック サイトから更新を取得します。ネットワークが停止したり、ウイルス が大量に発生した場合、設定された場所にアクセスできなくなる場合があります。このような場合でも、管理対象シ ステムを最新の状態にしておくことができます。デフォルトのフォールバック サイトは McAfeeHttp 更新サイトで す。使用できるフォールバック サイトは 1 つのみです。 管理対象システムでインターネットへのアクセスにプロキシ サーバーを使用する場合には、それらのシステムのエー ジェント ポリシー設定で、プロキシ サーバー経由でフォールバック サイトにアクセスするように設定する必要があ ります。 分散リポジトリの種類 ePolicy Orchestrator は、4 つの種類の分散リポジトリをサポートしています。使用する分散リポジトリを決める場 合には、使用する環境と要件を考慮してください。使用しているネットワークによっては、1 種類に限定せずに、複 数の種類が必要になる場合があります。 SuperAgent リポジトリ SuperAgent が存在するシステムを分散リポジトリとして使用します。SuperAgent リポジトリには、他の分散リポ ジトリにはない次のような利点があります。 • リポジトリ リストにリポジトリを追加する前に、ホスト システムにフォルダーが自動的に作成されます。 • SuperAgent リポジトリでは、認証情報の複製や更新が不要です。エージェントを SuperAgent に変更すると、 アカウント権限が作成されます。 SuperAgent ブロードキャスト ウェークアップ コールを使用するには、各ブロードキャスト セグメントに SuperAgent が必要ですが、SuperAgent リポジトリの機能を使用する場合には必要ありません。管理対象シス テムがリポジトリのあるシステムにアクセス可能であれば、この機能を使用できます。 FTP リポジトリ 分散リポジトリには FTP サーバーも使用できます。Microsoft Internet Information Services (IIS) などの FTP サーバー ソフトウェアを使用して、分散リポジトリ用の新しいフォルダーとサイトを作成します。詳細については、 Web サーバーのマニュアルを参照してください。 HTTP リポジトリ 分散リポジトリには HTTP サーバーも使用できます。Microsoft IIS などの HTTP サーバー ソフトウェアを使用し て、分散リポジトリ用の新しいフォルダーとサイトを作成します。詳細については、Web サーバーのマニュアルを 参照してください。 UNC 共有リポジトリ 既存のサーバー上に、分散リポジトリを格納する UNC 共有フォルダーを作成できます。McAfee ePO サーバーがフ ァイルをコピーし、更新時にエージェントがアクセスできるように、ネットワーク上でフォルダーを共有する必要が あります。 フォルダーにアクセスするには、正しい権限を設定する必要があります。 管理対象外のリポジトリ 管理されている分散リポジトリを使用できない場合、ePolicy Orchestrator 管理者は ePolicy Orchestrator の管理 対象外の分散リポジトリを作成し、維持することができます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 63 6 リポジトリ リポジトリの種類と動作 分散リポジトリが ePolicy Orchestrator の管理対象外の場合、ローカル管理者は分散ファイルを手動で最新の状態 にする必要があります。 分散リポジトリを作成すると、その分散リポジトリから更新できるように、ePolicy Orchestrator を使用して特定の システム ツリー グループの管理対象システムを設定できます。 管理対象外システムの設定については、「ePolicy Orchestrator で機能するように管理対象外の McAfee 製品上のエ ージェントを有効化する」を参照してください。 すべての分散リポジトリが ePolicy Orchestrator によって管理されている状態にしてください。グローバル アップ デートまたは複製タスクのスケジュール設定を頻繁に行うことで、管理対象の環境を最新の状態にしておくことができ ます。ネットワークまたは組織のポリシーで許可されていない場合にのみ、管理対象外の分散リポジトリを使用しま す。 リポジトリ ブランチの機能 ePolicy Orchestrator リポジトリの 3 つのブランチを使用すると、マスター リポジトリと分散リポジトリで 3 つま でのパッケージ バージョンを管理できます。 リポジトリ ブランチには、最新バージョン、旧バージョン、評価バージョンがあります。デフォルトでは、ePolicy Orchestrator は最新バージョン ブランチのみを使用します。マスター リポジトリにパッケージを追加するときに、 ブランチを指定することができます。また、更新と配備タスクの実行時やスケジュールの設定時に、ブランチを指定 してネットワークの各部分に異なるバージョンを配備することもできます。 更新タスクにより、リポジトリのすべてのブランチから更新を取得できますが、マスター リポジトリにパッケージを チェックインする場合には、最新バージョン ブランチ以外のブランチを選択する必要があります。最新バージョン ブランチ以外にブランチが設定されていない場合は、最新バージョン ブランチ以外のブランチを選択するオプション は表示されません。 評価バージョンおよび旧バージョンのブランチを更新以外のパッケージに使用するには、リポジトリ パッケージのサ ーバー設定でブランチを設定する必要があります。バージョン 3.6 以前のエージェントでは、評価バージョンと旧バ ージョンのブランチからのみ更新パッケージを取得できます。 最新バージョン ブランチ 最新バージョン ブランチは、最新のパッケージと更新の主要なリポジトリ ブランチです。製品配備パッケージの場 合は、他のブランチへのサポートが有効でない限り、最新バージョン ブランチにのみ追加することができます。 評価バージョン ブランチ 新しい DAT とエンジンの更新を組織全体に配備する前に、少数のネットワーク セグメントやシステムでテストする 場合があります。この場合、新しい DAT とエンジンをマスター リポジトリにチェックインするときに、評価バージ ョン ブランチを指定すると、少数のテスト システムに配備できます。テスト システムを数時間モニターしてから、 新しい DAT を最新バージョン ブランチに追加して、組織全体に配備することができます。 旧バージョン ブランチ 旧バージョン ブランチを使用すると、新しいバージョンを最新バージョン ブランチに追加する前に、古い DAT とエ ンジン ファイルを保存しておくことができます。新しい DAT やエンジン ファイルに問題があった場合に、旧バージ ョンのコピーを使用して、必要に応じてシステムに再配備することができます。ePolicy Orchestrator は、各ファイ ル タイプの直前のバージョンのみ保存します。 マスター リポジトリに新しいパッケージを追加するときに、[既存のパッケージを「旧バージョン」ブランチに移 動] を選択すると、旧バージョン ブランチの機能を有効にすることができます。ソース サイトから更新をプルする 場合や、最新バージョン ブランチにパッケージを手動でチェックインする場合に、このオプションを利用することが できます。 64 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ リポジトリの機能 6 リポジトリ リスト ファイルとその使用方法 リポジトリ リスト (SiteList.xml および SiteMgr.xml) ファイルには、管理しているすべてのリポジトリの名前が記 述されています。 リポジトリ リストには、管理対象システムがリポジトリを選択して更新を取得する場所と、ネットワークの認証情報 が記述されています。サーバーは、エージェント/サーバー間通信でリポジトリ リストをエージェントに送信します。 必要に応じて、リポジトリ リストを外部ファイル (SiteList.xml または SiteMgr.xml) にエクスポートできます。 エクスポートした SiteList.xml ファイルは、次の方法で使用できます。 • インストール時にエージェントにインポートします。 エクスポートした SiteMgr.xml ファイルは次の方法で使用できます。 • サーバーを再インストールする必要がある場合、分散リポジトリとソース サイトをバックアップして復元します。 • 分散リポジトリとソース サイトを以前の ePolicy Orchestrator のインストールからインポートします。 リポジトリの機能 リポジトリは環境内で相互に機能し、管理対象システムに更新とソフトウェアを配信します。使用するネットワーク の規模や地理的な位置によっては、分散リポジトリが必要となります。 図 6-1 システムにパッケージを配布するサイトとリポジトリ 1 マスター リポジトリは、ソース サイトから DAT とエンジンの更新ファイルを定期的にプルします。 2 マスター リポジトリは、ネットワーク内の分散リポジトリにパッケージを複製します。 3 ネットワーク内の管理対象システムは、分散リポジトリから更新を取得します。分散リポジトリまたはマスター リポジトリにアクセスできない場合、管理対象システムはフォールバック サイトから更新を取得します。 リポジトリを初めて設定する場合 リポジトリを初めて作成する場合には、以下の手順に従ってください。 1 使用するリポジトリの種類とその場所を決めます。 2 リポジトリを作成して追加します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 65 6 リポジトリ ソース サイトとフォールバック サイトを管理する ソース サイトとフォールバック サイトを管理する [サーバー設定] で、デフォルトのソース サイトとフォールバック サイトを変更できます。たとえば、設定を編集し たり、既存の既存のソース サイトとフォールバック サイトの削除や切り替えを行うことができます。 この操作を行うには、管理者の権限か、ソース サイトやフォールバック サイトの定義、変更または削除権限が必要で す。 McAfee では、デフォルトのソース サイトとフォールバック サイトの使用を推奨します。この目的で使用するサイ トが別個に必要な場合は、新しいサイトを作成することもできます。 タスク • 66 ページの「ソース サイトを作成する」 [サーバー設定] で新しいソース サイトを作成します。 • 67 ページの「ソース サイトとフォールバック サイトを切り替える」 [サーバー設定] でソース サイトとフォールバック サイトを変更します。 • 67 ページの「ソース サイトとフォールバック サイトを編集する」 [サーバー設定] では、URL アドレス、ポート番号、ダウンロード認証情報など、既存のソース サイト とフォールバック サイトを編集できます。 • 68 ページの「ソース サイトの削除またはフォールバック サイトの無効化を行う」 未使用のソース サイトまたはフォールバック サイトを削除または無効化します。 ソース サイトを作成する [サーバー設定] で新しいソース サイトを作成します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバーの設定] の順にクリックし、[ソース サイト] を選択します。 2 [ソース サイトの追加] をクリックします。[ソース サイト ビルダー] ウィザードが開きます。 3 [説明] ページで一意のリポジトリ名を入力し、[HTTP]、[UNC] または [FTP] を選択して [次へ] をクリックし ます。 4 [サーバー] ページでサイトのアドレスとポートの情報を入力し、[次へ] をクリックします。 HTTP または FTP サーバー タイプ: • • [URL] ドロップダウン リストから、サーバー アドレスの種類に [DNS 名]、[IPv4] または [IPv6] を選択 し、アドレスを入力します。 オプション 定義 [DNS 名] サーバーの DNS 名を指定します。 [IPv4] サーバーの IPv4 アドレスを指定します。 [IPv6] サーバーの IPv6 アドレスを指定します。 サーバーのポート番号を入力します。FTP のデフォルトは 21 で、HTTP のデフォルトは 80 です。 [UNC サーバー タイプ:] • 5 66 リポジトリが存在するネットワーク ディレクトリのパスを入力します。次の形式で入力します。\ \<COMPUTER>\<FOLDER>. [認証情報] ページの [ダウンロードの証明情報] に、管理対象システムがこのリポジトリに接続する際に使用する 情報を入力します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ ソース サイトとフォールバック サイトを管理する 6 リポジトリが格納されている HTTP サーバー、FTP サーバーまたは UNC 共有に読み取り専用権限を持つ認証情 報を指定してください。 [HTTP または FTP サーバー タイプ:] • [匿名] を選択して、不明なユーザー アカウントを使用します。 • [FTP] または [HTTP 認証] (サーバーに認証が必要な場合) を選択し、ユーザー アカウント情報を入力しま す。 [UNC サーバー タイプ:] • 6 ドメインとユーザー アカウント情報を入力します。 [テスト認証] をクリックします。数秒後に、入力した認証情報を使用してサイトにアクセスできることを通知す る確認メッセージが表示されます。認証情報が正しくない場合は、以下を確認します。 • ユーザー名とパスワード。 • ウィザードの前の画面の URL またはパス。 • システム上の HTTP、FTP または UNC サイト。 7 [次へ] をクリックします。 8 [サマリー] ページを確認し、[保存] をクリックしてリストにサイトを追加します。 ソース サイトとフォールバック サイトを切り替える [サーバー設定] でソース サイトとフォールバック サイトを変更します。 ネットワーク構成によっては、HTTP または FTP による更新の方が効率的に機能している場合があります。この場 合、ソース サイトとフォールバック サイトの切り替えが必要になります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 [ソース サイト] を選択して、[編集] をクリックします。[ソース サイトを編集] ページが表示されます。 3 フォールバック サイトとして設定するサイトをリストから選択し、[フォールバックを有効にする] をクリックし ます。 ソース サイトとフォールバック サイトを編集する [サーバー設定] では、URL アドレス、ポート番号、ダウンロード認証情報など、既存のソース サイトとフォールバ ック サイトを編集できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 [ソース サイト] を選択して、[編集] をクリックします。[ソース サイトを編集] ページが表示されます。 3 リストでサイトを検索し、サイトの名前をクリックします。 [ソース サイト ビルダー] ウィザードが開きます。 4 必要に応じて、ウィザードのページで設定を編集し、[保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 67 6 リポジトリ ソース サイトへのアクセス権を確認する ソース サイトの削除またはフォールバック サイトの無効化を行う 未使用のソース サイトまたはフォールバック サイトを削除または無効化します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 [ソース サイト] を選択して、[編集] をクリックします。[ソース サイトを編集] ページが表示されます。 3 必要なソースサイトの横にある [削除] をクリックします。[ソース サイトの削除] ダイアログ ボックスが表示 されます。 4 [OK] をクリックします。 選択したサイトが [ソース サイト] ページから削除されます。 ソース サイトへのアクセス権を確認する McAfeeHttp と McAfeeFtp サイトをソース サイトとフォールバック サイトとして使用する場合、ePolicy Orchestrator マスター リポジトリと管理対象システムがインターネットにアクセス可能かどうか確認する必要が あります。 このセクションでは、ダウンロード サイトに直接またはプロキシ経由で接続するように ePolicy Orchestrator マス ター リポジトリを設定するタスクについて説明します。デフォルトでは、[プロキシを使用しない] が選択されてい ます。 タスク • 68 ページの「プロキシを設定する」 リポジトリを更新するには、DAT をプルするように、プロキシを設定します。 • 69 ページの「McAfee Agent のプロキシを設定する」 McAfee Agent がダウンロード サイトとの接続に使用するプロキシを設定します。 プロキシを設定する リポジトリを更新するには、DAT をプルするように、プロキシを設定します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 2 設定カテゴリのリストから、[プロキシの設定] を選択し、[編集] をクリックします。 3 [プロキシ設定を手動で設定] を選択します。 a [プロキシ サーバーの設定] で、すべての通信に同じプロキシ サーバーを使用するのか、HTTP または FTP ごとに別のプロキシ サーバーを使用するのかを選択します。プロキシ サーバーの IP アドレスまたは完全修 飾ドメイン名を入力して、ポート番号を入力します。 デフォルトのソース サイトとフォールバック サイトを使用している場合、あるいは別の HTTP ソース サイト と FTP フォールバック サイトを設定している場合、ここで HTTP と FTP 両方のプロキシ認証情報を設定する 必要があります。 b 68 更新のプルを行うリポジトリとして HTTP または FTP のいずれかを使用するのか、両方を使用するのかに応 じて、[プロキシ認証] で該当するプロキシ認証情報を設定します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ グローバル アップデートを設定する 4 6 c [除外] で、[ローカル アドレスを迂回する] を選択し、サーバーが直接接続する分散リポジトリの IP アドレ スまたは完全修飾ドメイン名をセミコロン (;) で区切って入力します。 d [除外] で、[ローカル アドレスを迂回する] を選択し、サーバーが直接接続する分散リポジトリの IP アドレ スまたは完全修飾ドメイン名をセミコロン (;) で区切って入力します。 [保存] をクリックします。 McAfee Agent のプロキシを設定する McAfee Agent がダウンロード サイトとの接続に使用するプロキシを設定します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックし、[製品] リストで [McAfee Agent] をクリ ックして [カテゴリ] リストから [リポジトリ] を選択します。 McAfee ePO サーバーに設定されているエージェントのリストが表示されます。 2 My Default エージェントで、[設定を編集] をクリックします。 My Default エージェントの [設定を編集] ページが表示されます。 3 [プロキシ] タブをクリックします。 [プロキシ設定] ページが表示されます。 4 Windows システムの場合は [Internet Explorer の設定を使用 (Windows のみ)] を選択し、該当する場合は [プロキシの設定をユーザーに許可する] を選択します。 プロキシを使用するよう Internet Explorer を構成する方法は複数あります。McAfee では、McAfee 製品の設 定と使用に関する手順を説明していますが、McAfee 以外の製品についての手順には触れません。プロキシの設 定については、Internet Explorer ヘルプと http://support.microsoft.com/kb/226473 を参照してください。 5 [プロキシ設定を手動で設定] を選択して、エージェントのプロキシ設定を手動で行います。 6 エージェントが更新をプルする HTTP と FTP ソースの IP アドレスまたは完全修飾ドメイン名と、ポート番号を 入力します。[すべてのプロキシ タイプにこれらの設定を使用] を選択して、これらのデフォルト設定をすべての プロキシ タイプに適用します。 7 [例外の指定] を選択して、プロキシにアクセスする必要のないシステムを指定します。セミコロンを使用して例 外を区切ります。 8 [HTTP プロキシ認証を使用] または [FTP プロキシ認証を使用] を選択して、ユーザー名と認証情報を入力しま す。 9 [保存] をクリックします。 グローバル アップデートを設定する グローバル アップデートは、ネットワーク内のリポジトリを自動的に複製します。サーバー設定の [グローバル ア ップデート] を使用すると、グローバル アップデートで配布されるコンテンツを設定できます。 デフォルトでは、グローバル アップデートは無効になっています。ただし、McAfee では、グローバル アップデー トを有効にして使用することをお勧めします。更新間隔と配布されるパッケージの種類を指定できます。更新間隔で は、すべてのシステムを更新する間隔を指定します。システムは、指定した間隔でランダムに更新されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 69 6 リポジトリ エージェント ポリシーを設定して分散リポジトリを使用する タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [グローバル アップデート] を選択して [編集] をクリックします。 2 ステータスを [有効] に設定し、[ランダムな間隔] に 0 から 32,767 までの値を指定します。 3 グローバル アップデートで配布するパッケージの種類を指定します。 • [すべてのパッケージ] - すべてのシグネチャとエンジン、パッチとサービスパックが対象になります。 • [選択したパッケージ] - グローバル アップデートで配布するシグネチャ、エンジン、パッチ、サービスパッ クを制限します。 グローバル アップデートを実行する場合、マスター リポジトリの更新を定期的に行うプル タスクは、ネットワー クのトラフィックが最も少なくなる時間にスケジュールを設定してください。グローバル アップデートは他の方 法の更新より非常に高速ですが、更新中はネットワークのトラフィックが増加します。グローバル アップデートの 実行方法については、「製品と更新の配備」の「グローバル アップデート」を参照してください。 エージェント ポリシーを設定して分散リポジトリを使用する エージェントが分散リポジトリを選択する方法をカスタマイズして、使用する帯域幅を最小限に抑えます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ポリシー] 、 [ポリシー カテゴリ] の順にクリックし、[製品] で [McAfee Agent] を選択し、[カ テゴリ] で [リポジトリ] を選択します。 2 必要なエージェント ポリシーをクリックします。 3 [リポジトリ] タブを選択します。 4 [リポジトリ リストの選択] から、[このリポジトリ リストを使用する] または [ほかのリポジトリ リストを使用 する] のいずれかを選択します。 5 [以下の条件からリポジトリを選択] でリポジトリのソート方法を指定します。 • [Ping 時間] — 最も近い 5 つのリポジトリ (サブネット値に基づく) に ICMP ping を送信し、その応答時 間でソートします。 • [サブネット範囲] - クライアント システムとすべてのリポジトリの IP アドレスを比較し、ビットがどれだ け一致しているかによってソートします。IP アドレスの類似性が高いほど、リスト内のリポジトリの位置が 高くなります。 必要であれば、ホップの最大数を設定できます。 • 70 [リポジトリ リスト内の順番を使用する] - リストの順番でリポジトリを選択します。 6 [リポジトリ] リストで、無効にするリポジトリの [アクション] フィールドの [無効] をクリックして、リポジト リを無効にします。 7 [リポジトリ] リストで、[上へ移動] または [下へ移動] をクリックして、クライアント システムの順番を指定し て、分散リポジトリを選択します。 8 完了したら [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 6 リポジトリ 分散リポジトリとして SuperAgent を使用する 分散リポジトリとして SuperAgent を使用する SuperAgent が存在するシステムに分散リポジトリを作成して設定します。SuperAgent を使用すると、ネットワー ク トラフィックの量を最低限に抑えることができます。 エージェントを SuperAgent に変換するには、エージェントが Windows ドメインに参加している必要があります。 タスク • 71 ページの「SuperAgent 分散リポジトリを作成する」 SuperAgent リポジトリを作成するには、SuperAgent のシステムに McAfee Agent がインストール され、実行されている必要があります。SuperAgent リポジトリとグローバル アップデートを併用する ことをお勧めします。 • 72 ページの「SuperAgent リポジトリにパッケージを複製する」 分散リポジトリに複製するリポジトリ固有のパッケージを選択します。 • 72 ページの「SuperAgent 分散リポジトリを削除する」 SuperAgent 分散リポジトリをホスト システムとリポジトリ リスト (SiteList.XML) から削除します。 新しい設定は、次のエージェント/サーバー間通信で有効になります。 SuperAgent 分散リポジトリを作成する SuperAgent リポジトリを作成するには、SuperAgent のシステムに McAfee Agent がインストールされ、実行さ れている必要があります。SuperAgent リポジトリとグローバル アップデートを併用することをお勧めします。 このタスクでは、システムの場所をシステム ツリーで確認していることを前提としています。[タグ カタログ] ペー ジやクエリで SuperAgent システムを簡単に検索できるように、SuperAgent タグを作成することをお勧めします。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 ePolicy Orchestrator コンソールで、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックし、[製 品] リストで [McAfee Agent] をクリックして、[カテゴリ] リストで [全般] を選択します。 McAfee ePO サーバーで使用可能な全般カテゴリのポリシーが表示されます。 2 新しいポリシーを作成するか、既存のポリシーを複製します。あるいは、SuperAgent リポジトリを格納する SuperAgent が存在するシステムに適用済みのポリシーを開きます。 3 [全般] タブを選択し、[エージェントを SuperAgent に変更する (Windows のみ)] が選択されていることを確 認します。 4 [SuperAgent を実行するシステムの分散リポジトリとして使用する] を選択し、リポジトリのフォルダー パスの 場所を入力します。これは、複製時にマスター リポジトリが更新をコピーする場所です。C:\SuperAgent \Repo など、Windows の標準パスを使用することができます。 エージェント システムが要求したすべてのファイルは、エージェントの組み込み HTTP Web サーバーを介してこ の場所から提供されます。 5 [保存] をクリックします。 6 このポリシーを SuperAgent リポジトリを作成するシステムに適用します。 エージェントが次にサーバーと通信したときに、新しいポリシーが取得されます。次のエージェント/サーバー間通信 間隔まで待たない場合は、エージェント ウェークアップ コールをシステムに送信します。分散リポジトリが作成さ れると、指定したフォルダー (既存フォルダーではない場合) がシステムに作成されます。 また、リポジトリ リスト (SiteList.xml) ファイルにネットワーク上の場所が追加されます。これにより、管理環 境内のシステムはこの場所を更新時に使用できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 71 6 リポジトリ FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する SuperAgent リポジトリにパッケージを複製する 分散リポジトリに複製するリポジトリ固有のパッケージを選択します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] の順にクリックします。 分散リポジトリのリストが表示されます。 2 SuperAgent リポジトリを検索してクリックします。 [分散リポジトリ ビルダー] ウィザードが開きます。 3 [パッケージ タイプ] ページで、必要なパッケージの種類を選択します。 このリポジトリを使用する管理対象システムで必要なパッケージはすべて選択してください。管理対象のシステ ムは 1 つのリポジトリですべてのパッケージを取得します。存在すべきパッケージ タイプが存在しないと、その システムに対するタスクは失敗します。この機能により、少数のシステムでしか使用されないパッケージが環境全 体に複製されることはありません。 4 [保存] をクリックします。 SuperAgent 分散リポジトリを削除する SuperAgent 分散リポジトリをホスト システムとリポジトリ リスト (SiteList.XML) から削除します。新しい設定 は、次のエージェント/サーバー間通信で有効になります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 ePolicy Orchestrator コンソールで、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックし、変 更する SuperAgent ポリシーの名前をクリックします。 2 [全般] タブで [SuperAgent を実行するシステムの分散リポジトリとして使用する] の選択を解除し、[保存] を クリックします。 既存の SuperAgent 分散リポジトリを削除するには、これらのシステムに割り当てられた McAfee Agent ポリシ ーを複製して、[SuperAgent を実行するシステムの分散リポジトリとして使用する] の選択を解除してから保存 します。必要に応じて新しいポリシーを割り当てます。 SuperAgent リポジトリが削除され、リポジトリ リストからも削除されます。ただし、[エージェントを SuperAgent に変更する] オプションを選択している限り、エージェントは SuperAgent として機能します。ポリ シー変更後に新しいサイト リストを受信していないエージェントは、引き続き削除済みの SuperAgent から更新を 受信します。 FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する 既存の FTP サーバー、HTTP サーバー、UNC 共有に分散リポジトリを作成します。専用サーバーは必ずしも必要あ りませんが、管理対象システムが更新で接続する際の負荷に対応できる能力が必要です。 72 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する 6 タスク • 73 ページの「フォルダーを作成する」 分散リポジトリ システムでリポジトリ コンテンツを保存するフォルダーを作成します。UNC 共有リポ ジトリの場合と FTP または HTTP リポジトリの場合ではプロセスが異なります。 • 73 ページの「ePolicy Orchestrator に分散リポジトリを追加する」 リポジトリ リストに項目を追加して、新しい分散リポジトリが使用するフォルダーを指定します。 • 75 ページの「選択したパッケージの複製を回避する」 選択したパッケージのみを複製するように分散リポジトリが設定されている場合、デフォルトでは、新 規にチェックインされるパッケージが複製されます。テストと検証の要件によっては、分散リポジトリ へのパッケージの複製を行わないようにする必要があります。 • 75 ページの「選択したパッケージの複製を無効にする」 選択したパッケージのみを複製するように分散リポジトリが設定されている場合、デフォルトでは、新 規にチェックインされるパッケージが複製されます。以降のパッケージの複製を無効にするには、パッ ケージをチェックインする前に複製タスクを無効にします。 • 76 ページの「UNC と HTTP リポジトリでフォルダー共有を有効にする」 McAfee ePO サーバーがリポジトリにファイルをコピーできるように、HTTP または UNC 分散リポジ トリでネットワーク フォルダーの共有を有効にする必要があります。 • 76 ページの「分散リポジトリを編集する」 必要に応じて、分散リポジトリの設定、認証、パッケージの選択オプションを編集します。 • 76 ページの「分散リポジトリを削除する」 HTTP、FTP または UNC 分散リポジトリを削除します。この操作を行うと、分散リポジトリのコンテン ツも削除されます。 フォルダーを作成する 分散リポジトリ システムでリポジトリ コンテンツを保存するフォルダーを作成します。UNC 共有リポジトリの場 合と FTP または HTTP リポジトリの場合ではプロセスが異なります。 • UNC 共有リポジトリの場合、システムでフォルダーを作成し、共有を有効にします。 • FTP または HTTP リポジトリの場合、Microsoft Internet Information Services (IIS) など、既存の FTP また は HTTP サーバー ソフトウェアを使用して、新しいフォルダーとサイトを作成します。詳細については、Web サーバーのマニュアルを参照してください。 ePolicy Orchestrator に分散リポジトリを追加する リポジトリ リストに項目を追加して、新しい分散リポジトリが使用するフォルダーを指定します。 マスター リポジトリと同じディレクトリを参照するように分散リポジトリを設定しないでください。このような設定 を行うと、マスター リポジトリのファイルが分散リポジトリのユーザーによってロックされます。ロックされると、 プル操作とパッケージのチェックインに失敗し、マスター リポジトリが不安定な状態になる場合があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] の順にクリックし、[アクション] 、 [新しいリポジトリ] の 順にクリックします。[分散リポジトリ ビルダー] ウィザードが開きます。 2 [説明] ページで一意の名前を入力し、[HTTP]、[UNC] または [FTP] を選択して [次へ] をクリックします。リ ポジトリの名前は、リポジトリを格納しているシステムの名前である必要はありません。 3 [サーバー] ページで、以下のいずれかのサーバー タイプを設定します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 73 6 リポジトリ FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する [HTTP サーバー タイプ] • [URL] ドロップダウン リストから、サーバー アドレスの種類に [DNS 名]、[IPv4] または [IPv6] を選択 し、アドレスを入力します。 オプション 定義 [DNS 名] サーバーの DNS 名を指定します。 [IPv4] サーバーの IPv4 アドレスを指定します。 [IPv6] サーバーの IPv6 アドレスを指定します。 • サーバーのポート番号を入力します。HTTP のデフォルトは 80 です。 • HTTP フォルダーに複製用の UNC パスを指定します。 [UNC サーバー タイプ] • リポジトリが存在するネットワーク ディレクトリのパスを入力します。\\<コンピューター>\<フォルダー> の形式で入力します。 [FTP サーバー タイプ] • • [URL] ドロップダウン リストから、サーバー アドレスの種類に [DNS 名]、[IPv4] または [IPv6] を選択 し、アドレスを入力します。 オプション 定義 [DNS 名] サーバーの DNS 名を指定します。 [IPv4] サーバーの IPv4 アドレスを指定します。 [IPv6] サーバーの IPv6 アドレスを指定します。 サーバーのポート番号を入力します。FTP のデフォルトは 21 です。 4 [次へ] をクリックします。 5 [認証情報] ページで次を実行します。 a [ダウンロードの認証情報] を入力します。リポジトリが格納されている HTTP サーバー、FTP サーバーまた は UNC 共有に読み取り専用権限を持つ認証情報を指定してください。 [HTTP または FTP サーバー タイプ]: • [匿名] を選択して、不明なユーザー アカウントを使用します。 • [FTP] または [HTTP 認証] (サーバーに認証が必要な場合) を選択し、ユーザー アカウント情報を入力し ます。 [UNC サーバー タイプ]: b 6 74 • [ログイン アカウントの認証情報を使用] を選択し、現在ログインしているユーザーの認証情報を使用しま す。 • [ダウンロード認証情報を入力します] を選択し、ドメインとユーザー アカウント情報を入力します。 [テスト認証] をクリックします。数秒後に、入力した認証情報を使用してサイトにアクセスできることを通知 する確認メッセージが表示されます。認証情報が正しくない場合は、以下の設定を確認します。 • ユーザー名とパスワード • ウィザードの前の画面で入力した URL またはパス • システム上の HTTP、FTP または UNC サイト [複製証明書] を入力します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する 6 サーバーは、DAT ファイルやエンジン ファイル、その他の製品の更新をマスター リポジトリから分散リポジト リに複製するときに、これらの認証情報を使用します。これらの認証情報には、分散リポジトリの読み取り権限 と書き込み権限の両方がある必要があります。 • [FTP] に、ユーザー アカウント情報を入力します。 • [HTTP] または [UNC] に、ドメインとユーザー アカウント情報を入力します。 • [テスト認証] をクリックします。数秒後に、入力した認証情報を使用してサイトにアクセスできることを通知 する確認メッセージが表示されます。認証情報が正しくない場合は、以下の設定を確認します。 • ユーザー名とパスワード • ウィザードの前の画面で入力した URL またはパス • システム上の HTTP、FTP または UNC サイト 7 [次へ] をクリックします。[パッケージ タイプ] ページが表示されます。 8 この分散リポジトリにすべてのパッケージを複製するのか、選択したパッケージだけを複製するのかを選択し、 [次へ] をクリックします。 • [選択されたパッケージ] オプションを選択すると、複製するシグネチャとエンジンと製品、パッチ、サービ ス パックなどを手動で選択する必要があります。 • オプションで、[レガシー DAT を複製] も選択できます。 このリポジトリを使用する管理対象システムに必要なすべてのパッケージが選択解除されていないことを確認し ます。管理対象システムは、すべてのパッケージを 1 つのリポジトリから取得します。必要なパッケージ タイプ がリポジトリに存在しない場合、タスク全体が失敗します。この機能では、少数のシステムでしか使用されないパ ッケージは環境全体に複製されません。 9 [サマリー] ページを確認し、[保存] をクリックしてリポジトリに追加します。ePolicy Orchestrator が新しい 分散リポジトリをデータベースに追加します。 選択したパッケージの複製を回避する 選択したパッケージのみを複製するように分散リポジトリが設定されている場合、デフォルトでは、新規にチェック インされるパッケージが複製されます。テストと検証の要件によっては、分散リポジトリへのパッケージの複製を行 わないようにする必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] の順にクリックし、リポジトリをクリックします。[分散リ ポジトリ ビルダー] ウィザードが開きます。 2 [パッケージ タイプ] ページで、複製を回避するパッケージの選択を解除します。 3 [保存] をクリックします。 選択したパッケージの複製を無効にする 選択したパッケージのみを複製するように分散リポジトリが設定されている場合、デフォルトでは、新規にチェック インされるパッケージが複製されます。以降のパッケージの複製を無効にするには、パッケージをチェックインする 前に複製タスクを無効にします。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 75 6 リポジトリ FTP サーバー、HTTP サーバー、UNC 共有にリポジトリを作成して設定する タスク 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、複製サーバー タスクの横にある [編集] を選 択します。 [サーバー タスク ビルダー] ウィザードが開きます。 2 [説明] ページで、[スケジュール ステータス] を [無効] に設定し、[保存] をクリックします。 UNC と HTTP リポジトリでフォルダー共有を有効にする McAfee ePO サーバーがリポジトリにファイルをコピーできるように、HTTP または UNC 分散リポジトリでネット ワーク フォルダーの共有を有効にする必要があります。 この操作は、複製を行う場合にのみ必要です。分散リポジトリを使用する管理対象システムは、適切なプロトコル (HTTP、FTP、Windows ファイル共有) を使用して更新を行いますが、フォルダーを共有する必要はありません。 タスク 1 Windows エクスプローラーを使用して、管理対象システムで作成したフォルダーを選択します。 2 フォルダーを右クリックして、[共有] を選択します。 3 [共有] タブで、[ネットワーク上でこのフォルダーを共有する] を選択します。 4 必要に応じて共有権限を設定します。 リポジトリから更新するシステムで必要となるのは読み取り権限のみです。McAfee ePO サーバー サービスで 使用するアカウントなど、管理者アカウントの場合は書き込み権限が必要になります。共有フォルダーに適切な セキュリティ設定については、Microsoft Windows のマニュアルを参照してください。 5 [OK] をクリックします。 分散リポジトリを編集する 必要に応じて、分散リポジトリの設定、認証、パッケージの選択オプションを編集します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] の順にクリックし、リポジトリをクリックします。 [分散リポジトリ ビルダー] ウィザードが開き、分散リポジトリの詳細が表示されます。 2 必要に応じて、設定、認証、パッケージの選択オプションを変更します。 3 [保存] をクリックします。 分散リポジトリを削除する HTTP、FTP または UNC 分散リポジトリを削除します。この操作を行うと、分散リポジトリのコンテンツも削除さ れます。 オプションの定義の場合、インターフェースで [?] をクリックします。 76 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ 分散リポジトリとして UNC 共有を使用する場合 6 タスク 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] の順にクリックし、リポジトリの横にある [削除] をクリッ クします。 2 [リポジトリの削除] ダイアログ ボックスで、[OK] をクリックします。 リポジトリを削除しても、リポジトリに格納されているシステム上のパッケージは削除されません。 削除したリポジトリがリポジトリ リストから削除されます。 分散リポジトリとして UNC 共有を使用する場合 分散リポジトリとして UNC 共有を使用するには、以下の手順に従います。 UNC 共有は、Microsoft Server Message Block (SMB) プロトコルを使用して共有ドライブを作成します。この共 有にアクセスするユーザーの名前をパスワードを作成します。 共有を正しく設定する UNC 共有を正しく設定します。 • リポジトリに対して別の書き込み方法を使用する - 他の方法 (別の共有、RDP、ローカル) を使用してサーバー にログオンし、リポジトリへの書き込みを行います。読み取り用のリポジトリと書き込み用のリポジトリを混在 させないでください。読み取り用の認証情報はエンドポイントで共有されます。書き込み用の認証情報は McAfee ePO サーバーが分散リポジトリのコンテンツを更新する場合に使用されます。 • ドメイン コントローラーで共有を使用しない - ドメイン コントローラー以外で共有を作成してください。ドメ イン コントローラーのローカル ユーザーはドメイン ユーザーになります。 UNC 共有の読み取りに使用するアカウントを保護する UNC 共有にアクセスするアカウントを保護するには、以下の手順に従います。 • McAfee ePO サーバーのマスター リポジトリ以外の UNC 共有アカウントに読み取り専用権限を付与する - 共有をセットアップする場合には、作成したアカウントにディレクトリと共有に対する読み取り権限を付与して ください。管理者またはその他のアカウントであっても、共有に対するリモート書き込みは付与しないでくださ い。アクセスが許可されるのは、最近作成したアカウントだけです。 McAfee ePO サーバーのマスター リポジトリは、UNC 共有アカウントにファイルを書き込める必要があります。 • アカウントをローカルに作成する - ドメインではなく、ファイル共有にアカウントを作成します。ローカルで作 成したアカウントには、ドメイン内のシステムに対する権限が付与されません。 • 特別のアカウントを使用する - リポジトリ データの共有を専用に行うアカウントを作成します。このアカウン トは、複数の機能で共有しないでください。 • アカウントに付与する権限を下げる - Administrators や Users グループなど、必要としないグループにこのア カウントを追加しないでください。 • 余分な権限を無効にする - このアカウントは、サーバーにログオンする必要がありません。これは、ファイルの プレースホルダーです。このアカウントの権限を確認して、不要な権限を無効にしてください。 • 強固なパスワードを使用する - 大文字、小文字、記号、数字を組み合わせて、8 文字から 12 文字のパスワード を使用してください。パスワードが複雑になるように、ランダムにパスワードを生成するツールを使用すること をお勧めします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 77 6 リポジトリ 管理対象外のローカル分散リポジトリを使用する UNC 共有を保護する • ファイアウォールで共有を保護する - 不要なトラフィックをブロックしてください。送信と受信の両方のトラ フィックをブロックしてください。サーバー上のソフトウェア ファイアウォールやネットワーク上のハードウェ ア ファイアウォールを使用できます。 • ファイルの監査を有効にする - セキュリティ監査ログを有効にして、ネットワーク共有に対するアクセスを追跡 してください。このログには、ファイルにアクセスしたユーザー、アクセスの時間、実行された操作が記録され ます。 • パスワードを変更する - パスワードを頻繁に変更してください。強固なパスワードを使用し、新しいパスワード で McAfee ePO の設定を更新してください。 • 使用していないアカウントと共有を無効にする - UNC 以外のリポジトリ タイプに切り替えた場合には、アカウ ントを無効にするか削除して、共有を終了して削除してください。 管理対象外のローカル分散リポジトリを使用する マスター リポジトリのコンテンツを管理対象外の分散リポジトリにコピーします。 管理対象外のリポジトリを作成したら、管理対象外のリポジトリからファイルを取得できるように管理対象システム を設定する必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 マスター リポジトリ フォルダーのすべてのファイルとサブディレクトリをサーバーからコピーします。 たとえば、Windows 2008 R2 Server の場合、サーバー上のデフォルト パスは次のとおりです。C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software 2 コピーしたファイルとサブフォルダーを、分散リポジトリ システムのリポジトリ フォルダーがある場所に貼り付 けます。 3 新しい管理外の分散リポジトリを使用するように、管理対象システムのエージェント ポリシーを設定します。 a [メニュー] 、 [ポリシー] 、 [ポリシー カテゴリ] の順にクリックし、[製品] で [McAfee Agent] を選択し、 [カテゴリ] で [リポジトリ] を選択します。 b 既存のエージェント ポリシーをクリックするか、新しいエージェント ポリシーを作成します。 ポリシーを作成したオプション タブでは、ポリシー継承を無効にできません。したがって、このポリシーをシ ステムに適用する場合は、対象のシステムのみが、管理外の分散リポジトリを使用するためにポリシーを受け 取り継承することを確認してください。 c [リポジトリ] タブで [追加] をクリックします。 d [リポジトリ名] フィールドに名前を入力します。 この名前は、リポジトリを格納しているシステムの名前である必要はありません。 78 e [ファイルの取得先] の下で、リポジトリの種類を選択します。 f [設定] で、リポジトリの種類に対して適切な構文でリポジトリの場所を入力します。 g ポート番号を入力するか、デフォルトのポートを使用します。 h 必要に応じて、認証情報を設定します。 i [OK] をクリックして、新しい分散リポジトリをリストに追加します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ リポジトリ リスト ファイルの操作 j 6 リストから新しいリポジトリを選択します。 [ローカル] は、ePolicy Orchestrator で管理されていないことを示します。管理されていないリポジトリが [リポジトリ リスト] で選択されると、[編集] および [削除] ボタンが有効になります。 k [保存] をクリックします。 このポリシーが適用されるシステムは、次のエージェント/サーバー間通信時に新しいポリシーを受信します。 リポジトリ リスト ファイルの操作 リポジトリ リストの SiteList.xml ファイルと SiteMgr.xml ファイルをエクスポートできます。 ファイル: • SiteList.xml - エージェントとサポート対象製品が使用します。 • SiteMgr.xml - McAfee ePO サーバーの再インストール時や、同じ分散リポジトリまたはソース サイトを使用 する別の McAfee ePO サーバーへのインポート時に使用します。 タスク • 79 ページの「リポジトリ リスト ファイル (SiteList.xml) をエクスポートする」 リポジトリ リスト (SiteList.xml) をエクスポートして、システムに手動で配備したり、サポートさ れている製品のインストール時にインポートします。 • 80 ページの「バックアップまたは他のサーバー用にリポジトリ リストをエクスポートする」 McAfee ePO サーバーの再インストール時や、分散リポジトリまたはソース サイトを別の McAfee ePO サーバーと共有する場合には、エクスポートされた SiteMgr.xml ファイルを使用して分散リポジ トリとソース サイトを復元します。 • 80 ページの「リポジトリ リストから分散リポジトリをインポートする」 サーバーを再インストールした後、あるいは別のサーバーと同じ分散リポジトリを使用する場合、 SiteMgr.xml ファイルから分散リポジトリをインポートします。 • 80 ページの「SiteMgr.xml ファイルからソース サイトをインポートする」 サーバーを再インストールした後や、2 台のサーバーで同じ分散リポジトリを使用する場合には、リポ ジトリ リスト ファイルからソース サイトをインポートします。 リポジトリ リスト ファイル (SiteList.xml) をエクスポートする リポジトリ リスト (SiteList.xml) をエクスポートして、システムに手動で配備したり、サポートされている製品 のインストール時にインポートします。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ]の順にクリックします。次に、[アクション] 、 [Sitelist のエクスポート] の順にクリックします。 [ファイルのダウンロード] ダイアログ ボックスが表示されます。 2 [保存] をクリックし、SiteList.xml ファイルの保存先を選択し、[保存] をクリックします。 エクスポートしたファイルは、サポートされている製品のインストール中にインポートすることができます。詳細に ついては、製品の『インストール ガイド』を参照してください。 リポジトリ リストを管理対象のシステムに配布し、エージェントにリポジトリ リストを適用することもできます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 79 6 リポジトリ リポジトリ リスト ファイルの操作 バックアップまたは他のサーバー用にリポジトリ リストをエクスポートする McAfee ePO サーバーの再インストール時や、分散リポジトリまたはソース サイトを別の McAfee ePO サーバーと 共有する場合には、エクスポートされた SiteMgr.xml ファイルを使用して分散リポジトリとソース サイトを復元 します。 このファイルは、[分散リポジトリ] ページまたは [ソース サイト] ページからエクスポートできます。ただし、この ファイルをいずれかのページにインポートする場合、そのページに表示されている項目しかインポートされません。 たとえば、このファイルを [分散リポジトリ] ページにインポートすると、ファイル内の分散リポジトリのみがイン ポートされます。したがって、分散リポジトリとソース サイトの両方をインポートする場合には、各ページで 1 度 ずつファイルをインポートする必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] (または [ソース サイト]) の順にクリックし、[アクション]、 [リポジトリのエクスポート] (または [ソース サイトのエクスポート]) の順にクリックします。 [ファイルのダウンロード] ダイアログ ボックスが表示されます。 2 [保存] をクリックして、ファイルの保存先を選択し、[保存] をクリックします。 リポジトリ リストから分散リポジトリをインポートする サーバーを再インストールした後、あるいは別のサーバーと同じ分散リポジトリを使用する場合、SiteMgr.xml フ ァイルから分散リポジトリをインポートします。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ソフトウェア] 、 [分散リポジトリ] の順にクリックし、[アクション] 、 [リポジトリのインポー ト] の順にクリックします。 [リポジトリをインポート] ページが表示されます。 2 エクスポートした SiteMgr.xml ファイルを選択し、[OK] をクリックします。分散リポジトリがサーバーにイ ンポートされます。 3 [OK] をクリックします。 選択したリポジトリが、このサーバーのリポジトリのリストに追加されます。 SiteMgr.xml ファイルからソース サイトをインポートする サーバーを再インストールした後や、2 台のサーバーで同じ分散リポジトリを使用する場合には、リポジトリ リス ト ファイルからソース サイトをインポートします。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 80 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [ソース サイト] を選択し て [編集] をクリックします。 2 [インポート] をクリックします。 3 エクスポートした SiteMgr.xml ファイルを選択し、[OK] をクリックします。 4 このサーバーにインポートするソース サイトを選択し、[OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド リポジトリ リポジトリ リスト ファイルの操作 6 選択したソース サイトが、このサーバーのリポジトリのリストに追加されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 81 6 リポジトリ リポジトリ リスト ファイルの操作 82 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 7 登録済みのサーバー サーバーを McAfee ePO サーバーに登録すると、追加したサーバーにアクセスできます。登録済みサーバーを使用 すると、他の外部サーバーにソフトウェアを統合できます。たとえば、Active Directory サーバーに接続する LDAP サーバーを登録します。 McAfee ePolicy Orchestrator は次のサーバーと通信可能です。 • 他の McAfee ePO サーバー • 追加のリモート データベース サーバー • LDAP サーバー • HTTP サーバー 各タイプのサーバーを登録すると、ePolicy Orchestrator の機能を強化したり、他の マカフィー 製品や他社製品の 拡張機能を利用することができます。 目次 McAfee ePO サーバーを登録する LDAP サーバーを登録する SNMP サーバーを登録する データベース サーバーを登録する サーバー間でのオブジェクトの共有 McAfee ePO サーバーを登録する メインの McAfee ePO サーバーと一緒に使用し、データの収集または集計を行う追加の McAfee ePO サーバーを登 録できます。この追加サーバーを使用すると、登録済みサーバー間で管理対象システムの転送を行うこともできます。 開始する前に 追加の McAfee ePO サーバーを登録するには、登録する McAfee ePO サーバーの SQL データベース に関する詳細情報が必要になります。次のリモート コマンドを実行すると、Microsoft SQL データベー ス サーバー名やデータベース名などの情報を確認できます。 https://<server_name>:<port>/core/config このリモート コマンドの変数は次のとおりです。 • <server_name> - リモートの McAfee ePO サーバーの DNS サーバー名または IP アドレス。 • <port> - McAfee ePO サーバーに割り当て済みのポート番号。サーバーのポート番号が変更され ていなければ、8443 です。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 83 7 登録済みのサーバー McAfee ePO サーバーを登録する タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [登録済みサーバー] の順に選択し、[新しいサーバー] をクリックします。 2 [説明] ページの [サーバー タイプ] メニューから [ePO] を選択し、一意の名前とメモを指定して [次へ] をクリ ックします。 3 次のオプションを指定して、サーバーを設定します。 オプション 定義 [認証タイプ] このデータベースで使用する認証タイプを指定します。 • [Windows 認証] • [SQL 認証] [クライアント タスク このサーバーでクライアント タスクを有効にするかどうかを指定します。 の共有] [データベース名] このデータベースの名前を指定します。 [データベース ポー ト] このデータベースのポートを指定します。 [データベース サーバ このサーバーのデータベース名を指定します。DNS 名または IP アドレス (IPv4 また ー] は IPv6) を使用してデータベースを指定できます。 [ePO のバージョン] 登録する McAfee ePO サーバーのバージョンを指定します。 [パスワード] このサーバーのパスワードを指定します。 [ポリシー共有] このサーバーでポリシー共有を有効にするかどうかを指定します。 [SQL Server インス タンス] これをデフォルトのサーバーに指定できます。また、インスタンス名を入力して特定の インスタンスを指定することもできます。 インスタンス名を使用して特定の SQL インスタンスに接続するには、SQL Browser サービスが実行されている必要があります。SQL Browser サービスが実行されていな い場合には、ポート番号を指定します。 デフォルトの SQL Server インスタンスを選択して、SQL Server インスタ ンスに接続するポート番号を入力します。 [データベース サーバ ePolicy Orchestrator がこのデータベース サーバーと SSL (Secure Socket Layer) ーとの SSL 接続] 通信を行うかどうかを指定します。 • [SSL を使用する] • [SSL を常に使用する] • [SSL を使用しない] [テスト接続] 指定したサーバーとの接続を確認します。 別のバージョンの McAfee ePO でサーバーを登録すると、警告として次の情報メッセ ージが表示されます。警告! バージョンが一致しません。 84 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 7 登録済みのサーバー LDAP サーバーを登録する オプション 定義 [システムの転送] このサーバーへのシステム転送を有効または無効にします。有効にする場合、[Sitelist の自動インポート] または [Sitelist の手動インポート] を選択します。 [Sitelist の手動インポート] を選択した場合、古いバージョンの McAfee Agent (4.0 以前) がエージェント ハンドラーに接続できなくなる場合があります。この問題は次 の場合に発生します。 • この McAfee ePO サーバーから登録済みの McAfee ePO サーバーにシス テムを転送する場合 • 指定された Sitelist で、McAfee ePO サーバー名よりも前にエージェント ハンドラーの名前が英数字で記述されている場合。 • 古いエージェントがエージェント ハンドラーを使用している場合 4 [NTLMv2 を使用] NT LAN Manager 認証プロトコルの使用を選択します (オプション)。登録するサーバ ーがこのプロトコルを使用する場合に、このオプションを選択します。 [ユーザー名] このサーバーのユーザー名を指定します。 [保存] をクリックします。 関連トピック: 121 ページの「システム転送の機能」 89 ページの「McAfee ePO サーバー間で ASSC キーのエクスポート/インポートを行う」 123 ページの「McAfee ePO サーバー間でシステムを転送する」 LDAP サーバーを登録する 権限セットの動的割り振りと Active Directory ユーザー ログインを有効にするには、ポリシー割り当てルールを使 用する LDAP (Lightweight Directory Access Protocol) サーバーを登録する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [登録済みサーバー] の順に選択し、[新しいサーバー] をクリックします。 2 [説明] ページの [サーバー タイプ] メニューから [LDAP サーバー] を選択し、一意の名前と詳細を指定して [次 へ] をクリックします。 3 [LDAP サーバー タイプ] リストで、OpenLDAP を登録するのか Active Directory サーバーを登録するのかを選 択します。 以下の説明は、Active Directory サーバーを設定する場合の手順です。必要に応じて OpenLDAP 固有の情報を示 します。 4 [サーバー名] セクションで、ドメイン名または特定のサーバー名を指定します。 サーバーの DNS 形式のドメイン名 (例: internaldomain.com) と完全修飾ドメイン名を使用するか、IP アド レスを使用してください。(例: server1.internaldomain.com または 192.168.75.101) ドメイン名を使用すると、フェールオーバー サポートが使用できます。必要であれば、特定のサイトからのみサ ーバーを選択できます。 OpenLDAP サーバーの場合には、サーバー名だけを使用します。ドメインでは指定できません。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 85 7 登録済みのサーバー SNMP サーバーを登録する 5 [グローバル カタログを使用] を選択または解除します。 デフォルトでは、選択されていません。選択すると、パフォーマンスに影響を及ぼす可能性があります。登録済 みのドメインがローカル ドメインの親ドメインの場合にのみ、この項目を選択してください。ローカル以外のド メインを追加すると、参照の追跡を行うと、ローカル以外のネットワーク トラフィックが大量に発生し、パフォ ーマンスに重大な影響を及ぼす可能性があります。 [グローバル カタログを使用] は、OpenLDAP サーバーでは使用できません。 6 グローバル カタログの使用を選択しない場合には、[参照の追跡] を選択または解除します。 グローバル カタログの使用に関係なく、参照の追跡を行うと、ローカル以外のネットワーク トラフィックが発生 し、パフォーマンスに問題が発生する場合があります。 7 このサーバーとの通信方法で [SSL を使用] を選択または解除します。 8 OpenLDAP サーバーを設定している場合には、[ポート] にポート番号を入力します。 9 [ユーザー名] と [パスワード] にユーザー名とパスワードを入力します。 サーバーの管理者アカウントの認証情報を入力してください。Active Directory サーバーの場合には domain \username の形式で、OpenLDAP サーバーの場合には cn=User,dc=realm,dc=com の形式で入力します。 10 サーバーのサイト名を入力するか、[参照] をクリックしてサイト名を選択します。 11 [テスト接続] をクリックして、サーバーとの通信を検証します。必要に応じて情報を変更します。 12 [保存] をクリックしてサーバーを登録します。 SNMP サーバーを登録する SNMP トラップを受信するには、ePolicy Orchestrator がトラップの送信先を識別できるように、SNMP サーバー の情報を追加する必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [登録済みのサーバー] の順にクリックし、[新しいサーバー] をクリックします。 2 [説明] ページの [サーバー タイプ] メニューから [SNMP サーバー] を選択し、サーバーの名前と詳細を入力し て [次へ] をクリックします。 3 [URL] ドロップダウン リストから、サーバー アドレスに次のいずれかのタイプを選択して、アドレスを入力し ます。 4 86 • [DNS 名] - 登録済みサーバーの DNS 名を指定します。 • [IPv4] - 登録済みサーバーの IPv4 アドレスを指定します。 • [IPv6] - IPv6 アドレスが割り振られている登録済みサーバーの DNS 名を指定します。 サーバーが使用する SNMP のバージョンを選択します。 • SNMP サーバー バージョンに [SNMPv1] または [SNMPv2c] を選択した場合には、[セキュリティ] にサー バーのコミュニティ文字列を入力します。 • [SNMPv3] を選択した場合には、[SNMPv3 セキュリティ]の詳細を入力します。 5 [テスト トラップを送信] をクリックして、設定をテストします。 6 [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 登録済みのサーバー データベース サーバーを登録する 7 追加した SNMP サーバーが [登録済みサーバー] ページに表示されます。 データベース サーバーを登録する データベース サーバーからデータを取得するには、データベースを ePolicy Orchestrator に登録する必要がありま す。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [登録済みサーバー] ページが開きます。[メニュー] 、 [設定] 、 [登録済みサーバー] の順に選択し、[新しいサ ーバー] をクリックします。 2 [サーバーの種類] ドロップダウン リストから [データベース サーバー] を選択し、サーバーの名前と説明 (オプ ション) を入力して [次へ] クリックしてください。 3 登録済みタイプのドロップダウン リストから [データベース タイプ] を選択します。このデータベースの種類を デフォルトに設定するかどうかを指定します。 このデータベース タイプにデフォルトのデータベースが割り当てられている場合には、[データベース タイプの 現在のデフォルト データベース] 行に表示されます。 4 [データベース ベンダー] を入力します。現在サポートされているのは Microsoft SQL Server と MySQL のみ です。 5 データベース サーバーの接続設定とログイン認証情報を入力します。 6 接続設定とログイン認証情報が正しく入力されているか検証するには、[テスト接続] をクリックします。 ステータス メッセージが表示され、成功または失敗を通知します。 7 [保存] をクリックします。 サーバー間でのオブジェクトの共有 1 つの McAfee ePO サーバーと同じ処理を他のサーバーで実行する最も簡単な方法は、サーバーから設定をエクス ポートして他のサーバーにインポートする方法です。 ePolicy Orchestrator からオブジェクトをエクスポートする 1 つの McAfee ePO サーバーと同じ処理を他の ePolicy Orchestrator サーバーで実行する最も簡単な方法は、サー バーから設定をエクスポートして他のサーバーにインポートする方法です。 ePolicy Orchestrator からエクスポートされた項目は XML ファイルに保存されます。このファイルには、エクスポ ートされた項目の詳細が記述されます。McAfee ePO サーバーからエクスポートされたオブジェクトは、ブラウザー で XML として表示されます。XML の処理 (表示または保存) はブラウザーの設定によって異なります。 エクスポートされたファイルのコンテンツ 通常、エクスポートされたファイルには、エクスポートされる項目の数だけ <list> という要素が存在します。単一 のオブジェクトをエクスポートすると、オブジェクトに応じて要素の名前が設定されます (例 <query>)。エクスポ ートされた項目の種類によって記述される詳細が異なります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 87 7 登録済みのサーバー サーバー間でのオブジェクトの共有 エクスポート可能な項目 エクスポート可能な項目は次のとおりです。インストール済みの拡張ファイルの項目もリストに追加できます。詳細 については、拡張ファイルのマニュアルで確認してください。 • ダッシュボード • サーバー タスク • 権限セット • ユーザー • クエリ • 自動応答 • レポート 以下の項目は、現在のコンテンツが表形式でエクスポートされます。 • 監査ログ • 問題 項目を ePolicy Orchestrator にインポートする McAfee ePO サーバーから項目をエクスポートし、他のサーバーにインポートできます。 ePolicy Orchestrator は項目を XML ファイルにエクスポートします。この XML ファイルには、エクスポートされ た項目の詳しい説明が記述されています。 項目のインポート ePolicy Orchestrator に項目をインポートする場合、次のルールが適用されます。 • デフォルトでは、ユーザーを除くすべての項目がプライベート表示でインポートされます。他の権限は、インポ ート中またはインポート後に適用できます。 • 同じ名前の項目がすでに存在していると、インポートされた項目の名前に "(imported)" または "(copy)" と いう文字列が追加されます。 • 新しいサーバーに存在しない拡張ファイルまたは製品の項目をインポートすると、無効というマークが付きます。 ePolicy Orchestrator は、ePolicy Orchestrator がエクスポートした XML ファイルしかインポートしません。 異なる種類の項目をインポートする方法については、個々の項目のドキュメントを参照してください。 McAfee ePO サーバーからオブジェクトとデータをエクスポートする エクスポートしたオブジェクトとデータは重要なデータのバックアップに使用できます。また、環境内の McAfee ePO サーバーの設定または復元にも使用できます。 サーバー上の大半のオブジェクトとデータは、エクスポートまたはダウンロードが可能です。エクスポートしたオブ ジェクトとデータは、表示したり、変換することができます。また、別のサーバーまたはアプリケーションにインポ ートすることもできます。以下の表に操作可能な項目を示します。データを表示するには、テーブルを HTML また は PDF ファイルにエクスポートします。データを他のアプリケーションで使用するには、テーブルを CSV または XML ファイルにエクスポートします。 タスク 88 1 オブジェクトまたはデータを表示したページで [アクション] をクリックし、オプションを選択します。たとえ ば、テーブルをエクスポートする場合には、[テーブルをエクスポート] を選択して [次へ] をクリックします。 2 クエリ データなど、複数の形式でダウンロード可能なコンテンツをエクスポートする場合、[エクスポート] ペー ジに設定オプションが表示されます。設定を指定して、[エクスポート] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 登録済みのサーバー サーバー間でのオブジェクトの共有 3 7 オブジェクトまたは定義 (クライアント タスク オブジェクトや定義など) をエクスポートすると、次のいずれか の処理が実行されます。 • ブラウザー ウィンドウが開き、[開く] または [保存] を選択できます。 • [エクスポート] ページに、ファイルへのリンクが表示されます。リンクを右クリックしてブラウザーでファイ ルを表示するか、リンクを右クリックしてファイルを保存します。 McAfee ePO サーバー間で ASSC キーのエクスポート/インポートを行う McAfee ePO サーバー間でシステムを転送する前に、McAfee ePO サーバー間でエージェント/サーバー間セキュア 通信 (ASSC) キーのエクスポートとインポートを行う必要があります。 エージェント/サーバー間セキュア通信 (ASSC) キーは、エージェントと McAfee ePO サーバー間のセキュリティ通 信に使用されます。関連するクライアント キーをインポートせずに、暗号化された McAfee Agent を使用している 管理対象システムを別の McAfee ePO サーバーに転送すると、転送後のシステムは新しい McAfee ePO サーバーに 接続できません。 管理対象システムを双方向で転送するには、両方のサーバーで相互に登録し、ASSC キーのセットを会苦ポートしてイ ンストールする必要があります。 McAfee ePO サーバー間で ASSC キーのエクスポートとインポートを行う前に McAfee ePO サーバーを登録し、 Sitelist の自動インポートを指定して [システムを転送] オプションを有効にすると、次のエラー メッセージ表示さ れます。 エラー:Sitelist をインポートする前に、マスター エージェント/サーバー キーをリモート サーバーにインポート する必要があります。[サーバー設定] に移動して、このサーバーからセキュリティ キーをエクスポートしてくださ い。このリンクにアクセスすると、この登録済みサーバーで未保存の変更が失われます。 登録に成功し、自動 Sitelist をインポートするには、McAfee ePO サーバーから 1024 ビットと 2048 ビットの両方 の ASSC キーをインポートする必要があります。 McAfee ePO サーバー間で ASSC キーのエクスポートとインポートを行うには、以下の手順に従います。 以下では、古い McAfee ePO サーバーから新しい McAfee ePO サーバーに ASSC キーをエクスポートする場合につ いて説明します。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 古い McAfee ePO サーバーで、[メニュー] 、 [設定] 、 [サーバー設定] の順にクリックして、[カテゴリの設 定] 列で [セキュリティ キーを] を選択して [編集] をクリックします。 2 つの ASSC キーをエクスポートするには、次の手順に従います。 a 2,048 ビットの ASSC キーをエクスポートするには、[セキュリティ キーを編集] ページの [エージェント/ サーバー間セキュア通信キー] リストで、2,048 ビットのキーを選択し、[エクスポート] をクリックして エ ージェント/サーバー間セキュア通信キーのエクスポート ダイアログ ボックスで [OK] をクリックします。 b ローカル マシンの一時フォルダーに .ZIP ファイルを保存します。 2,048 ビットの ASSC キー ファイルのデフォルト名は、sr2048<server-name>.zip, です。ここで、 <server-name> は McAfee ePO のサーバー名です。たとえば、sr2048ePO50_server.zip の場合、 ePO50_server がサーバー名になります。 c 1,024 ビットの ASSC キーをエクスポートするには、[セキュリティ キーを編集] ページのエージェント/サ ーバー間セキュア通信キー リストで 1,024 ビット キーを選択し、[エージェント/サーバー間セキュア通信キ ーのエクスポート] ダイアログ ボックスで [エクスポート] をクリックします。[OK] をクリックして、ロー カル マシンの一時フォルダーに .ZIP ファイルを保存します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 89 7 登録済みのサーバー サーバー間でのオブジェクトの共有 2 新しい McAfee ePO サーバーで、[メニュー] 、 [設定] 、 [サーバー設定] の順にクリックして、[カテゴリの設 定] 列で [セキュリティ キーを] を選択して [編集] をクリックします。 2 つの ASSC キーをインポートするには、次の手順に従います。 3 a セキュリティ キーを編集 ページで、[キー グループのインポートとバックアップ] の横にある [インポート] をクリックします。 b キーのインポート ページで、2,048 ビットと 1,024 ビットの ASSC キーを含む .ZIP ファイル (手順 1 で エクスポート) の場所に移動します。 c [アップロードするファイルの選択] ダイアログ ボックスで、2,048 ビットの ASSC キー .ZIP ファイルを選 択します。[キーのインポート] ページに戻り、[次へ] をクリックします。 d [サマリー] ページで、正しいキーを選択していること確認して、[保存] をクリックします。 e 1,024 ビット ASSC キーをインポートするには、手順 a から d を繰り返します。 新しい McAfee ePO サーバーで、1024 ビットと 2048 ビットの両方の ASSC キーが エージェント/サーバー 間通信機能 リストに表示されていることを確認し、[保存を] をクリックします。 これで、両方の ASSC キーが新しい McAfee ePO サーバーに保存されました。古いサーバーで新しい McAfee ePO サーバーを登録し、[システムを転送] で管理対象システムを移動できます。 関連トピック: 121 ページの「システム転送の機能」 83 ページの「McAfee ePO サーバーを登録する」 123 ページの「McAfee ePO サーバー間でシステムを転送する」 90 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 8 エージェント ハンドラー エージェント ハンドラーは、エージェントと McAfee ePO サーバー間の通信を処理します。 McAfee ePO サーバーにはマスター エージェント ハンドラーがあります。また、追加のエージェント ハンドラーを ネットワーク上のシステムにインストールすることもできます。 追加のエージェント ハンドラーをセットアップすると、次の利点があります。 • データベース サーバーの CPU の負荷が高くない場合、1 つの論理的な McAfee ePO サーバーでより多くの製品 とシステムを管理することができます。 • エージェントを地理的に分散させたり、多くのエージェントを使用することにより、通信の負荷を分散させ、障 害に強い環境を構築できます。 目次 エージェント ハンドラーの動作 DMZ のエージェント ハンドラーをドメインの McAfee ePO サーバーに接続する ハンドラー グループと優先度 エージェント ハンドラーを管理する エージェント ハンドラーの動作 管理対象システムやレポート対象のシステム グループに特定のエージェント ハンドラーに割り当てることで、エー ジェント/サーバー間通信 (ASCI) で生成されるネットワーク トラフィックを分散させることができます。割り当て ると、管理対象システムはメインの McAfee ePO サーバーではなく、割り当てられたエージェント ハンドラーと通 信を行います。 McAfee ePO サーバーと同様に、ハンドラーは Sitelist、ポリシー、ポリシー割り当てルールの更新を提供します。 ハンドラーにマスター リポジトリのコンテンツが一時的に格納されるため、エージェントは、製品の更新パッケー ジ、DAT、その他の必要な情報を取得することができます。 エージェントのチェックイン時にハンドラーに必要な更新がない場合、ハンドラーは割り当て済みのリポジトリから更 新を取得し、キャッシュに格納します。この更新はエージェントを介して配布されます。 エージェント ハンドラーはドメインの認証情報を認証する必要があります。認証できない場合、エージェント ハン ドラーがデータベースの認証に使用するアカウントは、SQL 認証を使用する必要があります。Windows と SQL 認 証の詳細については、Microsoft SQL Server のマニュアルを参照してください。 認証モードを変更する方法については、Microsoft SQL Server のマニュアルを参照してください。この操作を行う には、SQL Server 接続情報も更新する必要があります。 エージェント ハンドラーごとのシステム グラフには、インストール済みのエージェント ハンドラーがすべて表示さ れます。また、各ハンドラーが管理するエージェントの数も表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 91 8 エージェント ハンドラー DMZ のエージェント ハンドラーをドメインの McAfee ePO サーバーに接続する 削除されたエージェント ハンドラーはこのグラフに表示されません。エージェント ハンドラー割り当てルールが排 他的にエージェントをエージェント ハンドラーに割り当てているときに、特定のエージェント ハンドラーが削除さ れると、このハンドラーはグラフで [削除されたエージェント ハンドラー] と表示され、このハンドラーとの通信を 試みているエージェントの数が表示されます。 エージェント ハンドラーが正しくインストールされていない場合、[削除されたエージェント ハンドラー] メッセー ジが表示されます。この場合、ハンドラーがエージェントと通信を行うことができません。リストをクリックして、 ハンドラーと通信できないエージェントを確認します。 複数のエージェント ハンドラー ネットワーク上で複数のエージェント ハンドラーを使用できます。組織によっては、管理対象システムが複数の国や 地域に分散している場合があります。この場合、グループごとに別々のハンドラーを割り当て、管理対象システムに 組織を追加することができます。 DMZ のエージェント ハンドラーをドメインの McAfee ePO サーバーに接続 する McAfee ePO サーバーがドメイン内に存在している場合、DMZ にインストールされたエージェント ハンドラーはド メインの認証情報を使用できないため、McAfee ePO SQL データベースに接続できません。 この制約を回避するには、SQL データベースのシステム管理者 (sa) アカウントの認証情報を使用するようにエージ ェント ハンドラーを設定します。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 システム管理者のアカウントを有効にします。 a [SQL Management Studio] を開き、[セキュリティ ログイン] を展開して sa アカウントをダブルクリック します。 b [全般] タブでパスワードを入力します。確認のため、同じパスワードを再度入力します。 c [ステータス] タブで、[ログイン] を [有効] に設定して [OK] をクリックします。 d データベースのインスタンス名を右クリックして [プロパティ] をクリックします。 システム管理者のアカウントが有効になります。 2 システム管理者のアカウントを変更して、McAfee ePO データベースに接続します。 a Web ブラウザーを開き、次の URL に移動します。https://localhost:8443/core/config-auth 8443 がコンソール通信ポートです。別のポートで McAfee ePO コンソールにアクセスする場合には、その番 号をアドレスに追加します。 b McAfee ePO の認証情報でログオンします。 c [ユーザー ドメイン] フィールドのエントリを削除し、[sa] を入力します。 d システム管理者アカウントのパスワードを入力して、[テスト接続] をクリックします。 e テストに成功したら [適用] をクリックします。 テストに失敗した場合には、パスワードをもう一度入力して [テスト接続] をクリックしてください。 エージェント ハンドラーがシステム管理者の認証情報を使用して McAfee ePO データベースに接続します。 92 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント ハンドラー ハンドラー グループと優先度 8 ハンドラー グループと優先度 ネットワークで複数のエージェント ハンドラーを使用する場合、エージェント ハンドラーをグループ化し、優先度 を設定することで、ネットワークの接続性を維持することができます。 ハンドラー グループ ネットワークで複数のエージェント ハンドラーを使用する場合、ハンドラー グループを作成することができます。 また、グループ内のハンドラーに優先度を設定することもできます。ハンドラーの優先度により、エージェントが最 初に通信するハンドラーが決まります。最も優先度の高いハンドラーが使用できない場合、エージェントはリスト内 の次のハンドラーに接続します。この優先度情報は、各エージェントのリポジトリ リスト (sitelist.xml ファイル) に記録されています。ハンドラーの割り当てを変更すると、このファイルがエージェント/サーバー間通信の間に更新 されます。割り当てを受信すると、エージェントは次に予定されている通信間隔まで待機します。また、エージェン ト ウェークアップ コールを実行して、エージェントをすぐに更新することもできます。 ハンドラー グループと優先度は、特定の環境に合わせて自由に割り当てることができます。ここでは、ハンドラー グループの一般的な使用例を 2 つ説明します。 • 負荷分散のために複数のハンドラーを使用 ネットワーク内に多くの管理対象システムが存在する場合、エージェント/サーバー間通信とポリシー施行の負荷 を分散させる必要があります。この場合、ハンドラーが通信先のエージェントをランダムに決めるように、ハン ドラー リストを設定することができます。 • エージェント/サーバー間通信を維持するためにフォールバック計画を設定 システムが広範囲に分散しているとします。分散している各ハンドラーに優先度を割り当てると、エージェント と通信するハンドラーとその順序を指定できます。これにより、フォールバック エージェント通信とフォールバ ック リポジトリを設定すると、新しい更新がエージェントで利用可能になり、ネットワーク上の管理対象システ ムを常に最新の状態にしておくことができます。最も優先度の高いハンドラーが使用できない場合、エージェン トは次に優先度の高いハンドラーに接続します。 ハンドラー グループ内だけでなく、ハンドラー グループ間で優先度を割り当てることもできます。これにより、冗 長性が実現され、エージェントが必要な情報を常に受信できるようになります。 Sitelist ファイル エージェントは、sitelist.xml と sitelist.info を使用して、通信するハンドラーを判別します。ハンドラーの割り当 てと優先度を更新すると、これらのファイルが管理対象システム上で更新されます。これらのファイルが更新される と、エージェントは新しい割り当てまたは優先度を次に予定されているエージェント/サーバー間通信で適用します。 エージェント ハンドラーを管理する ネットワーク内にエージェント ハンドラーをセットアップし、McAfee Agent を割り当てます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 93 8 エージェント ハンドラー エージェント ハンドラーを管理する タスク • 94 ページの「McAfee Agent をエージェント ハンドラーに割り当てる」 特定のハンドラーにエージェントを割り当てます。システムは、個別、グループごと、またはサブネッ トごとに割り当てることができます。 • 94 ページの「エージェント ハンドラーの割り当てを管理する」 エージェント ハンドラーの割り当ての共通管理タスクを実行します。 • 95 ページの「エージェント ハンドラー グループを作成する」 ハンドラー グループにより、ネットワーク内の複数のハンドラーを容易に管理できます。また、フォー ルバック計画にも役立ちます。 • 96 ページの「エージェント ハンドラー グループを管理する」 エージェント ハンドラー グループの共通管理タスクを実行します。 • 96 ページの「ハンドラー間でエージェントを移動する」 特定のハンドラーにエージェントを割り当てます。システムは、エージェント ハンドラーの割り当てル ールまたはエージェント ハンドラーの割り当て優先度を使用して割り当てることができます。また、シ ステム ツリーで個別に割り当てることもできます。 McAfee Agent をエージェント ハンドラーに割り当てる 特定のハンドラーにエージェントを割り当てます。システムは、個別、グループごと、またはサブネットごとに割り 当てることができます。 ハンドラーを割り当てるときに、個々のハンドラーまたはハンドラーのリストを指定できます。リストを使用する場 合には、個々のハンドラーまたはハンドラー グループからリストを作成できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [エージェント ハンドラー] の順にクリックし、[アクション] 、 [新規割り当て] の順に クリックします。 2 この割り当てに一意の名前を指定します。 3 次の [エージェントの条件] オプションのいずれか (または両方) を使用して、この割り当てのエージェントを指 定します。 4 • [システム ツリーの場所] を参照します。 • [エージェント サブネット] フィールドに管理対象システムの IP アドレス、IP 範囲またはサブネット マスク を入力します。 次のオプションを選択して、[ハンドラーの優先度] を指定します。 • [すべてのエージェント ハンドラーを使用] - エージェントが通信するハンドラーをランダムに選択します。 • [カスタム ハンドラー リストを使用] - カスタム ハンドラー リストを使用する場合は、ドロップダウン メ ニューからハンドラーまたはハンドラー グループを選択します。 カスタム ハンドラー リストを使用する場合には、[+] または [–] を使用して、リストにエージェント ハンドラー を追加または削除します (エージェント ハンドラーは複数のグループに追加できます)。ドラッグアンドドロップ ハンドルを使用して、ハンドラーの優先度を変更します。優先度により、エージェントが最初に通信を試行するハ ンドラーが決まります。 エージェント ハンドラーの割り当てを管理する エージェント ハンドラーの割り当ての共通管理タスクを実行します。 これらの操作を実行するには、[メニュー] 、 [設定] 、 [エージェント ハンドラー] の順にクリックし、[ハンドラー 割り当てルール] で [アクション] をクリックします。 94 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント ハンドラー エージェント ハンドラーを管理する 8 操作... 手順... ハンドラーの割り 当ての削除 選択した割り当ての行で [削除] をクリックします。 ハンドラーの割り 当ての編集 選択した割り当てで [編集] をクリックします。[エージェント ハンドラーの割り当て] ページ が開き、以下を指定できます。 • [割り当て名] - このハンドラーの割り当てを識別する一意の名前です。 • [エージェントの条件] - この割り当てに含まれるシステム。システム ツリー グループを 追加または削除できます。また、テキスト ボックスのシステムのリストを変更できます。 • [ハンドラーの優先度] - すべてのエージェント ハンドラーを使用するか、カスタム ハンド ラー リストを使用するのかを選択します。[すべてのエージェント ハンドラーを使用] を選 択すると、エージェントは通信するハンドラーをランダムに選択します。 ドラッグアンドドロップ ハンドルを使用すると、カスタム ハンドラー リストのハンドラーの 優先度をすばやく変更できます。 ハンドラーの割り 当てのエクスポー ト [エクスポート] をクリックします。[エージェント ハンドラーの割り当てをダウンロード] ペ ージが開きます。ここで、AgentHandlerAssignments.xml ファイルを表示またはダウンロー ドできます。 ハンドラーの割り 当てのインポート [インポート] をクリックします。[エージェント ハンドラーの割り当てをインポート] ダイア ログ ボックスが開き、前にダウンロードした AgentHandlerAssignments.xml ファイルを参 照できます。 ハンドラーの割り 当ての優先度の編 集 [優先度を編集] をクリックします。[エージェント ハンドラーの割り当て] の [優先度を編集] ページが開きます。ここで、ドラッグアンドドロップ ハンドルを使用して、ハンドラーの割り 当ての優先度を変更できます。 ハンドラーの割り 当ての概要の表示 選択した割り当ての行で [>] をクリックします。 エージェント ハンドラー グループを作成する ハンドラー グループにより、ネットワーク内の複数のハンドラーを容易に管理できます。また、フォールバック計画 にも役立ちます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [エージェント ハンドラー] の順にクリックし、[ハンドラー グループ] をクリックし て、[新規グループ] をクリックします。 [グループの追加/編集] ダイアログ ボックスが表示されます。 2 グループ名を指定し、次のように [対象のハンドラー] に詳細を指定します。 • [ロード バランサーを使用] をクリックしてサードパーティのロード バランサーを使用し、[仮想 DNS 名] と [仮想 IP アドレス] フィールドに情報を入力します (両方に入力する必要があります)。 • [カスタム ハンドラー リストを使用] をクリックして、このグループに入れるエージェント ハンドラーを指 定します。 カスタム ハンドラー リストを使用する場合には、[対象のハンドラー] ドロップダウン リストからハンドラー を選択します。[+] または [-] を使用して、リストにエージェント ハンドラーを追加または削除します (エー ジェント ハンドラーは複数のグループに追加できます)。ドラッグアンドドロップ ハンドルを使用して、ハン ドラーの優先度を変更します。優先度により、エージェントが最初に通信を試行するハンドラーが決まります。 3 [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 95 8 エージェント ハンドラー エージェント ハンドラーを管理する エージェント ハンドラー グループを管理する エージェント ハンドラー グループの共通管理タスクを実行します。 これらの操作を実行するには、[メニュー]、[設定]、[エージェント ハンドラー] の順にクリックし、[ハンドラー グ ループ] モニターをクリックします。 オプションの定義の場合、インターフェースで [?] をクリックします。 アクション 手順 ハンドラー グループの 削除 選択したグループ行で [削除] をクリックします。 ハンドラー グループの 編集 ハンドラー グループをクリックします。[エージェント ハンドラー グループの設定] ペ ージが開きます。このページでは、次の情報を指定できます。 • [仮想 DNS 名] - このハンドラー グループを識別する一意の名前です。 • [仮想 IP アドレス] - このグループに関連付けられた IP アドレスです。 • [対象のハンドラー] - サードパーティのロード バランサーを使用するのか、カスタ ム ハンドラー リストを使用するのかを選択します。 カスタム ハンドラー リストを使用して、このグループに割り当てられたエージェント が通信するハンドラーとその順序を指定します。 ハンドラー グループの 有効化または無効化 選択したグループ行で [有効] または [無効] をクリックします。 ハンドラー間でエージェントを移動する 特定のハンドラーにエージェントを割り当てます。システムは、エージェント ハンドラーの割り当てルールまたはエ ージェント ハンドラーの割り当て優先度を使用して割り当てることができます。また、システム ツリーで個別に割 り当てることもできます。 ハンドラーを割り当てるときに、個々のハンドラーまたはハンドラーのリストを指定できます。リストを使用する場 合には、個々のハンドラーまたはハンドラー グループからリストを作成できます。 タスク • 96 ページの「エージェント ハンドラーの割り当てでエージェントをグループ化する」 エージェント ハンドラーの割り当てを作成して、McAfee Agent をグループ化します。 • 97 ページの「割り当ての優先度でエージェントをグループ化する」 エージェントをグループ化し、割り当ての優先度を使用するエージェント ハンドラーに割り当てます。 • 98 ページの「システム ツリーでエージェントをグループ化する」 エージェントをグループに分類し、システム ツリーを使用してグループをエージェント ハンドラーに割 り当てます。 エージェント ハンドラーの割り当てでエージェントをグループ化する エージェント ハンドラーの割り当てを作成して、McAfee Agent をグループ化します。 ハンドラーを割り当てるときに、個々のハンドラーまたはハンドラーのリストを指定できます。リストを使用する場 合には、個々のハンドラーまたはハンドラー グループからリストを作成できます。 エージェント ハンドラーにエージェントを割り当てる場合には、不要なネットワーク トラフィックが発生しないよう に、地理的な近接性を考慮してください。 96 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント ハンドラー エージェント ハンドラーを管理する 8 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [エージェント ハンドラー] の順にクリックし、必要なハンドラー割り当てルールをクリ ックします。 [エージェント ハンドラーの割り当て] ページが表示されます。 リストにデフォルトの割り当てルールしか表示されない場合には、新しい割り当てを作成する必要があります。 2 [割り当て名] に名前を入力します。 3 システム ツリーの場所またはエージェント サブネットごとに、エージェントの条件を設定します。エージェント ごとに条件を設定することもできます。 • システム ツリーの場所 - [システム ツリーの場所] からグループを選択します。 [システム ツリーを選択] から他のグループを参照して選択できます。表示されているシステム ツリー グル ープを [+] または [–] で追加または削除することもできます。 4 • エージェント サブネット - テキスト ボックスに IP アドレス、IP 範囲またはサブネット マスクを入力しま す。 • 個別 - テキスト フィールドに特定のシステムの IPv4 または IPv6 アドレスを入力します。 すべてのエージェント ハンドラーまたはカスタム ハンドラー リストを使用するように、ハンドラーの優先度を 設定できます。[カスタム ハンドラー リストを使用] をクリックして、次のいずれかの方法でハンドラーを変更 します。 • 別のハンドラーをリストに追加するか、以前に関連付けたハンドラーを削除し、ハンドラーの関連付けを変更 します。 • ハンドラーをリストに追加して、エージェントがハンドラーとの通信に使用する優先度を設定します。 カスタム ハンドラー リストを使用する場合には、[+] または [–] を使用して、リストからエージェント ハン ドラーを追加または削除します (エージェント ハンドラーは複数のグループに追加できます)。ドラッグアン ドドロップ ハンドルを使用して、ハンドラーの優先度を変更します。優先度により、エージェントが最初に通 信を試行するハンドラーが決まります。 5 [保存] をクリックします。 割り当ての優先度でエージェントをグループ化する エージェントをグループ化し、割り当ての優先度を使用するエージェント ハンドラーに割り当てます。 ハンドラーを割り当てるときに、個々のハンドラーまたはハンドラーのリストを指定できます。リストを使用する場 合には、個々のハンドラーまたはハンドラー グループからリストを作成できます。このリストによって、エージェン トが通信に使用するエージェント ハンドラーの順番が決まります。 エージェント ハンドラーにシステムを割り当てる場合には、不要なネットワーク トラフィックが発生しないように、 地理的な近接性を考慮してください。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [エージェント ハンドラー] の順にクリックします。[エージェント ハンドラー] ページ が表示されます。 リストにデフォルトの割り当てルールしか表示されない場合には、新しい割り当てを作成する必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 97 8 エージェント ハンドラー エージェント ハンドラーを管理する 2 「割り当てルールによるエージェントのグループ化」の手順に従って、割り当てを編集します。 3 必要に応じて、[アクション] 、 [優先度を編集] の順にクリックし、割り当ての優先度または階層を修正します。 ある割り当ての優先度を別の割り当てよりも低くすると、低い割り当てが高い割り当てに含まれる階層が作成され ます。 4 5 左側の [優先度] 列に表示されている割り当ての優先度を変更するには、次のいずれかを実行します。 • ドラッグアンドドロップを使用 - ドラッグアンドドロップ ハンドルを使用して、[優先度] 列の別の位置に 割り当てをドラッグします。 • [トップへ移動] をクリック - [クイック アクション] で、[トップへ移動] をクリックすると、選択した割り 当てが最上位の優先度に移動します。 割り当ての優先度が正しく設定されたら、[保存] をクリックします。 システム ツリーでエージェントをグループ化する エージェントをグループに分類し、システム ツリーを使用してグループをエージェント ハンドラーに割り当てます。 ハンドラーを割り当てるときに、個々のハンドラーまたはハンドラーのリストを指定できます。リストを使用する場 合には、個々のハンドラーまたはハンドラー グループからリストを作成できます。 エージェント ハンドラーにシステムを割り当てる場合には、不要なネットワーク トラフィックが発生しないように、 地理的な近接性を考慮してください。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 98 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックします。 2 [システム ツリー] 列で、移動するシステムまたはグループを選択します。 3 ドラッグアンドドロップ ハンドルを使用して、現在構成しているシステム グループから対象のシステム グルー プにシステムを移動します。 4 [OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ネットワーク セキュリティを管理す る 脅威から組織を守るには、最新のセキュリティ コンテンツを使用し、McAfee 製品を常 に最新の状態にしておく必要があります。McAfee ePO サーバーは、このような作業を ネットワーク内のすべてのシステムに実行します。 第9章 第 10 章 第 11 章 第 12 章 第 13 章 第 14 章 第 15 章 第 16 章 第 17 章 第 18 章 第 19 章 システム ツリー タグ エージェント/サーバー間通信 セキュリティ キー ソフトウェア マネージャー 製品の配備 ポリシーの管理 クライアント タスク サーバー タスク パッケージと更新の手動管理 イベントと応答 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 99 ネットワーク セキュリティを管理する 100 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 9 システム ツリー システム ツリーは、管理対象ネットワークの編成を視覚的に表しています。 ePolicy Orchestrator では、システムの編成を自動化し、カスタマイズできます。組織構造を変更すると、セキュリ ティ ポリシーの継承方法や環境全体へのポリシーの施行に影響を及ぼします。 システム ツリーは次の方法で編成できます。 • Active Directory または NT ドメイン サーバーとの自動同期 • 条件によるソート。システムに自動的または手動で適用する条件を使用します。 • コンソールでの手動による編成 (ドラッグ アンド ドロップ操作) 目次 システム ツリーの構造 システム ツリーの編成を計画する場合の考慮事項 Active Directory との同期 Active Directory の同期化の種類 NT ドメインの同期化 条件によるソート システム ツリー グループを作成して追加する システム ツリー内でシステムを移動する システム転送の機能 システム ツリーの構造 システム ツリーは階層構造になっています。このツリーでは、ネットワーク内のシステムをグループとサブグループ に編成できます。 デフォルトのシステム ツリー構造には次の 2 つのグループがあります。 • [ユーザーの組織] - システム ツリーのルートです。 • [未分類] - システム ツリーの他のグループに追加されていないシステムまたはグループに追加できないシステ ムが入ります。 ユーザーの組織グループ システム ツリーのルートであるユーザーの組織グループには、ネットワークで (手動または自動的に) 検出または追 加されたすべてのシステムが入ります。 固有の構造を作成するまで、すべてのシステムは未分類グループに追加されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 101 9 システム ツリー システム ツリーの構造 ユーザーの組織グループには以下の特徴があります。 • 削除できない。 • 名前の変更ができない。 未分類グループ 未分類グループはユーザーの組織グループのサブグループです。 システム ツリーの作成方法とメンテナンス方法に応じて、サーバーは様々な特徴を利用し、システムを配置する場所 を判別します。未分類グループには、格納場所が決定されなかったシステムが格納されます。 未分類グループには以下の特徴があります。 • 削除できない。 • 名前の変更ができない。 • catch-all グループの状態からソート条件を変更できない。ただし、グループ内のサブグループにソート条件を適 用することはできる。 • 常にシステム ツリーの最後に表示され、アルファベット順には並んでいない。 • 未分類グループへの権限がないユーザーはグループの内容を参照できない。 • システムが未分類グループに分類されると、システムのドメイン名と同じ名前のサブグループに配置される。そ のようなグループが存在しない場合、新規に作成されます。 システム ツリーからシステムを削除する場合、エージェントも削除する必要があります。エージェントを削除しない と、エージェントがサーバーと通信を続けるため、削除したシステムが未分類グループに表示されたままになります。 システム ツリー グループ システム ツリーのグループはシステムの集合体を表します。システムをどのグループに分類するかは、ネットワーク やビジネスの要件によって異なります。 たとえば、コンピューターの種類 (ノート PC、サーバー、デスクトップ)、所在地 (北米、ヨーロッパ)、部門 (財務、 開発) など、必要な条件を設定してシステムを分類できます。 グループには以下の特長があります。 • 管理者または適切な権限を持ったユーザーが作成する。 • システムと他のグループ (サブグループ) を追加できる。 • 管理者または適切な権限を持ったユーザーによって管理される。 プロパティや要件が似ているシステムをこうした単位に編成すると、システムに個別にポリシーを設定するのではな く、システムに対してポリシーを 1 ヶ所から管理することができます。 計画段階として、システムをグループに編成する方法を考えてからシステム ツリーを作成してください。 継承 継承を使用すると、ポリシーとタスクの管理を容易に行うことができます。継承を設定すると、システム ツリー階層 の子グループは親グループに設定されたポリシーを継承します。 例: 102 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム ツリーの編成を計画する場合の考慮事項 • システム ツリーのユーザーの組織レベルに設定されたポリシーは下位のグループに継承されます。 • グループのポリシーは、グループ内のサブグループと個々のシステムに継承されます。 9 デフォルトでは、システム ツリーに追加したすべてのグループと個々のシステムで継承が有効になっています。この 場合、ポリシーの設定やクライアント タスクのスケジュール設定を数か所で行うだけで設定が完了します。 ただし、システム ツリーでユーザーが適切な権限を持つ任意の場所で、新しいポリシーを適用して継承を無効にし、 カスタマイズすることもできます。ポリシーの割り当てをロックして、継承を保護できます。 システム ツリーの編成を計画する場合の考慮事項 効率的に編成されたシステム ツリーは保守作業が簡単になります。システム ツリー構造には、それぞれの環境の管 理、ネットワーク、方針などのさまざまな状況が影響します。 システム ツリーの編成を計画した後で、その作成や追加を行います。特に大規模なネットワークでは、システム ツ リーの作成は一度に行うほうが効率的です。 ネットワークは 1 つ 1 つ異なり、それぞれのポリシーや管理形態も異なるため、McAfee ePO ソフトウェアの実装 を開始する前に、ディレクトリの計画を策定することをお勧めします。 システム ツリーの作成方法や追加方法にかかわらず、システム ツリーの計画を策定する場合は使用している環境を 考慮してください。 管理者アクセス権 システム ツリーの編成を計画する場合、システム管理者のアクセス要件を考慮する必要があります。 たとえば、組織で分散型のネットワーク管理を使用している場合、ネットワークの各部分に対してそれぞれの管理者 が権限を持っています。セキュリティ上の理由から、ネットワークのすべての部分にアクセスできる管理者アカウン トを設定していない場合もあります。このような場合、単一の管理者アカウントを使用したポリシーの設定やエージ ェントの配備を行うことはできません。システム ツリーを部門ごとにグループに編成し、アカウントと権限セットを 作成する必要がある場合もあります。 以下の点について考慮してください。 • それぞれのシステムの管理者 • システムに関する情報へのアクセス権が必要なユーザー • システムおよびその情報へのアクセス権を許可しないユーザー これらの要件はシステム ツリーの編成、および作成後にユーザー アカウントに適用する権限セットに影響を与えま す。 ネットワーク環境の境界とシステム編成に与える影響 システムを管理するための編成方法は、ネットワークに存在する境界によって異なります。システム ツリーの編成に 対する境界の影響は、ネットワーク トポロジの編成に対する影響とは異なります。 ネットワークや組織に存在する以下のような境界を検討し、システム ツリーの編成を定義する際に、考慮する必要が あるかどうか検討します。 トポロジの境界 ネットワークは、NT ドメインまたは Active Directory コンテナーで定義します。同期化機能を使用してシステム ツリーの作成と管理を行うと、ネットワーク環境を容易に編成することができます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 103 9 システム ツリー システム ツリーの編成を計画する場合の考慮事項 地理的な境界 セキュリティでは、常に保護とパフォーマンスのバランスを考慮する必要があります。システム ツリーを編成する と、限られた帯域幅を最適に利用することができます。サーバーからネットワーク上のすべての場所への通信方法を 考える必要があります。特に、高速な LAN 接続ではなく、低速な WAN または VPN でのリモート接続について考 慮する必要があります。リモート サイトごとに更新とエージェント/サーバー間通信ポリシーを設定すると、低速な 接続を介したネットワーク トラフィックを最小限に抑えることができます。 管理体制の境界 大規模なネットワークでは、ネットワークの各部分を担当するユーザーやグループが異なるために分割している場合 があります。このような境界は、トポロジや地理的な境界とは異なります。システム ツリーの各部分にアクセス権や 管理権限を設定することにより、その構造にも影響します。 部門の境界 ネットワークを使用するユーザーの役割 (営業部門やエンジニア部門など) でネットワークを分割している場合もあ ります。ネットワークが部門別に分けられていなくても、グループごとに異なるポリシーを設定する場合には、シス テム ツリーの各部分を編成する必要があります。 ビジネス グループでは、特別なセキュリティ ポリシーを必要とする特定のソフトウェアを実行する場合があります。 たとえば、Exchange サーバーを 1 つのグループにまとめ、オンアクセス スキャンの除外対象に設定することがで きます。 サブネットと IP アドレスの範囲 ネットワークの組織単位で特定のサブネットや IP アドレスの範囲を使用する場合が多いため、地域に関するグルー プを作成して、IP フィルターを設定することができます。また、ネットワークが地理的に分散していない場合は、IP アドレスなど、ネットワーク上の場所に基いてグループ化を行うことができます。 可能であれば、IP アドレス情報に基づいたソート条件を使用してシステム ツリーを自動的に作成および管理すること を考慮します。IP サブネット マスクまたは IP アドレスの範囲の条件をシステム ツリー内の適用可能なグループに 設定します。これらのフィルターによって、システムが自動的に適切な場所に追加されます。 オペレーティング システムとソフトウェア 同じオペレーティング システムのシステムをグループ化すると、オペレーティング システム固有の製品とポリシー を容易に管理することができます。レガシー システムがある場合は、これらのシステムのグループを作成し、セキュ リティ製品を各システムに個別に配備して管理することができます。また、こうしたシステムに対応するタグを与え ることで、自動的にそのグループにソートすることができます。 タグおよび類似する特徴を持つシステム タグとタグ グループを使用すると、グループを自動的にソートできます。 タグにより、類似する特徴を持つシステムが識別されます。類似する特徴でグループを編成できる場合、その条件に 基づいてタグの作成と割り当てを行い、そのタグをグループのソート条件として使用し、適切なグループにシステム を自動的に配置します。 可能であれば、タグに基づいたソート条件を使用して、適切なシステムを自動的にグループに追加します。システム のソートを簡単に行えるように、タグ グループを最大で 4 レベルまでネストできます。また、各レベルには 1,000 個のサブグループを入れることができます。たとえば、システムを地理的な場所、シャーシ タイプ (サーバー、ワー クステーション、ラップトップ)、システムの機能 (Web サーバー、SQL、アプリケーション サーバー)、ユーザー 別に編成する場合、次のようなタグ グループを使用します。 104 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー Active Directory との同期 場所 シャーシ タイプ プラットフォーム ユーザー ロサンゼルス デスクトップ Windows 全般 ラップトップ Macintosh 販売 9 トレーニング Windows 会計 管理 Linux 会社 Windows 会社 SQL 会社 デスクトップ Windows 全般 ラップトップ Macintosh 販売 サーバー サンフランシスコ トレーニング Windows 会計 管理 サーバー Linux 会社 Windows 会社 SQL 会社 Active Directory との同期 ネットワークで Active Directory を実行している場合、Active Directory の同期を使用して、システム ツリーの一 部を作成、追加および管理することができます。 定義後は、Active Directory 内の新しいシステム (およびサブコンテナー) に対してシステム ツリーを更新できま す。 Active Directory の統合を使用して、次のシステム管理タスクを実行します。 • システムと Active Directory のサブコンテナーを (システム ツリー グループとして) インポートし、Active Directory に対してそれらを常に最新の状態にすることで、Active Directory 構造の完全な同期を実現できます。 同期するたびにシステム ツリー内のシステムと構造の両方が更新され、Active Directory のシステムと構造が反 映されます。 • Active Directory コンテナー (およびそのサブコンテナー) からシステムをフラットリストとして同期グループ にインポートできます。 • 重複する可能性のあるシステムの処理方法を制御できます。 • Active Directory からインポートされるシステムの説明を使用できます。 以下を実行してシステム ツリーを Active Directory のシステム構造と統合します。 1 システム ツリー内のマッピング ポイントとなる各グループに対して同期を設定します。同じ場所で以下を設定 できます。 • エージェントを検出されたシステムに配備するかどうか。 • Active Directory からシステムが削除されるときにシステム ツリーからも削除する。 • システム ツリー内にすでに同じシステム エントリが存在している場合、重複を許可するかどうか。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 105 9 システム ツリー Active Directory の同期化の種類 2 [今すぐ同期を実行] アクションを使用して、同期の設定に基づき Active Directory システム (およびその構造) をシステム ツリーにインポートするかどうか。 3 NT ドメインと Active Directory の同期サーバー タスクを実行し、同期の設定に基づきシステム (および Active Directory 構造) をシステム ツリーと定期的に同期させるかどうか。 Active Directory の同期化の種類 Active Directory の同期化には、システムのみとシステムと構造の 2 種類があります。どちらを選択するかは、 Active Directory との統合レベルによって異なります。 各種類で同期化を制御するには、次を選択します。 • ePolicy Orchestrator に対して新規のシステムにエージェントを自動的に配備するかどうか。帯域幅が限られ ている状況で多数のシステムをインポートする場合、最初の同期化時ではこの設定を無効にすることをお勧めし ます。エージェント MSI のサイズは約 6 MB です。ただし、その後の同期化では、Active Directory で検出さ れた新しいシステムに対するエージェントの配備を自動化することをお勧めします。 • Active Directory からシステムが削除された場合、ePolicy Orchestrator からシステムを削除するかどうか (ま た、エージェントを削除するかどうか)。 • システム ツリー内にシステムが存在する場合にグループへのシステムの追加を回避するかどうか。これにより、 システムを別の場所に手動で移動したりソートする場合に、システムの重複を避けることができます。 • 特定の Active Directory コンテナーを同期から除外するかどうか。これらのコンテナーおよびシステムは同期 時に無視されます。 システムと構造 この種類の同期化を使用すると、次の同期で Active Directory 構造の変更がシステム ツリー構造と同期されます。 Active Directory でシステムまたはコンテナーが追加、移動、削除されると、システム ツリーの対応する場所で追 加、移動、削除が行われます。 この種類の同期化を実行する条件 この種類の同期化を使用する場合、システム ツリー (またはその一部) が Active Directory 構造とまったく同じで あることを確認します。 Active Directory の編成がシステム ツリーのセキュリティ管理要件に一致し、対応する Active Directory 構造と同 じ構造を維持する場合、その後の同期化でこの種類の同期化を使用します。 システムのみ Active Directory コンテナーからシステム (除外されてないサブコンテナーのシステムを含む) を対応するシステム ツリー グループにフラット リストとしてインポートするには、この同期化の種類を使用します。ソート条件をグル ープに割り当てて、これらをシステム ツリーの該当の場所に移動します。 この種類の同期化を選択した場合、システム ツリーにすでに存在するシステムを追加しないようにします。これによ り、システム ツリーにあるシステム エントリの重複を回避できます。 この種類の同期化を実行する条件 この種類の同期化を使用すると、ePolicy Orchestrator のシステムの通常のソースとして Active Directory を使用 することができますが、セキュリティ管理要件の編成と Active Directory のコンテナーおよびシステムの編成が一 致しません。 106 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー NT ドメインの同期化 9 NT ドメインの同期化 NT ドメインをソースとして使用し、システム ツリーに追加します。グループを NT ドメインと同期させる場合、そ のドメインのすべてのシステムをフラット リストとしてグループに追加します。単一のグループでシステムを管理 するか、またはより細かい編成要件を実現するのであれば、サブグループの作成後に自動ソートを実行して、そのサ ブグループにシステムを自動的に追加するなどの方法を使用します。 システムをシステム ツリーの他のグループまたはサブグループに移動する場合、システム ツリーの他の場所にすで にそのシステムが存在する場合は追加しないようにします。これにより、システム ツリーにあるシステム エントリ の重複を回避できます。 Active Directory の同期化と異なり、NT ドメインの同期化で同期されるのはシステム名のみです。システムの説明 は同期されません。 条件によるソート ePolicy Orchestrator の以前のリリースと同様に、IP アドレス情報を使用して自動的に管理対象のシステムを特定 のグループにソートできます。また、タグ (システムに割り当てられるラベル) に基づいたソート条件を作成するこ ともできます。条件のどちらか一方または両方を使用して、システムがシステム ツリー内の対象の場所に存在するこ とを確認できます。 グループのソート条件に 1 つでも一致すれば、システムがそのグループに配置されます。 グループの作成とソート条件の設定が完了したら、[ソート テスト] アクションを実行してその条件とソート順序が 該当の結果になっているかを確認します。 グループにソート条件を追加したら、[今すぐソート] アクションを実行できます。このアクションにより、自動的に 選択したシステムを適切なグループに移動できます。グループのソート条件に一致しないシステムは「未分類」に移 動します。 新しいシステムは、最初のサーバー通信時に適切なグループに自動的に追加されます。ただし、最初のエージェント/ サーバー間通信の後にソート条件を定義した場合、該当するシステムに対して [今すぐソート] アクションを実行し て即座に適切なグループに移動させるか、次のエージェント/サーバー間通信まで待つ必要があります。 システムのソート ステータス システムまたはシステムの集合に対して、システム ツリーのソートを有効または無効にすることができます。あるシ ステムに対してシステム ツリーのソートを無効にした場合、[ソート テスト] アクションが実行される場合を除き、 そのシステムをソート アクションの実行から除外することができます。ソート テストが実行されると、システムま たは集合のソート ステータスが考慮され、[ソート テスト] ページから移動またはソートされます。 McAfee ePO サーバーに対するシステム ツリーのソート設定 ソートを実行する場合、サーバーおよびシステムに対してソートが有効になっている必要があります。デフォルトで は、システムのソートが有効になっています。このため、システムは最初のエージェント/サーバー間通信時にソート され (既存のシステムに変更がある場合は次回の通信)、再度ソートされることはありません。 システムのソート テスト この機能を使用して、ソート アクション時にシステムが配置される場所を確認します。[ソート テスト] ページに、 システムとシステムがソートされる場所へのパスが表示されます。このページにはシステムのソート ステータスは 表示されませんが、このページでシステム (ソートが無効化されているシステムも可) を選択して [システムを移動] をクリックすると、特定した場所にシステムが配置されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 107 9 システム ツリー 条件によるソート ソート設定による影響 システムのソートの有無とそのタイミングを決定するサーバー設定には 3 種類あります。また、システム ツリー内 の選択したシステムに対して、システム ツリーのソートを有効または無効にすることでソート対象となるシステムを 選択することができます。 サーバーの設定 サーバーには以下の 3 つの設定があります。 • [システム ツリーのソートの無効化] - 条件に基づいたソートがセキュリティ管理要件に一致せず、他のシステ ム ツリー機能 (Active Directory の同期化など) を使用してシステムを編成する場合、この設定を選択して McAfee ePO ユーザーが誤ってグループに対してソート条件を設定したり、システムを該当の場所以外に移動す ることを回避します。 • [エージェントとサーバー間の通信時にシステムをソート] - 各エージェント/サーバー間通信時にシステムがソ ートされます。グループに対するソート条件を変更すると、システムは次のエージェント/サーバー間通信で新し いグループに移動します。 • [システムを一度ソート] - 次のエージェント/サーバー間通信時にシステムがソートされると、この設定が選択 されている間はエージェント/サーバー間通信時にソートされなくなります。ただし、システムを選択し [今すぐ ソート] クリックすると、このようなシステムをソートすることができます。 システム設定 任意のシステムに対して、システム ツリーのソートを無効または有効にすることができます。あるシステムに対して 無効にした場合、ソートが実行されてもそのシステムはソートされません。ただし、[ソート テスト] アクションを 実行するとこのシステムがソートされます。あるシステムで有効にした場合、そのシステムは手動での [今すぐソー ト] アクション実行時やエージェント/サーバー間通信時に常にソートされます。どのタイミングでソートされるか は、サーバーのシステム ツリーのソートの設定によって異なります。 IP アドレスのソート条件 多くのネットワークでは、地理的な場所や機能など、サブネットと IP アドレス情報に組織の区別が反映されていま す。IP アドレスの編成が必要な場合、該当するグループに対して IP アドレスのソート条件を設定し、一部またはす べてのシステム ツリー構造の作成と保持を実施することを考慮します。 このバージョンの ePolicy Orchestrator では、この機能が変更されています。ツリー全体で IP ソート条件をラン ダムに設定できます。親グループに条件が設定されていなければ、下位グループの IP アドレス ソート条件を親グル ープのサブセットに一致させる必要はありません。設定後は、エージェント/サーバー間通信時か、またはソート ア クションを手動で開始したときにシステムをソートできます。 IP アドレスのソート条件は異なるグループ間で範囲が重ならないようにしてください。あるグループのソート条件の 各 IP アドレスの範囲またはサブネット マスクは、一意の IP アドレスのセットにする必要があります。条件が重なっ ていると、それらのシステムのソート先のグループは、[システム ツリー] 、 [グループの詳細] の順に移動して表示さ れたタブ上のサブグループの順番に依存します。[グループの詳細] タブの [IP の整合性チェック] アクションを使用 して、IP の重複をチェックできます。 タグに基づいたソート条件 IP アドレス情報を使用してシステムを適切なグループにソートする以外に、各システムに割り当てたタグに基づいて ソート条件を定義することができます。 タグに基づいたソート条件は IP アドレスに基づいたソート条件と併用できます。 108 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー 条件によるソート 9 グループの順序とソート グループのサブグループの順序を設定することで、ソート時にシステムを配置する際に設定した順序でソートするこ とができます。これにより、システム ツリー管理でより高い柔軟性を実現することができます。 複数のサブグループが条件に一致する場合、この順序を変更してシステム ツリー内のシステムのソート先を変更する ことができます。 また、catch-all グループを使用している場合は、リストの最後のサブグループに表示されます。 catch-all グループ catch-all グループは、グループの [ソート条件] ページの [その他] に設定されるソート基準のグループです。ソー ト順序の最後にあるサブグループが、catch-all グループとなります。これらのグループは、親グループにソートさ れたが catch-all のピアにソートされなかったすべてのシステムを受信します。 ソート実行時のシステム ツリーへのシステムの追加方法 エージェントがサーバーと初回通信を行うと、サーバーはアルゴリズムを使用してシステムをシステム ツリーに配置 します。サーバーがシステムの適切な配置場所を特定できない場合、システムは未分類グループに配置されます。 サーバーは、各エージェント/サーバー間通信時にエージェント GUID を使用してシステム ツリーのシステムを特定 しようとします (システムのエージェントがサーバーに通信済みで、そのシステムにデータベースのエージェント GUID が割り当てられている場合のみ)。GUID に一致するシステムが検出された場合、既存の場所と同じになりま す。 一致するシステムが検出されない場合は、サーバーはアルゴリズムを使用してシステムを適切なグループにソートし ます。パス内の各親グループにそれぞれ一致する条件が存在する限り、構造の深さに関係なく、システムはシステム ツリーの条件に基づいたグループにソートされます。条件に基づいたサブグループの親グループは、条件がないか、 条件に一致するかのいずれかである必要があります。 サブグループのソート順 ([グループの詳細] タブで定義) によって、条件に一致するグループを検索するときにサー バーがサブグループを認識する順番が変わります。 1 エージェントの GUID がない (システムのエージェントが一度も通信を行っていない) 場合、サーバーはドメイ ンと同じ名前のシステムをグループ内で検索します。一致するシステムが検出された場合、そのグループに配置 されます。これは、Active Directory または NT ドメインの最初の同期化後、またはシステム ツリーにシステム を手動で追加したときに発生する可能性があります。 2 一致するシステムを検出できない場合、サーバーはシステムの元のドメインと同じ名前のグループを検索します。 一致するグループを検出できない場合、未分類グループの下にグループが作成され、そこにシステムが配置され ます。 3 システムのプロパティが更新されます。 4 各エージェント/サーバー間通信時にサーバーによってソート条件が実行されるように設定されている場合、サー バーは条件に基づいたタグをすべてシステムに適用します。 5 システム ツリーのソートがサーバーとシステムの両方で有効になっているかどうかで次の動作が異なります。 • サーバーとシステムでシステム ツリーのソートが無効になっている場合、システムの場所に変動はありませ ん。 • サーバーとシステムでシステム ツリーのソートが有効になっている場合、システム ツリー グループのシステ ムはソート条件に基づいて移動します。 Active Directory または NT ドメインの同期化によって追加されたシステムは、デフォルトでシステム ツリ ーのソートが無効になっています。このため、最初のエージェント/サーバー間通信ではソートされません。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 109 9 システム ツリー システム ツリー グループを作成して追加する 6 サーバーは、ユーザーの組織グループの [グループの詳細] タブのソート順序に基づいて、最上位レベルのすべて のグループのソート条件を考慮します。システムは、最初に条件に一致したグループまたは catch-all グループ に配置されます。 • グループにソートされると、[グループの詳細] タブのソート順序に基づいて、そのグループのサブグループの 条件が考慮されます。 • これは、システムに一致する条件を持つサブグループがなくなり、条件に一致した最後のグループに配置され るまで繰り返されます。 7 そのような最上位レベルのグループが検出されなくなると、そのソートに基づいて最上位のグループ (ソート条件 のないグループ) のサブグループが考慮されます。 8 そのような第 2 レベルの条件に基づいたグループが検出されないと、第 2 レベルの制限のないグループの第 3 レベルの条件に基づいたグループが考慮されます。 条件が一致しないグループのサブグループは考慮されません。サブグループがシステムに考慮されるためには、グ ループは一致条件を持つか、そのサブグループに対する条件を持たない必要があります。 9 システムがグループにソートされるまで、このプロセスはシステム ツリー全体で繰り返されます。 サーバーのシステム ツリーのソートの設定が最初のエージェント/サーバー間通信時にのみソートを行うように設 定されていた場合、システムにフラグが設定されます。このフラグにより、サーバー設定が各エージェント/サー バー間通信時に有効になるように設定されるまで、システムはソートされなくなります。 10 サーバーがシステムをグループにソートできない場合、ドメインと同じ名前のサブグループ内にある未分類グル ープに配置されます。 システム ツリー グループを作成して追加する 個々のシステムの NetBIOS 名を入力するか、ネットワークからシステムを直接インポートして、システム ツリーに グループを作成して追加します。 システムを選択してシステム ツリーにドラッグしてもグループを追加できます。また、ドラッグアンドドロップはシ ステム ツリー内のグループおよびサブグループの移動にも使用できます。 システム ツリーの編成方法は 1 つではありません。ネットワークはそれぞれ異なるため、システム ツリーの編成も ネットワークのレイアウトに応じて異なります。その場合、これらの編成方法を個々に使用するのではなく、複数を 組み合せて使用することができます。 たとえば、ネットワークで Active Directory を使用している場合、NT ドメインではなく Active Directory コンテ ナーのインポートを検討します。Active Directory または NT ドメインの編成がセキュリティ管理には適さない場 合、テキスト ファイルでシステム ツリーの編成を作成し、システム ツリーにインポートすることができます。小規 模なネットワークの場合は、手動でシステム ツリーを作成し、各システムに手動で追加することも可能です。 110 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム ツリー グループを作成して追加する 9 タスク • 111 ページの「グループを手動で作成する」 [システム ツリー]のサブグループを手動で作成します。個々のシステムの NetBIOS 名を入力するか、 ネットワークからシステムを直接インポートして、作成したグループにシステムを追加することができ ます。 • 112 ページの「既存のグループにシステムを手動で追加する」 ネットワーク コンピューターからグループにシステムをインポートします。ネットワーク ドメインま たは Active Directory コンテナーをインポートすることもできます。 • 113 ページの「システム ツリーからシステムをエクスポートする」 システム ツリーからシステムのリストをエクスポートし、.txt ファイルに保存して後で使用することが できます。システム ツリーの組織を維持するには、グループまたはサブグループ レベルでエクスポート します。 • 113 ページの「テキスト ファイルからシステムをインポートする」 システムとグループのテキスト ファイルを作成してシステム ツリーにインポートします。 • 114 ページの「システムを条件別のグループにソートする」 システムをグループ化するソート機能を設定し、実装します。システムをグループにソートする場合、 サーバーおよびシステムでソートを有効にし、ソート条件とソート順序を設定する必要があります。 • 116 ページの「Active Directory コンテナーをインポートする」 Active Directory ソース コンテナーとシステム ツリー グループを関連付けて、Active Directory コン テナーからシステム ツリーに直接システムをインポートします。 • 118 ページの「既存のグループに NT ドメインをインポートする」 作成したグループに NT ドメインのシステムを手動でインポートします。 • 119 ページの「システム ツリーの同期スケジュールを設定する」 関連するドメインまたは Active Directory コンテナーでの変更に合わせて、システム ツリーを更新す るサーバー タスクのスケジュールを設定します。 • 120 ページの「NT ドメインを使用して同期済みグループを手動で更新する」 関連する NT ドメインの変更に従って同期済みグループを更新します。 グループを手動で作成する [システム ツリー]のサブグループを手動で作成します。個々のシステムの NetBIOS 名を入力するか、ネットワーク からシステムを直接インポートして、作成したグループにシステムを追加することができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいサブグループ] ダイアログ ボックスを開きます。 a [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。 b グループを選択します。 c [新しいサブグループ] をクリックします。 一度に複数のサブグループを作成できます。 2 名前を入力し、[OK] をクリックします。システム ツリー内に新しいグループが表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 111 9 システム ツリー システム ツリー グループを作成して追加する 3 システムにグループを追加するまで、必要に応じて繰り返します。次の方法でシステム ツリー グループにシステ ムを追加します。 • システム名を手動で入力する。 • NT ドメインまたは Active Directory コンテナーからシステムをインポートする。ドメインまたはコンテナ ーをグループと定期的に同期することで、メンテナンスが容易になります。 • グループに IP アドレスまたはタグに基づいたソート条件を設定する。エージェントは、一致する IP アドレ ス情報または一致するタグを使用してシステムをチェックインするので、システムは自動的に適切なグループ に配置されます。 既存のグループにシステムを手動で追加する ネットワーク コンピューターからグループにシステムをインポートします。ネットワーク ドメインまたは Active Directory コンテナーをインポートすることもできます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいシステム] ページを開きます。 a [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。 b [新しいシステム] をクリックします。 2 McAfee Agent を新しいシステムに配備するかを選択します。またシステムを選択したグループに追加するの か、ソート条件に一致したグループに追加するかを選択します。 3 [ターゲット システム] の横にあるテキスト ボックスに各システムの NetBIOS 名を入力します。その際にカン マ、スペースまたは改行で区切ります。または、[参照] をクリックしてシステムを選択することもできます。 4 [現在のグループにエージェントをプッシュしてシステムを追加] を選択すると、システム ツリーのソートを自動 的に行うことができます。これは、システムにソート条件を適用する場合に行います。 以下のオプションを指定します。 オプション アクション [エージェント バージョン] 配備するエージェントのバージョンを選択します。 [インストール パス] エージェントのインストール パスを設定するか、デフォルトのパスを使用し ます。 [エージェント インストールの 認証情報] エージェントをインストールするための有効な認証情報を入力します。 [試行回数] 整数を入力します。連続試行の場合は 0 を使用します。 [再試行の間隔] 再試行までの秒数を入力します。 [中止までの時間] 接続を切断するまでの時間を分単位で入力します。 [次のものでエージェントをプッ 特定のエージェント ハンドラーか、すべてのエージェント ハンドラーのいず シュ] れかを選択します。 5 112 [OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム ツリー グループを作成して追加する 9 システム ツリーからシステムをエクスポートする システム ツリーからシステムのリストをエクスポートし、.txt ファイルに保存して後で使用することができます。シ ステム ツリーの組織を維持するには、グループまたはサブグループ レベルでエクスポートします。 システム ツリーのシステム リストを作成すると、他の操作に利用できます。このリストを McAfee ePO サーバーに インポートすると、前の構造と組織をすぐに復元できます。 このタスクを実行しても、システム ツリーからシステムは削除されません。システム ツリー内のシステムの名前と構 造を含む .txt ファイルが作成されます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。[システム ツリー] ページが開きます。 2 エクスポートするシステムがあるグループまたはサブグループを選択し、[システム ツリー アクション] 、 [シス テムをエクスポート] の順にクリックします。[システムをエクスポート] ページが開きます。 3 エクスポートの対象を選択します。 4 • [このグループのすべてのシステム] - 指定したソース グループ内のシステムをエクスポートします。この レベルよりも下にあるサブグループのシステムはエクスポートされません。 • [このグループおよびサブグループのすべてのシステム] - このレベル以下にあるすべてのシステムをエクス ポートします。 [OK] をクリックします。 [エクスポート] ページが開きます。[システム] リンクをクリックすると、システム リストが表示されます。リン クを右クリックすると、ExportSystems.txt ファイルのコピーを保存できます。 テキスト ファイルからシステムをインポートする システムとグループのテキスト ファイルを作成してシステム ツリーにインポートします。 タスク • 113 ページの「グループとシステムのテキスト ファイルを作成する」 グループにインポートするネットワーク システムの NetBIOS 名のテキスト ファイルを作成します。 システムのフラット リストをインポートしたり、システムをグループに編成することもできます。 • 114 ページの「テキスト ファイルからシステムとグループをインポートする」 ユーザーが作成して保存したテキスト ファイルからシステムまたはシステムのグループをシステム ツ リーにインポートします。 グループとシステムのテキスト ファイルを作成する グループにインポートするネットワーク システムの NetBIOS 名のテキスト ファイルを作成します。システムのフ ラット リストをインポートしたり、システムをグループに編成することもできます。 テキスト ファイルにグループとシステムの名前を入力し、グループとそのシステムを定義します。その情報を ePolicy Orchestrator にインポートします。大規模なネットワークの場合、Microsoft Windows リソース キット の NETDOM.EXE ユーティリティなどのネットワーク ユーティリティを使用して、ネットワーク上のすべてのシス テムを含む完全なリストをテキスト ファイルで生成します。テキスト ファイルを生成したら、それを手動で編集し てシステムのグループを作成し、構造全体をシステム ツリーにインポートすることができます。 テキスト ファイルの生成方法を問わず、インポートする前に、正しい構文を使用した形式にする必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 113 9 システム ツリー システム ツリー グループを作成して追加する タスク 1 テキスト ファイルでは、システム名を行ごとに入力します。システムをグループに編成するには、グループ名に 続けて円記号 (\) を入力し、その下にグループに属するシステムを 1 行ずつに分けて入力します。 GroupA\system1 GroupA\system2 GroupA\GroupB\system3 GroupC\GroupD 2 グループ名とシステム名、テキスト ファイルの構文を確認し、サーバー上の一時ファイルにテキスト ファイルを 保存します。 テキスト ファイルからシステムとグループをインポートする ユーザーが作成して保存したテキスト ファイルからシステムまたはシステムのグループをシステム ツリーにインポ ートします。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいシステム] ページを開きます。 a [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。 b [新しいシステム] をクリックします。 2 [テキスト ファイルを使用して現在のグループにシステム インポートするが、エージェントはプッシュしない] を選択します。 3 インポート ファイルに以下を含めるかどうかを選択します。 • [システムとシステム ツリー構造] • [システムのみ (フラットリストとして)] 4 [参照] をクリックしてテキスト ファイルを選択します。 5 システム ツリーにすでに存在するシステムに対する処理を選択します。 6 [OK] をクリックします。 [システム ツリー]の選択したグループにシステムがインポートされます。テキスト ファイルでシステムがグループ に編成されている場合、サーバーによりグループが作成され、システムがインポートされます。 システムを条件別のグループにソートする システムをグループ化するソート機能を設定し、実装します。システムをグループにソートする場合、サーバーおよ びシステムでソートを有効にし、ソート条件とソート順序を設定する必要があります。 114 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム ツリー グループを作成して追加する 9 タスク • 115 ページの「グループにソート条件を追加する」 システム ツリー グループのソート条件には、IP アドレスに基づいたソート条件とタグに基づいたソー ト条件があります。 • 115 ページの「サーバーでシステム ツリーのソートを有効にする」 システムをソートする場合、サーバーとシステムの両方でシステム ツリーのソートが有効になっている 必要があります。 • 116 ページの「システムにシステム ツリーのソートを有効または無効にする」 システムのソート ステータスにより、条件に基づいたグループにソートされるかどうかが決定します。 • 116 ページの「システムを手動でソートする」 条件によるソートを有効にして、選択したシステムをグループ別にソートします。 グループにソート条件を追加する システム ツリー グループのソート条件には、IP アドレスに基づいたソート条件とタグに基づいたソート条件があり ます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [グループの詳細] の順にクリックし、システム ツリーでグル ープを選択します。 2 [ソート条件] の横にある [編集] をクリックします。選択したグループの [ソート条件] ページが表示されます。 3 [次の条件に一致するシステム] を選択すると、条件の選択肢が表示されます。 グループに対して複数のソート条件を設定することはできますが、条件に 1 つでも一致すればグループ配置されま す。 4 5 条件を設定します。オプションは次のとおりです。 • [IP アドレス] - このテキスト ボックスを使用して、IP アドレス範囲またはサブネット マスクをソート条件 として定義します。システムのアドレスがこの範囲に含まれる場合、そのシステムがグループにソートされま す。 • [タグ] - 親グループに関連するタグを持つシステムをグループにソートされるよう、特定のタグを追加しま す。 すべてのソート条件をグループに再設定するまで必要に応じて繰り返し、[保存] をクリックします。 サーバーでシステム ツリーのソートを有効にする システムをソートする場合、サーバーとシステムの両方でシステム ツリーのソートが有効になっている必要がありま す。 次のタスクで、最初のエージェント/サーバー間通信時にのみソートを行うように設定した場合、ソート可能なすべて のシステムが次のエージェント/サーバー間通信時にソートされると、このオプションが選択されている間は再びソー トされることはありません。ただし、[今すぐソート] アクションを実行するか、各エージェント/サーバー間通信で ソートするようにこの設定を変更し、手動で再度システムをソートすることもできます。 各エージェント/サーバー間通信時にソートを行うように設定した場合、このオプションが選択されている間は、ソー ト可能なすべてのシステムは各エージェント/サーバー間通信時にソートされます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 115 9 システム ツリー システム ツリー グループを作成して追加する タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] リストで [システム ツリーのソー ト] を選択し、[編集] をクリックします。 2 最初のエージェント/サーバー間通信時にのみシステムのソートを行うか、各エージェント/サーバー間通信時に 行うかを選択します。 システムにシステム ツリーのソートを有効または無効にする システムのソート ステータスにより、条件に基づいたグループにソートされるかどうかが決定します。 システムのテーブル (クエリ結果など) でシステムのソート方法を変更したり、スケジュールで実行されるクエリの 結果でソート方法を自動的に変更できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックして、必要なシステムを選択しま す。 2 [アクション] 、 [ディレクトリ管理] 、 [ソート ステータスを変更] の順にクリックし、選択したシステム上での システム ツリーのソートを有効にするか無効にするかを選択します。 3 [ソート ステータスを変更] ダイアログ ボックスで、選択したシステム上でのシステム ツリーのソートを有効に するか無効にするかを選択します。 システム ツリーのソートのサーバー設定に応じて、システムは次のエージェント/サーバー間通信時にソートされ ます。そのように設定していない場合、[今すぐソート] アクションを実行してソートを行う必要があります。 システムを手動でソートする 条件によるソートを有効にして、選択したシステムをグループ別にソートします。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システムを含むグループを選 択します。 2 システムを選択して、[アクション] 、 [ディレクトリ管理] 、 [今すぐソート] の順にクリックします。[今すぐ ソート] ダイアログ ボックスが表示されます。 ソート前にソート結果をプレビューする場合は、[ソート テスト] をクリックします。(ただし、[ソート テスト] ページ内からシステムを移動する場合、システム ツリーのソートが無効化されている場合も、選択したすべてのシ ステムがソートされます。) 3 [OK] をクリックして、システムをソートします。 Active Directory コンテナーをインポートする Active Directory ソース コンテナーとシステム ツリー グループを関連付けて、Active Directory コンテナーから システム ツリーに直接システムをインポートします。 Active Directery コンテナーとグループを関連付けると、次の操作を実行できます。 116 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム ツリー グループを作成して追加する 9 • システム ツリー構造を Active Directory 構造と同期することで、Active Directory のコンテナーが追加または 削除されるときに、システム ツリーの該当するグループも追加または削除される。 • Active Directory からシステムが削除されるときにシステム ツリーからも削除する。 • システム ツリーの他のグループにシステム エントリが存在する場合、重複するシステム エントリを作成しない。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [グループの詳細] の順にクリックし、Active Directory コン テナーに関連付けるシステム ツリー グループを選択します。 システム ツリーの未分類グループを同期することはできません。 2 [同期タイプ] の横にある [編集] をクリックします。選択したグループの [同期の設定] ページが表示されます。 3 [同期タイプ] の横にある [Active Directory] を選択します。Active Directory の同期オプションが表示されま す。 4 グループと Active Directory コンテナー (およびそのサブコンテナー) に適用する Active Directory の同期の 種類を選択します。 5 • [システムとコンテナー構造] - Active Directory 構造をグループに完全に反映する場合、このオプションを 選択します。同期時に、対応する Active Directory コンテナーの構造を反映するようにグループの下のシス テム ツリー構造が変更されます。Active Directory コンテナーが追加または削除されると、システム ツリー からも追加または削除されます。Active Directory からシステムが追加、移動または削除されると、システ ム ツリーからも追加、移動または削除されます。 • [システムのみ] - Active Directory コンテナー (および除外されていないサブコンテナー) から該当のグル ープにのみシステムを追加する場合、このオプションを選択します。Active Directory のミラーリング時に はサブグループは作成されません。 システム ツリーの別のグループにシステムが存在する場合、重複エントリを作成するかどうかを選択します。 セキュリティ管理として Active Directory の同期を使用している環境で、システムの関連付けを行った後でシス テム ツリーの管理機能を使用する場合には、このオプションを選択しないでください。 6 [Active Directory ドメイン] で、以下を実行できます。 • Active Directory ドメインの完全修飾ドメイン名を入力します。 • 登録済みの LDAP サーバーのリストから選択します。 7 [コンテナー] の横にある [追加] をクリックして、[Active Directory コンテナーを選択] ダイアログ ボックスか らソース コンテナーを選択し、[OK] をクリックします。 8 特定のサブコンテナーを除外するには、[除外] の横にある [追加] をクリックして、除外するサブコンテナーを選 択して、[OK] をクリックします。 9 新しいシステムに McAfee Agent を自動的に配備するかどうかを選択します。自動的に配備する場合、配備の設 定を行います。 大規模なコンテナーの場合は、最初のインポートで McAfee Agent を配備しないでください。3.62 MB の McAfee Agent パッケージを多数のシステムに一度に配備すると、ネットワーク トラフィックの問題が発生しま す。コンテナーをインポートしたら、McAfee Agent を一度に配備するのではなく、システムのグループ単位で配 備します。McAfee Agent の最初の配備が終わったら、このページに戻ってこのオプションを選択します。これに より、Active Directory に追加される新しいシステムに、McAfee Agent が自動的にインストールされます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 117 9 システム ツリー システム ツリー グループを作成して追加する 10 Active Directory ドメインからシステムが削除される場合にシステム ツリーからも削除するかどうかを選択し ます。オプションで、削除したシステムからエージェントを削除するかどうかを選択します。 11 Active Directory とグループをすぐに同期する場合は、[今すぐ同期を実行] をクリックします。 [今すぐ同期を実行] をクリックすると、同期の設定の変更が保存されてからグループが同期されます。Active Directory 同期通知ルールが有効になっている場合は、追加または削除されたシステムごとにイベントが生成さ れます (監査ログに表示されるこれらのイベントは、クエリに使用できます)。追加されたシステムにエージェン トを配備した場合、追加された各システムに対して配備が実行されます。同期が完了すると、[最終同期] の時間 が更新されます。これは、エージェント配備が完了した時間ではなく、同期が完了した日時を示します。 NT ドメインと Active Directory の同期サーバー タスクをスケジュールし、最初の同期を行うことができます。 このサーバー タスクは、帯域幅が大きな問題となる環境で、最初の同期時にエージェントを新しいシステムに配備 する場合に有効です。 12 同期が完了したら、システム ツリーで結果を確認します。 システムをインポートしたら、自動的に行う設定になっていない場合、エージェントをシステムに配備します。 Active Directory コンテナーの変更に対してシステム ツリーが常に最新の状態になるように、繰り返し実行する NT ドメイン/Active Directory の同期サーバー タスクを設定することも考慮してください。 既存のグループに NT ドメインをインポートする 作成したグループに NT ドメインのシステムを手動でインポートします。 NT ドメイン全体を特定のグループと同期することで、グループに自動的に追加することができます。これは、シス テム説明のないフラットリストとして、システム ツリーにネットワーク内のすべてのシステムを追加する際に容易な 方法です。 大規模なドメインの場合、サブグループを作成してポリシー管理や編成を簡素化できます。これを行うには、ドメイ ンをシステム ツリー グループにインポートしてから手動で論理サブグループを作成します。 複数のドメインで同一のポリシーを管理するには、各ドメインを同じグループの下のサブグループにインポートしま す。このサブグループは、上位レベルのグループに設定されたポリシーを継承します。 この方法を使用する場合は、以下を実行します。 • サブグループに対して IP アドレスまたはタグのソート条件を設定し、インポートしたシステムに自動的にソート する。 • NT ドメインと Active Directory の同期サーバー タスクをスケジュールし、管理を容易にする。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [グループの詳細] の順にクリックし、システム ツリーでグル ープを作成または選択します。 2 [同期タイプ] の横にある [編集] をクリックします。選択したグループの [同期の設定] ページが表示されます。 3 [同期タイプ] の横にある [NT ドメイン] を選択します。ドメインの同期設定が表示されます。 4 [システム ツリー内に存在するシステム] で、システム ツリーの別のグループに存在するシステムに実行する処 理を選択します。 [同期グループにシステムを追加して、現在のシステム ツリーにそのまま残す] の選択はお勧めしません。特に、 NT ドメインの同期をセキュリティ管理の開始ポイントとしてのみ使用する場合には、このオプションを選択しな いでください。 118 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム ツリー グループを作成して追加する 5 9 [ドメイン] の横にある [参照] をクリックし、このグループにマッピングする NT ドメインを選択して、[OK] を クリックします。または、テキスト ボックスに直接ドメイン名を入力します。 ドメイン名を入力する場合は、完全修飾ドメイン名は使用しないでください。 6 新しいシステムに McAfee Agent を自動的に配備するかどうかを選択します。自動的に配備する場合、配備の設 定を行います。 大規模なドメインの場合は、最初のインポートで McAfee Agent を配備しないでください。3.62 MB の McAfee Agent パッケージを多数のシステムに一度に配備すると、ネットワーク トラフィックの問題が発生します。ドメ インをインポートしたら、エージェントを一度に配備するのではなく、より小さなシステムのグループ単位で配備 します。McAfee Agent の配備が完了したら、このページに戻り、最初のエージェントの配備が完了してからこの オプションを選択します。これにより、ドメインの同期でグループまたはサブグループに追加された新しいシステ ムに McAfee Agent が自動的にインストールされます。 7 NT ドメインからシステムが削除された場合にシステム ツリーからも削除するかどうかを選択します。オプショ ンで、削除したシステムからエージェントを削除するかどうかを選択します。 8 今すぐグループをドメインと同期するには、[今すぐ同期を実行] をクリックし、ドメインのシステムがグループ に追加されるまで待ちます。 [今すぐ同期を実行] をクリックすると、同期設定の変更が保存されてからグループが同期されます。NT ドメイン 同期通知ルールが有効になっている場合は、追加または削除されたシステムごとにイベントが生成されます (監査 ログに表示されるこれらのイベントは、クエリに使用できます)。追加されたシステムにエージェントを配備する 場合、追加された各システムに対して配備が実行されます。同期が終了すると、[最終同期] の時間が更新されま す。これは、同期が終了した日時で、エージェントの配備が完了した日時ではありません。 9 グループとドメインを手動で同期する場合、[比較と更新] をクリックします。 [比較と更新] をクリックすると、同期の設定の変更が保存されます。 a このページでグループからシステムを削除する場合、システムの削除時にエージェントを削除するかどうかを 選択します。 b 必要に応じて、グループに追加またはグループから削除するシステムを選択し、[グループの更新] をクリック して、選択したシステムを追加します。[同期の設定] ページが表示されます。 10 [今すぐ同期を実行] または [グループの更新] をクリックした場合には、[保存] をクリックして、システム ツリ ーの結果を確認します。 システム ツリーにシステムが追加されたら、同期時にエージェントを配備するように設定していない場合は、システ ムにエージェントを配備します。 NT ドメインの新しいシステムに対して該当のグループが常に更新されるように、繰り返し実行する、NT ドメインお よび Active Directory の同期サーバー タスクの設定を考慮します。 システム ツリーの同期スケジュールを設定する 関連するドメインまたは Active Directory コンテナーでの変更に合わせて、システム ツリーを更新するサーバー タ スクのスケジュールを設定します。 グループの同期設定に応じて、このタスクでは以下を実行します。 • ネットワークの新しいシステムを特定のグループに追加する。 • Active Directory コンテナーが新規作成される場合、対応する新しいグループを追加する。 • Active Directory コンテナーが削除される場合、対応するグループを削除する。 • エージェントを新しいシステムに配備する。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 119 9 システム ツリー システム ツリー グループを作成して追加する • ドメインまたはコンテナーに存在しないシステムを削除する。 • サイトやグループのポリシーとタスクを新しいシステムに適用する。 • システム ツリーに存在するシステムを別の場所に移動した場合のシステム エントリの重複の許可、不許可を決定 する。 この方法ではすべてのオペレーティング システムにエージェントを配備できません。一部のシステムには、手動でエ ージェントを配備する場合があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [サーバー タスク ビルダー] を開きます。 a [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックします。 b [アクション] 、 [新規タスク] の順にクリックします。 2 [説明] ページで、タスク名を入力し、作成後に有効にするかどうかを選択して、[次へ] をクリックします。[ア クション] ページが表示されます。 3 ドロップダウン リストから [Active Directory の同期/NT ドメイン] を選択します。 4 すべてのグループを同期するのか、選択したグループを同期するのかを選択します。一部の同期グループのみを 同期する場合、[同期グループを選択] をクリックして、特定の同期グループを選択します。 5 [次へ] をクリックし、[スケジュール] ページを開きます。 6 タスクのスケジュールを設定し、[次へ] をクリックします。 7 タスクの詳細を確認し、[保存] をクリックします。 スケジュールを設定してタスクを実行する以外にも、[サーバー タスク] ページのタスクの横にある [実行] をクリ ックしてタスクをすぐに実行することもできます。 NT ドメインを使用して同期済みグループを手動で更新する 関連する NT ドメインの変更に従って同期済みグループを更新します。 次のような変更が発生した場合に更新します。 • 現在ドメイン内に存在しているシステムを追加する。 • ドメインに存在しないシステムをシステム ツリーから削除する。 • すでに特定のドメインに属していないすべてのシステムから、エージェントを削除する。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 120 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [グループの詳細] の順にクリックし、NT ドメインにマッピ ングするグループを選択します。 2 [同期タイプ] の横にある [編集] をクリックします。[同期化の設定] ページが表示されます。 3 [NT ドメイン] を選択して、ページの下部近くにある [比較と更新] をクリックします。[手動で比較して更新] ペ ージが表示されます。 4 グループからシステムを削除する場合、削除されたシステムからエージェントを削除するかどうかを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 9 システム ツリー システム ツリー内でシステムを移動する 5 ネットワーク ドメインから選択したグループにシステムをインポートする場合は、[すべてを追加] または [追 加] をクリックします。 選択したグループからシステムを削除する場合は、[すべて削除] または [削除] をクリックします。 6 終了したら [グループの更新] をクリックします。 システム ツリー内でシステムを移動する システム ツリー内のグループ間でシステムを移動します。クエリ結果など、システムのテーブルが表示されているペ ージからであれば、システムを移動できます。 以下の手順に加えて、システム テーブルからシステム ツリーの任意のグループにシステムをドラッグ アンド ドロッ プすることもできます。 実際のネットワーク状態を反映してシステム ツリーを完全に編成し、自動タスクを使用して定期的にシステム ツリ ーを同期化しても、サイトやグループ間でシステムを手動で移動しなければならない場合があります。たとえば、未 分類グループから定期的にシステムを移動する必要がある場合もあります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システムに移動して選択しま す。 2 [アクション] 、 [ディレクトリ管理] 、 [システムを移動] の順にクリックします。[新規グループを選択] ページ が表示されます。 3 選択したシステムに対してシステム ツリーのソートを移動時に有効にするか無効にするかを選択します。 4 システムを配置するグループを選択し、[OK] をクリックします。 システム転送の機能 [システムを転送] コマンドを使用すると、登録済みの McAfee ePO サーバー間で管理対象システムを移動できます。 サーバー ハードウェアとオペレーティング システムをアップグレードする場合や、サーバー ハードウェアと McAfee ePO のバージョンをアップグレードする場合、管理対象システムの転送が必要になることがあります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 121 9 システム ツリー システム転送の機能 以下の図は、McAfee ePO サーバー間でシステムを転送する場合の主なプロセスを表しています。 図 9-1 システムの転送プロセス McAfee ePO サーバー間で管理対象システムを転送する場合、前の図にあるように、6 つのプロセスを実行する必要 があります。 1 エージェント/サーバー間セキュア通信 (ASSC) キーをエクスポートする - 古い McAfee ePO サーバーで、 [メニュー] 、 [サーバー設定] 、 [セキュリティ キー] の順に移動します。 2 ASSC キーをインポートする - 新しい McAfee ePO サーバーで、[メニュー] 、 [サーバー設定] 、 [セキュリ ティ キー] の順に移動します。 3 2 つ目の McAfee ePO サーバーを登録する - 古い McAfee ePO サーバーで、[メニュー] 、 [設定] 、 [登録 済みサーバー] の順に移動します。 4 システムを 2 つ目の McAfee ePO サーバーに移動する - 古い McAfee ePO サーバーで、[メニュー] 、 [シ ステム ツリー] 、 [システム] の順に選択し、[アクション] 、 [エージェント] 、 [システムを転送] の順に移動 します。 5 移動先でシステムを確認する - 新しい McAfee ePO サーバーで、[メニュー] 、 [システム ツリー] 、 [システ ム] の順に移動します。 6 移動元でシステムを確認する - 古い McAfee ePO サーバーで、[メニュー] 、 [システム ツリー] 、 [システ ム] の順に移動します。 関連トピック: 89 ページの「McAfee ePO サーバー間で ASSC キーのエクスポート/インポートを行う」 83 ページの「McAfee ePO サーバーを登録する」 123 ページの「McAfee ePO サーバー間でシステムを転送する」 122 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド システム ツリー システム転送の機能 9 McAfee ePO サーバー間でシステムを転送する [システムを転送] を使用すると、登録済みの McAfee ePO サーバー間で管理対象システムを移動できます。 開始する前に 2 つの McAfee ePO サーバー間 (たとえば、古い McAfee ePO サーバーと新しいサーバーの間) で管理 対象システムを移動するには、両方の McAfee ePO の設定で次の変更を行う必要があります。 次の手順は双方向転送に対応しています。一方向の転送のみを有効にする場合は、新しい McAfee ePO サーバーから古い McAfee ePO サーバーにエージェント/サーバー間通信 (ACCS) キーをインポート する必要はありません。 • • 2 つの McAfee ePO サーバー間でエージェント/サーバー間セキュア通信キーを交換します。 1 両方のサーバーから ASSC キーをエクスポートします。 2 古いサーバーから新しいサーバーに ASSC キーをインポートします。 3 新しいサーバーから古いサーバーに ASSC キーをインポートします。 システムの移動を可能にするため、古い McAfee ePO サーバーと新しいサーバーを登録します。 [システムを転送] を有効にし、[登録済みのサーバー ビルダー] ページの [詳細] で [Sitelist の自動 インポート] を選択してください。 ここでは、古い McAfee ePO サーバーから新しいサーバーにシステムを転送する手順について説明します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 古い McAfee ePO サーバーで、[メニュー] 、 [システム] 、 [システム ツリー] の順にクリックし、転送するシ ステムを選択します。 2 [アクション] 、 [エージェント] 、 [システムを転送] の順にクリックします。 3 [システムを転送] ダイアログ ボックスで、ドロップダウン メニューから新しい McAfee ePO サーバーを選択し て [OK] をクリックします。 転送する管理対象システムを選択してから、対象のサーバーのシステム ツリーにシステムが表示されるまで、2 回 のエージェント/サーバー間通信間隔が必要です。2 回のエージェント/サーバー間通信間隔が完了するまでの時間 は、設定によって異なります。デフォルトのエージェント/サーバー間通信の間隔は 1 時間です。 関連トピック: 121 ページの「システム転送の機能」 89 ページの「McAfee ePO サーバー間で ASSC キーのエクスポート/インポートを行う」 83 ページの「McAfee ePO サーバーを登録する」 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 123 9 システム ツリー システム転送の機能 124 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 10 タグ タグを使用して、システムの識別とソートを行います。タグとタグ グループを使用すると、システムのグループを選 択して、タスクとクエリを簡単に作成できます。 目次 新しいタグ ビルダーでタグを作成する タグを管理する タグ サブグループの作成、削除、変更を行う タグの自動適用からシステムを除外する 選択したシステムにタグを適用する システムからタグを消去する 条件に一致するすべてのシステムにタグを適用する 条件に基づいたタグの適用スケジュールを設定する 新しいタグ ビルダーでタグを作成する 新しいタグ ビルダーを使用すると、タグを簡単に作成できます。 タグは、システムごとに設定された次の条件を使用します。 • エージェント/サーバー間通信時に自動で実行。 • [タグ条件の実行] アクションの実行時に実行。 • 条件に関係なく、[タグを適用] アクションを使用して、選択したシステム上で手動で実行。 条件のないタグは、手動でのみ選択したシステムに適用することができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいタグ ビルダー] を開きます。[メニュー] 、 [システム] 、 [タグ カタログ] 、 [新しいタグ] の順にクリ ックします。 2 [説明] ページで、名前と説明を入力し、[次へ] をクリックします。[条件] ページが表示されます。 3 条件を選択および設定し、[次へ] をクリックします。[評価] ページが表示されます。 タグを自動で適用するには、タグの条件を設定する必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 125 10 タグ タグを管理する 4 タグの条件によるシステムの評価を、[タグ条件の実行] アクションの実行時にのみ行うのか、各エージェント/サ ーバー間通信時に行うのかを選択し、[次へ] をクリックします。[プレビュー] ページが表示されます。 条件が設定されていない場合、これらのオプションは使用できません。システムがタグの条件で評価されると、条 件が一致していてタグから除外されていないシステムにタグが適用されます。 5 表示された情報を確認し、[保存] をクリックします。 タグに条件がある場合、ページには条件による評価時にタグが適用されるシステムの数が表示されます。 [タグ カタログ] ページの [タグ ツリー] で選択したタグ グループにタグが追加されます。 タグを管理する 新しいタグ ビルダーでタグを作成したら、[アクション] リストを使用して、タグの編集、削除、タグ グループ間で の移動を行うことができます。 1 つまたは複数のタグを編集、削除、エクスポートまたは移動するには、次の手順に従います。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックします。 2 [タグ] リストで 1 つまたは複数のタグを選択して [アクション] をクリックし、以下のいずれかのアクションを リストから選択します。 アクション 手順 [タグを編集 する] [タグ ビルダーの編集] で次の操作を行います。 1 [説明] ページで、名前と説明を入力し、[次へ] をクリックします。[条件] ページが表示され ます。 2 条件を選択および設定し、[次へ] をクリックします。[評価] ページが表示されます。 タグを自動で適用するには、タグの条件を設定する必要があります。 3 タグの条件によるシステムの評価を、[タグ条件の実行] アクションの実行時にのみ行うのか、 各エージェント/サーバー間通信時に行うのかを選択し、[次へ] をクリックします。[プレビュ ー] ページが表示されます。 条件が設定されていない場合、これらのオプションは使用できません。システムがタグの条件 で評価されると、条件が一致していてタグから除外されていないシステムにタグが適用されま す。 4 表示された情報を確認し、[保存] をクリックします。 タグに条件がある場合、ページには条件による評価時にタグが適用されるシステムの数が表示 されます。 [タグ カタログ] ページの [タグ ツリー] で、選択したタグ グループのタグが更新されます。 [タグを削除 する] 126 [削除] をクリックすると、確認のダイアログ ボックスが表示されます。[OK] をクリックして、 タグを削除します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド タグ タグ サブグループの作成、削除、変更を行う 10 アクション 手順 [タグをエク スポートす る] [テーブルをエクスポート] をクリックすると、[データのエクスポート] ページが開きます。 [タグを移動 する] [タグの移動] ダイアログ ボックスで次の操作を行います。 1 タグを表示するタグ グループを選択します。 2 [OK] をクリックして、タグを移動します。 タグをドラッグして、[タグ ツリー] のタグ グループにドロップすることもできます。 タグ サブグループの作成、削除、変更を行う タグ サブグループを使用すると、最大 4 レベルまでタグ グループをネストできます。1 つの親グループには 1,000 個までのタグ サブグループを入れることができます。タグ グループを使用して条件によるソートを行うと、適切な グループにシステムを自動的に追加できます。 次の手順に従って、タグ サブグループの作成、削除、変更を行います。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックします。 2 [タグ カタログ] ページで、次のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 127 10 タグ タグの自動適用からシステムを除外する アクショ ン 手順 タグ サブ グループ を作成す る 1 階層的な [タグ ツリー] リストで、新しいタグ サブグループを作成するタグ グループ (または親 タグ グループ) を選択します。 デフォルトの最上位グループとして、[マイタグ] が ePolicy Orchestrator のインストール時に追 加されます。 2 [新しいサブグループ] をクリックして、[新しいサブグループ] ダイアログ ボックスを表示しま す。 3 [名前] フィールドに、新しいタグ サブグループの名前を入力します。 4 完了したら、[OK] をクリックします。新しいタグ サブグループが作成されます。 タグ サブ グループ の名前を 変更する 1 階層的な [タグ ツリー] リストで、名前を変更するタグ サブグループを選択します。 2 [タグ ツリー アクション] 、 [グループ名の変更] の順にクリックし、[サブグループ名の変更] ダイアログ ボックスを表示します。 3 [名前] フィールドに、新しいタグ サブグループの新しい名前を入力します。 4 完了したら、[OK] をクリックします。タグ サブグループの名前が変更されます。 タグ サブ グループ を削除す る 1 階層的な [タグ ツリー] リストで、削除するタグ サブグループを選択します。 2 [アクション] 、 [削除] の順にクリックします。[アクション: 削除] 確認ダイアログ ボックスが 表示されます。 3 タグ グループを削除するには、[OK] をクリックします。タグ サブグループが削除されます。 タグの自動適用からシステムを除外する システムを特定のタグの適用対象から除外します。 また、クエリを使用してシステムを収集し、クエリ結果を使用してシステムからタグを除外することもできます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでシステムの あるグループを選択します。 2 [システム] テーブルの 1 つ以上のシステムを選択し、[アクション] 、 [タグ] 、 [タグを除外] の順にクリック します。 3 [タグを除外] ダイアログ ボックスでタグ グループを選択し、除外するタグを選択して [OK] をクリックします。 リストに特定のタグのみを表示するには、[タグ] の下にあるテキスト ボックスにタグの名前を入力します。 128 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド タグ 選択したシステムにタグを適用する 4 10 システムがタグから除外されていることを確認します。 a [タグの詳細] ページが開きます。[メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックして、タグの リストからタグまたはタグ グループを選択します。 b [タグ付きシステム] の横にあるリンクをクリックすると、条件に基づいたタグの適用から除外されるシステム の数が表示されます。[タグから除外されたシステム] ページが表示されます。 c システムがリストに表示されていることを確認します。 選択したシステムにタグを適用する システム ツリーでシステムを選択して、タグを手動で適用します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、対象のシステムを含むグルー プを選択します。 2 システムを選択し、[アクション] 、 [タグ] 、 [タグを適用] の順にクリックします。 3 [タグを適用] ダイアログ ボックスでタグ グループを選択し、適用するタグを選択して [OK] をクリックします。 リストに特定のタグのみを表示するには、[タグ] の下にあるテキスト ボックスにタグの名前を入力します。 4 タグが適用されていることを確認します。 a [メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックし、タグ リストからタグまたたタグ グループ を選択します。 b 詳細情報ペインに表示されている [タグ付きシステム] の横にあるリンクをクリックすると、手動でタグが適 用されているシステムの数が表示されます。[手動でタグを設定したシステム] ページが表示されます。 c システムがリストに表示されていることを確認します。 システムからタグを消去する 選択したシステムからタグを削除します。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、対象のシステムを含むグルー プを選択します。 2 システムを選択し、[アクション] 、 [タグ] 、 [タグを消去] の順にクリックします。 3 [タグを消去] ダイアログ ボックスで、次のいずれかの操作を実行して [OK] をクリックします。 • 選択したタグを削除する - タグ グループを選択して、タグを選択します。 リストに特定のタグのみを表示するには、[タグ] の下にあるテキスト ボックスにタグの名前を入力します。 • すべてのタグを削除する - [すべて消去] を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 129 10 タグ 条件に一致するすべてのシステムにタグを適用する 4 タグが適用されていることを確認します。 a [メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックし、タグ リストからタグまたはタグ グループ を選択します。 b 詳細情報ペインに表示されている [タグ付きシステム] の横にあるリンクをクリックすると、手動でタグが適 用されているシステムの数が表示されます。[手動でタグを設定したシステム] ページが表示されます。 c システムがリストに表示されていることを確認します。 条件に一致するすべてのシステムにタグを適用する 指定した条件に一致し、対象外でないシステムにタグを適用します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックし、[タグ] リストからタグまたはタグ グループを 選択します。 2 [アクション] 、 [タグ基準の実行] の順にクリックします。 3 [アクション] ペインで、タグが適用されたシステムと除外されたシステムを手動でリセットするかどうかを選択 します。 タグ付きのシステムと除外されたシステムをリセットすると、条件に一致しないシステムからタグが削除され、条 件に一致するシステムにタグが適用されます。ただし、タグの適用から除外されたシステムは処理の対象外になり ます。 4 [OK] をクリックします。 5 システムにタグが適用されていることを確認します。 a [メニュー] 、 [システム] 、 [タグ カタログ] の順にクリックし、タグ リストからタグまたたタグ グループ を選択します。 b 詳細情報ペインに表示されている [タグを持つシステム] の横にあるリンクをクリックすると、条件に基づい てタグが適用されているシステムの数が表示されます。[条件によりタグを設定したシステム] ページが表示 されます。 c システムがリストに表示されていることを確認します。 条件に一致するすべてのシステムにタグが適用されます。 条件に基づいたタグの適用スケジュールを設定する 条件に一致したすべてのシステムにタグを適用するタスクにスケジュールを設定します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 130 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。[サーバー タスク ビルダー] ページが表示されます。 2 [説明] ページで、タスクの名前と説明を入力し、作成後にタスクを有効にするかどうかを選択して、[次へ] をク リックします。[アクション] ページが表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド タグ 条件に基づいたタグの適用スケジュールを設定する 10 3 ドロップダウン リストから [タグ基準の実行] を選択し、[タグ] ドロップダウン リストからタグを選択します。 4 タグが適用されたシステムと除外されたシステムを手動でリセットするかどうかを選択します。 タグ付きのシステムと除外されたシステムをリセットすると、条件に一致しないシステムからタグが削除され、条 件に一致するシステムにタグが適用されます。ただし、タグの適用から除外されたシステムは処理の対象外になり ます。 5 [次へ] をクリックし、[スケジュール] ページを開きます。 6 このタスクのスケジュールを指定し、[次へ] をクリックします。 7 タスクの設定を確認し、[保存] をクリックします。 [サーバー タスク] ページのリストにサーバー タスクが追加されます。[サーバー タスク ビルダー] ウィザードでタ スクを有効にしてある場合、次のスケジュールされた時間にタスクが実行されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 131 10 タグ 条件に基づいたタグの適用スケジュールを設定する 132 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 11 エージェント/サーバー間通信 クライアント システムは、McAfee Agent を介して McAfee ePO サーバーと通信を行います。エージェントの監視 と管理は ePolicy Orchestrator コンソールから行います。 目次 McAfee ePO サーバーからのエージェントの使用 エージェント/サーバー間通信の管理 McAfee ePO サーバーからのエージェントの使用 McAfee ePO インターフェースには、エージェント タスクやポリシーを設定したり、システム プロパティ、エージ ェント プロパティ、他の McAfee 製品の情報を表示できるページがあります。 目次 エージェント/サーバー間通信の機能 SuperAgent とその機能 エージェント リレー機能 ポリシー イベントに応答する クライアント タスクをすぐに実行する アクティブでないエージェントの検索 エージェントで報告される Windows システムと製品プロパティ McAfee Agent 提供のクエリ エージェント/サーバー間通信の機能 すべての設定を最新の状態にしたり、イベントの送信などを行うため、McAfee Agent は McAfee ePO サーバーと 定期的に通信を行う必要があります。 この通信はエージェント/サーバー間通信といいます。McAfee Agent は、各エージェント/サーバー間通信で最新の システム プロパティと未送信のイベントを収集し、サーバーに送信します。サーバーは、新規または変更されたポリ シーとタスクを McAfee Agent に送信します。最後のエージェント/サーバー間通信以降にリポジトリ リストが変 更されている場合には、リポジトリ リストを送信します。McAfee Agent は、管理するシステムに新しいポリシー を施行し、タスクまたはリポジトリの変更を適用します。 McAfee ePO サーバーは、業界標準の TLS ネットワーク プロトコルを使用し、安全なネットワーク転送を行いま す。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 133 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 McAfee Agent は、最初にインストールされてから 6 秒以内にランダムな間隔でサーバーと通信します。その後、 McAfee Agent は以下のいずれかの場合に通信を行います。 • エージェント/サーバー間通信間隔 (ASCI) が経過した場合。 • McAfee Agent ウェークアップ コールが McAfee ePO サーバーまたはエージェント ハンドラーから送信され た場合。 • クライアント システムでウェークアップのスケジュール タスクが実行された場合 • 管理対象システムから手動で通信が開始された場合 • McAfee Agent ウェークアップ コールが McAfee ePO サーバーから送信された場合。 エージェント/サーバー間通信の間隔 エージェント/サーバー間通信間隔 (ASCI) は、McAfee Agent が McAfee ePO サーバーに接続する間隔を表しま す。 エージェント/サーバー間通信間隔は、[McAfee Agent ポリシー] ページの [全般] タブで設定します。デフォルト の設定は 60 分で、エージェントが 1 時間ごとに McAfee ePO サーバーに接続します。間隔を変更する場合には、 ASCI でエージェントが実行する以下のアクションを考慮してください。 • プロパティの収集と送信 • 最後のエージェント/サーバー通信以降に発生し、優先度が設定されていないイベントを送信します。 • ポリシーの施行 • 新しいポリシーとタスクを受信します。このアクションを実行すると、リソースを消費する他のアクションが実 行される場合があります。 それぞれのコンピューターでは、これらの処理が大きな負荷になることはありませんが、ネットワーク、McAfee ePO サーバー、エージェント ハンドラーに対しては過剰な負荷がかかる場合があります。 • 多くのシステムを ePolicy Orchestrator で管理する方法 • 組織に厳格な脅威応答要件がある場合 • サーバーまたはエージェント ハンドラーに関連するクライアントのネットワークまたは物理的な場所が広範囲に 分散している場合 • 十分な帯域幅が使用できない場合 通常、このような要因が環境に存在する場合、エージェント/サーバー間通信の間隔を長くします。個々のクライアン トが重要な機能を持っている場合には、必要に応じて間隔を短くします。 エージェント/サーバー間通信の割り込み処理 割り込み処理は、McAfee ePO サーバーとシステムの接続を妨げている問題を解決します。 通信割り込みは様々な理由で発生します。エージェント/サーバー間通信のアルゴリズムは、最初の試行に失敗すると 通信を再試行します。 McAfee Agent は、応答が戻されるまで以下の接続方法を最大 6 回まで試行します。 134 1 IP アドレス 2 完全修飾ドメイン名 3 NetBIOS McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 11 エージェントは、上記の順番でこの 3 つの接続方法を最大 6 回まで繰り返します。合計で 18 回の接続試行を行い ます。接続試行間の遅延はありません。接続試行で次の結果が発生すると、エージェントはこのサイクルを停止しま す。 • エラーなし • ダウンロード失敗 • アップロード失敗 • エージェントがシャットダウン中 • 転送中断 • サーバーの過負荷状態 (McAfee ePO サーバーからのステータス コード) • アップロード成功 (McAfee ePO サーバーからのステータス コード) • エージェントが新しいキーを必要とする • 受信するパッケージがない (McAfee ePO サーバーからのステータス コード) • エージェントによる GUID の再生成が必要 (McAfee ePO サーバーからのステータス コード) 接続拒否や接続失敗、接続タイムアウトや他のエラーが発生すると、エージェントは次の ASCI が近づくまでリスト 内の接続方法を使用してすぐに再試行します。 ウェークアップ コールとタスク McAfee Agent ウェークアップ コールは、現在のエージェント/サーバー間通信間隔 (ASCI) の終了を待たず、エー ジェント/サーバー間通信をすぐに開始します。 エージェント ウェークアップ クライアント タスクは、Windows プラットフォームでのみ実行できます。Unix 系と Macintosh OS プラットフォームの場合には、システム ツリー アクションを使用してエージェントにウェークアッ プ コールを送信してください。 ウェークアップ コールの送信には次の 2 つの方法があります。 • サーバーから手動 - 最も一般的な方法です。エージェント ウェークアップ通信ポートが開いている必要があり ます。 • 管理者が設定したスケジュールで - ポリシーによりエージェント/サーバー間通信の手動開始が禁止されている 場合に便利な方法です。管理者はウェークアップ タスクを作成して配備することができます。これにより、エー ジェントにウェークアップ コールを送信し、エージェント/サーバー間通信を開始できます。 以下に、エージェント ウェークアップ コールを送信する必要がある場合を示します。 • 変更したポリシーを次の ASCI を待たずにすぐに施行する場合。 • エージェントをすぐに実行する必要があるタスクを作成した場合。[今すぐタスクを実行] でタスクを作成して、 指定したクライアント システムにタスクを割り当て、ウェークアップ コールを送信します。 • クエリによってクライアントが非対応と報告するレポートが生成され、トラブルシューティングの一部としてエ ージェントの状態をテストする場合。 Windows システム上の特定のエージェントを SuperAgent に変換している場合、指定したネットワーク ブロード キャスト セグメントにウェークアップ コールを送信できます。SuperAgent はエージェント ウェークアップ コー ルの帯域幅に対する影響を分散させます。 個々のシステムにウェークアップ コールを手動で送信する システム ツリー内のシステムにエージェント ウェークアップ コールまたは SuperAgent ウェークアップ コール を手動で送信すると、次のエージェント/サーバー間通信を待たずに、ポリシーの変更をエージェントに通知すること ができます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 135 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックし、対象システムを含むグループを選択します。 2 リストからシステムを選択し、[アクション] 、 [エージェント] 、 [エージェント ウェークアップ] の順にクリッ クします。 3 [ターゲット システム] セクションに選択したシステムが表示されていることを確認します。 4 [ウェークアップ コール タイプ] で、送信対象として [エージェント ウェークアップ コール] または [SuperAgent ウェークアップ コール] を選択します。 5 [ランダムな間隔] のデフォルト値 (0 分) を使用するか、別の値 (0 ~ 60 分) を入力します。ウェークアップ コ ールをすぐに送信する場合には、ウェークアップ コールを受信するシステムの数と利用可能な帯域幅を考慮して ください。0 を入力すると、すべてのエージェントがただちに応答します。 6 このウェークアップ コールで製品プロパティの差分を送信するには、[完全な製品プロパティを取得...] の選択を 解除します。デフォルトでは、完全な製品プロパティが送信されます。 7 このウェークアップ コールですべてのポリシーとタスクを更新するには、[ポリシーとタスクの完全な更新を強制 的に実行] を選択します。 8 デフォルトの値を使用しない場合には、[試行回数]、[再施行間隔]、[中止条件] にこのウェークアップ コールの 設定を入力します。 9 エージェントのウェークアップにすべてのエージェント ハンドラーを使用するのか、最後に接続したエージェン ト ハンドラーを使用するのかを選択します。 10 [OK] をクリックします。エージェント ウェークアップ コールまたは SuperAgent ウェークアップ コールが送 信されます。 グループにウェークアップ コールを手動で送信する 1 つのタスクでシステム ツリー全体にエージェント ウェークアップ コールまたは SuperAgent ウェークアップ コ ールを送信できます。このタスクは、次のエージェント/サーバー間通信を待たずにポリシーの変更をエージェントに 通知する場合に便利です。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 136 1 [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。 2 [システム ツリー] から対象グループを選択し、[グループの詳細] タブをクリックします。 3 [アクション] 、 [エージェント ウェークアップ] の順にクリックします。 4 選択したグループが [ターゲット グループ] の横に表示されているかどうかを確認します。 5 エージェント ウェークアップ コールをグループ内のすべてのシステムに送信するのか、グループとサブグループ 内のすべてのシステムに送信するのかを選択します。 6 [タイプ] の横で、[エージェント ウェークアップ コール] または [SuperAgent ウェークアップ コール] を選択 します。 7 [ランダムな間隔] のデフォルト値 (0 分) を使用するか、別の値 (0 ~ 60 分) を入力します。0 を入力すると、 すべてのエージェントがただちに起動します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 11 8 このウェークアップ コールで製品の最小プロパティを送信するには、[完全な製品プロパティを取得する...] の選 択を解除します。デフォルトでは、完全な製品プロパティが送信されます。 9 このウェークアップ コールですべてのポリシーとタスクを更新するには、[ポリシーとタスクの完全な更新を強制 的に実行] を選択します。 10 [OK] をクリックします。エージェント ウェークアップ コールまたは SuperAgent ウェークアップ コールが送 信されます。 SuperAgent とその機能 SuperAgent は、McAfee ePO サーバーと同じネットワーク ブロードキャスト セグメント内の他のエージェントと の仲介者として機能するエージェントです。SuperAgent に変換できるのは Windows エージェントだけです。 SuperAgent は McAfee ePO サーバー、マスター リポジトリまたはミラーリングされた分散リポジトリから受信し た情報をキャッシュに格納し、その情報を同じネットワーク サブネット内のエージェントに配布します。Lazy Caching 機能を使用すると、ローカル エージェント ノードから要求があった場合にのみ、SuperAgent が McAfee ePO サーバーからデータを取得します。SuperAgent の階層を作成して LazyCaching を有効にすると、帯域幅を 節約し、WAN トラフィックを最小限に抑えることができます。 SuperAgent は、同じネットワーク サブネット内の他のエージェントにウェークアップ コールをブロードキャスト します。SuperAgent は、McAfee ePO サーバーからウェークアップ コールを受信し、サブネット内のエージェン トにウェークアップ コールを送信します。 この処理は、ネットワーク内の各エージェントに通常のエージェント ウェークアップ コールを送信したり、各コンピ ューターにエージェント ウェークアップ タスクを送信する代わりに実行します。 SuperAgent とブロードキャスト ウェークアップ コール エージェント ウェークアップ コールでエージェント/サーバー間通信を開始します。ネットワークのブロードキャ スト セグメントのエージェントを SuperAgent にすることもできます。 SuperAgent は、同時に発生するウェークアップ コールの帯域幅負荷を分散させます。サーバーから各エージェン トにエージェント ウェークアップ コールを送信するのではなく、選択したシステム ツリー セグメントの SuperAgent にサーバーがウェークアップ コールを送信します。 プロセスは以下のとおりです。 1 サーバーがすべての SuperAgent にウェークアップ コールを送信します。 2 SuperAgent が同一のブロードキャスト セグメント上のすべてのエージェントにブロードキャスト ウェークア ップ コールを送信します。 3 通知されたすべてのエージェント (SuperAgent から通知を受信した通常のエージェントと SuperAgent) が McAfee ePO サーバーまたはエージェント ハンドラーとデータを交換します。 SuperAgent ウェークアップ コールを送信したときに、ブロードキャスト セグメントで SuperAgent が動作して いないエージェントにはサーバーとの通信が要求されません。 SuperAgent 配備のヒント 多数の SuperAgent を適切な場所に配備するには、まず、環境内のブロードキャスト セグメントの数を調べて、 SuperAgent をホストする各セグメントのシステム (サーバー) を選択する必要があります。SuperAgent を使用 する場合には、すべてのエージェントに SuperAgent が割り当てられているかどうか確認してください。 エージェントと SuperAgent ウェークアップ コールには、同じセキュア チャネルが使用されます。クライアントの ファイアウォールで以下のポートがブロックされないようにしてください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 137 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 • エージェント ウェークアップ通信ポート (デフォルトは 8081) • エージェント ブロードキャスト通信ポート (デフォルトは 8082) エージェントを SuperAgent に変換する グローバル アップデート プロセスで、SuperAgent が McAfee ePO サーバーから更新を受信すると、ネットワー ク内のすべてのエージェントにウェークアップ コールを送信します。エージェントを SuperAgent に変換するに は、SuperAgent ポリシーの設定を変更します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。選択したグループ内のすべてのシステムが詳細情報ペインに表示されます。 2 システムを選択し、[アクション] 、 [エージェント] 、 [単一システムのポリシーを変更] の順にクリックしま す。選択したシステムの [ポリシー割り当て] ページが表示されます。 3 [製品] ドロップダウン メニューから [McAfee Agent] を選択します。システムに割り当てられたポリシーと一 緒に、[McAfee Agent] のポリシー カテゴリが表示されます。 4 ポリシーが継承されたら、[継承を無効にし、以下のポリシーと設定を割り当てます。] を選択します。 5 [割り当て済みのポリシー] ドロップダウン リストから、全般ポリシーを選択します。 この場所から、選択したポリシーを編集したり、新しいポリシーを作成できます。 6 ポリシー継承をロックするかどうか選択します。ロックした場合、このポリシーを継承するシステムに別のポリ シーを割り当てることはできません。 7 [SuperAgent] タブで [エージェントを SuperAgent に変換する] を選択し、ウェークアップ コールのブロード キャストを有効にします。 8 [保存] をクリックします。 9 エージェント ウェークアップ コールを送信します。 SuperAgent のキャッシュと通信割り込み SuperAgent は、WAN の使用量を最小限に抑えるため、リポジトリのコンテンツをキャッシュに格納します。 エージェントを SuperAgent に変換すると、このエージェントは McAfee ePO サーバー、分散リポジトリ、他の SuperAgent から受信したコンテンツをキャッシュに格納し、同じサブネット内の他のエージェントに配布します。 これにより、使用される WAN 帯域幅が減少します。この機能を有効にするには、ポリシー オプション ページで [McAfee Agent] 、 [SuperAgent] の順に選択し、[LazyCaching] を有効にします (このページを表示するには、 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択します)。 SuperAgent は、McAfee HTTP または FTP リポジトリから受信したコンテンツをキャッシュに格納できません。 キャッシュの機能 クライアント システムが初めてコンテンツを要求すると、このシステムに割り当てられた SuperAgent が要求され たコンテンツをキャッシュに格納します。要求されたパッケージの新しいバージョンがマスター リポジトリで利用 可能になると、キャッシュが更新されます。SuperAgent の階層構造を作成すると、子の SuperAgent が親のキャ ッシュからコンテンツの更新を受信します。 138 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 11 SuperAgent は、割り当てられたエージェントが必要とするコンテンツだけを格納します。クライアントから要求さ れるまで、リポジトリからコンテンツを取得しません。これにより、SuperAgent とリポジトリ間で発生するトラフ ィックを最小限に抑えることができます。SuperAgent がリポジトリからコンテンツを取得している間、このコンテ ンツに対するクライアント システムの要求は一時的に中断します。 SuperAgent はリポジトリにアクセスする必要があります。アクセスできないと、SuperAgent から更新を取得する エージェントが新しいコンテンツを取得できません。SuperAgent ポリシーにリポジトリに対するアクセスが定義さ れているかどうか確認してください。 リポジトリとして SuperAgent を使用するように設定されたエージェントは、McAfee ePO サーバーからではなく、 SuperAgent のキャッシュに保存されたコンテンツを受信します。これにより、ネットワーク トラフィックの大半 はローカルの SuperAgent とクライアントで発生するため、エージェントのシステム パフォーマンスが向上します。 新しいリポジトリを使用するように SuperAgent を再設定すると、新しいリポジトリを反映させるためキャッシュ が更新されます。 キャッシュがフラッシュされる場合 次の 2 つの場合、SuperAgent はキャッシュ内のコンテンツを消去します。 • 前回更新が要求されてから新しいリポジトリ コンテンツの間隔 を経過すると、SuperAgent はマスター リポジ トリから更新をダウンロードして処理します。新しいコンテンツが使用可能になると、キャッシュが完全にクリ アされます。 • グローバル アップデートが実行されると、SuperAgent はウェークアップ コールを受信し、キャッシュ内のす べてのコンテンツを消去します。 • デフォルトでは、SuperAgent は 30 分ごとに更新されます。SuperAgent は、キャッシュをクリア するときに、Replica.log に存在しないリポジトリのファイルをすべて削除します。このフォルダ ーにある個人用ファイルなどが削除されます。 • SuperAgent のキャッシュとリポジトリの複製との併用は推奨しません。 通信割り込みの処理方法 SuperAgent が最新でない可能性があるコンテンツに対する要求を受信すると、SuperAgent は McAfee ePO サー バーに接続し、新しいコンテンツが使用可能かどうか確認します。接続がタイムアウトすると、SuperAgent は、自 身のリポジトリからコンテンツを配布します。これにより、コンテンツが最新でない可能性がある場合でも要求側が コンテンツを受信することができます。 SuperAgent のキャッシュは、グローバル アップデートと併用しないでください。これらの機能はいずれも、管理対 象環境の分散リポジトリを常に最新の状態にしておくために使用されますが、これらの機能は相互に補完するものでは ありません。帯域幅の使用率を制限することが重要課題である場合には、SuperAgent のキャッシュ機能を使用してく ださい。企業全体の更新を迅速に行う必要がある場合には、グローバル アップデートを使用してください。 SuperAgent の階層 SuperAgent の階層により、同じネットワーク内に存在するエージェントのネットワーク トラフィック使用率を最 小限に抑えることができます。 SuperAgent は、McAfee ePO サーバーまたは分散リポジトリから受信したコンテンツの更新をキャッシュに格納 し、ネットワーク内のエージェントに配布します。これにより、WAN トラフィックの量が減少します。ネットワー クの負荷分散という点では、複数の SuperAgent を使用するのが理想的です。 SuperAgent の階層を設定する前に、LazyCaching を有効にする必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 139 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 SuperAgent 階層の作成 リポジトリ ポリシーを使用して階層を作成します。ネットワーク内に 3 つのレベルの SuperAgent 階層を作成す ることをお勧めします。 SuperAgent の階層を作成すると、McAfee ePO サーバーまたは分散リポジトリからのコンテンツ更新の重複ダウ ンロードを防ぐことができます。たとえば、クライアント ネットワークに 2 つの SuperAgent (SuperAgent 1 と SuperAgent 2) と分散リポジトリが存在する場合、クライアント システムがコンテンツの更新を SuperAgent 1 から受信するように階層を設定します。また、SuperAgent 1 が SuperAgent 2 からキャッシュの更新を受信し、 SuperAgent 2 が分散リポジトリからキャッシュの更新を受信するように設定します。 SuperAgent は、McAfee HTTP または FTP リポジトリから受信したコンテンツをキャッシュに格納できません。 階層を作成する場合、SuperAgent の間で循環しないように注意してください。たとえば、SuperAgent 1 が SuperAgent 2 から更新を受信し、SuperAgent 2 が SuperAgent 3 から更新を受信する場合、SuperAgent 3 が SuperAgent 1 から更新を受信しないように設定する必要があります。 親の SuperAgent が最新のコンテンツで更新され、常に最新の状態を維持するには、SuperAgent ウェークアップ コールのブロードキャストを有効にする必要があります。 SuperAgent がエージェントに最新のコンテンツ更新を提供しない場合、エージェントは SuperAgent からのコンテ ンツ更新を拒否し、ポリシーで設定されている次のリポジトリに接続します。 階層内 SuperAgent を配置する SuperAgent の階層を有効にして設定するには、全般ポリシーとリポジトリ ポリシーを変更します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、[製品] ドロップダウン メニューから [McAfee Agent] を選択し、[カテゴリ] ドロップダウン メニューから [全般] を選択します。 2 My Default ポリシーをクリックして、ポリシーの編集を開始します。ポリシーを作成するには、[アクション] 、 [新規ポリシー] の順にクリックします。 McAfee Default ポリシーは変更できません。 3 [SuperAgent] タブで [エージェントを SuperAgent に変換する] を選択してエージェントを SuperAgent に 変換し、最新のコンテンツでリポジトリを更新します。 4 [SuperAgent を実行するシステムの分散リポジトリとして使用する] を選択して、リポジトリ パス にパスを指 定します。これにより、ブロードキャスト セグメント内のシステムに対する更新リポジトリとして、SuperAgent が存在するシステムを使用できます。 5 [LazyCaching を有効にする] を選択します。これにより、McAfee ePO サーバーからコンテンツを受信したと きに、SuperAgent がコンテンツをキャッシュに格納します。 6 [保存] をクリックします。 [ポリシー カタログ] ページに全般ポリシーが表示されます。 140 7 [カテゴリ] を [リポジトリ] に変更して My Default ポリシーをクリックし、ポリシーの編集を開始します。ポ リシーを作成するには、[アクション] 、 [新しいポリシー] の順にクリックします。 8 リポジトリ タブで [リポジトリ リスト内の順番を使用する] を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 9 11 [新しく追加されたリポジトリへのクライアント アクセスを自動的に許可する] をクリックして、新しい SuperAgent リポジトリをリストに追加します。[トップへ移動] をクリックして SuperAgent を階層内に配置 します。 リポジトリ リストで親の SuperAgent が常に先頭に表示されるように、リポジトリの階層を調整してください。 10 [保存] をクリックします。 SuperAgent の階層を設定すると、McAfee Agent の統計 タスクを作成して実行し、ネットワーク帯域幅の使用 状況に関するレポートを収集できます。 エージェント リレー機能 ネットワークの設定で McAfee Agent と McAfee ePO サーバーとの通信をブロックしている場合、エージェントは コンテンツの更新やポリシーを受信したり、イベントを送信することができません。 McAfee ePO サーバーまたはエージェント ハンドラーと直接接続しているエージェントでリレー機能を有効にする と、クライアント システムと McAfee ePO サーバー間の通信をブリッジすることができます。ネットワークの負荷 を分散するため、複数のエージェントを RelayServer として設定できます。 • リレー機能は McAfee Agent 4.8 以降で有効にできます。 • McAfee ePO サーバーは、直接接続しているエージェントとのみ通信を行うことができます (エージ ェント ログの表示など)。 • リレー機能は AIX システムに対応していません。 RelayServer 経由の通信 ネットワークでリレー機能を有効にすると、McAfee Agent が RelayServer に変換されます。リレー機能が有効に なっている McAfee Agent は McAfee ePO サーバーにアクセスできます。 McAfee Agent が McAfee ePO サーバーとの接続に失敗すると、メッセージをブロードキャストし、ネットワーク 上でリレー機能が有効になっている McAfee Agent を検出します。RelayServer がメッセージに応答すると、 McAfee Agent は最初に応答した RelayServer と接続を確立します。 その後、McAfee Agent が McAfee ePO サーバーとの接続に失敗すると、検出メッセージに最初に応答した RelayServer への接続を試行します。McAfee Agent は、各エージェント/サーバー間通信でネットワーク内の RelayServer を検索し、検出メッセージに応答した 5 つの RelayServer の詳細をキャッシュに格納します。現在 の RelayServer が McAfee ePO サーバーと接続できない場合、あるいは必要なコンテンツの更新が存在しない場 合、McAfee Agent はキャッシュを参照し、次に使用可能な RelayServer に接続します。 Windows クライアント システムの場合、ポリシーでリレー機能を有効にすると、新しいサービス (MfeServiceMgr.exe) がインストールされます。このサービスを開始または停止すると、クライアント システムで のリレー機能を制御できます。 McAfee Agent が McAfee ePO サーバーへのアップロードまたはコンテンツのダウンロードを完了すると、 RelayServer は McAfee Agent と McAfee ePO サーバーとの接続を切断します。 重要な考慮事項 • McAfee Agent がネットワーク内の RelayServer を検出するには UDP (User Datagram Protocol) が必要で す。 • RelayServer は、SiteList.xml ファイルにあるサーバーにのみ接続します。この RelayServer 経由で接続す る McAfee Agent のサイト リストのスーパーセットとして、RelayServer の sitelist.xml を追加してくだ さい。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 141 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 リレー機能を有効にする ポリシーを設定して割り当てると、エージェントでリレー機能を有効にできます。 Windows 以外のシステムを RelayServer とする場合、cmamesh プロセスの例外とサービス マネージャー ポート を iptables と ip6tables に手動で追加する必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。選択したグループ内のすべてのシステムが詳細情報ペインに表示されます。 2 システムを選択し、[アクション] 、 [エージェント] 、 [単一システムのポリシーを変更] の順にクリックしま す。選択したシステムの [ポリシー割り当て] ページが表示されます。 3 [製品] ドロップダウン メニューから [McAfee Agent] を選択します。システムに割り当てられたポリシーと一 緒に、McAfee Agent のポリシー カテゴリが表示されます。 4 ポリシーが継承されたら、[継承を無効にし、以下のポリシーおよび設定を割り当てます。] を選択します。 5 [割り当て済みのポリシー] ドロップダウン リストから、全般ポリシーを選択します。 この場所から、選択したポリシーを編集したり、新しいポリシーを作成できます。 6 ポリシー継承をロックするかどうか選択します。ロックした場合、このポリシーを継承するシステムに別のポリ シーを割り当てることはできません。 7 [SuperAgent] タブで [RelayServer を有効にする] を選択してリレー機能を有効にします。 • [サービス マネージャー ポート] に [8083] を設定します。 • リレー機能は、組織のネットワーク内で有効にするようにしてください。 McAfee • RelayServer は、プロキシ設定を使用して McAfee ePO サーバーに接続できません。 8 [保存] をクリックします。 9 エージェント ウェークアップ コールを送信します。 • 最初の ASCI の後、[McAfee Agent プロパティ] ページまたはクライアント システムの McTray UI で RelayServer のステータスが更新されます。 • Windows クライアントの場合、ログ ファイル (SvcMgr_<system name>.log) は C: \ProgramData\McAfee\Common Framework\DB に保存されます。 McAfee Agent の統計を収集する 管理対象ノードで McAfee Agent 統計クライアント タスクを実行して、McAfee Agent 階層の統計情報を収集しま す。 オプションの定義の場合、インターフェースで [?] をクリックします。 142 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 11 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。選択したグループ内のすべてのシステムが詳細情報ペインに表示されます。 2 システムを選択し、[アクション] 、 [エージェント] 、 [単一システムでのタスクの変更] の順にクリックしま す。選択したシステムに割り当てられたクライアント タスクが表示されます。 3 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックします。 4 製品リストから [McAfee Agent] を選択し、[タスクの種類] で [McAfee Agent の統計] を選択します。 5 [タスクの新規作成] をクリックします。新しいクライアント タスクのページが表示されます。 6 必要なオプションを選択して、[保存] をクリックします。 タスクがクライアント システムに配備され、ステータスが ePolicy Orchestrator に報告されると、統計が 0 に リセットされます。 リレー機能を無効にする [全般]ポリシーを使用すると、McAfee Agent のリレー機能を無効にできます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。選択したグループ内のすべてのシステムが詳細情報ペインに表示されます。 2 リレー機能を無効にするシステムを選択し、[アクション] 、 [エージェント] 、 [単一システムのポリシーを変 更] の順にクリックします。選択したシステムの [ポリシー割り当て] ページが表示されます。 3 [製品] ドロップダウン メニューから [McAfee Agent] を選択します。システムに割り当てられたポリシーと一 緒に、McAfee Agent のポリシー カテゴリが表示されます。 4 [割り当て済みのポリシー] ドロップダウン リストで、クライアント システムで施行する [全般] ポリシーを選択 します。 5 [SuperAgent] タブで [RelayServer を有効にする] の選択を解除し、クライアント システムでリレー機能を無 効にします。 6 [保存] をクリックします。 7 エージェント ウェークアップ コールを送信します。 ポリシー イベントに応答する ポリシー イベントだけが表示されるように、ePolicy Orchestrator の自動応答をセットアップできます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [自動応答] の順にクリックし、[自動応答] ページを開きます。 2 [アクション] 、 [新しい応答] の順にクリックします。 3 [名前] に応答の名前を入力します。オプションで [説明] に説明を入力できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 143 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 4 [イベント グループ] で [ePO 通知イベント] を選択し、[イベント タイプ] に [クライアント]、[脅威] または [サーバー] を選択します。 5 [有効] をクリックして応答をアクティブにし、[次へ] をクリックします。 6 [使用可能なプロパティ] で [イベントの説明] を選択します。 7 [イベントの説明] 行の [...] をクリックし、以下のいずれかのオプションを選択します。 • [エージェントがポイント製品でプロパティ収集に失敗しました] - 最初にプロパティ収集エラーが発生した ときに、このイベントが生成され、送信されます。以降の成功イベントは生成されません。失敗したポイント 製品が個別のイベントを生成します。 • [エージェントがポイント製品でポリシー施行に失敗しました] - 最初にポリシー施行エラーが発生したとき に、このイベントが生成され、送信されます。以降の成功イベントは生成されません。失敗したポイント製品 が個別のイベントを生成します。 8 残りの情報を必要なフィルターに入力し、[次へ] をクリックします。 9 必要に応じて、[集計]、[グループ化]、[スロットル] オプションを選択します。 10 アクションの種類を選択します。選択した種類に応じて動作を入力し、[次へ] をクリックします。 11 対応動作のサマリーを確認します。問題がなければ、[保存] をクリックします。 ポリシー イベントが発生すると、自動応答が指定されたアクションを実行します。 クライアント タスクをすぐに実行する ePolicy Orchestrator が McAfee Agent に接続している場合、[クライアント タスクを今すぐ実行] アクションを 使用してクライアント タスクをすぐに実行することができます。 タスクをすぐに実行するのではなく、スケジュールで実行すると、McAfee Agent はタスクをキューに入れます。タ スクがキューに入ったときに、キュー内で先行するタスクがなければ、タスクはすぐに実行されます。[クライアン ト タスクを今すぐ実行] で作成されたタスクの場合、完了後にクライアントから削除されます。 [クライアント タスクを今すぐ実行] は、Windows クライアント システムでのみ使用できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。 2 タスクを実行するシステムを選択します。複数のシステムを選択できます。 3 [アクション] 、 [エージェント] 、 [今すぐクライアント タスクを実行] の順にクリックします。 4 [製品] で [McAfee Agent] を選択し、[タスクの種類] でタスクの種類を選択します。 5 既存のタスクを実行するには、[タスク名] をクリックして [今すぐタスクを実行] をクリックします。 6 新しいタスクを定義するには、[タスクの新規作成] をクリックします。 a 作成するタスクの情報を入力します。 この手順の実行中に [McAfee Agent] 製品配備タスクまたは製品更新タスクを作成する場合、[すべてのポリ シー施行で実行] オプションも使用できます。タスクは完了後に削除されるため、このオプションを選択して も意味がありません。 [実行中のクライアント タスクのステータス] ページが開き、実行中のすべてのタスクの状態が表示されます。タス クの完了後、処理の結果を監査ログとサーバー タスク ログで確認できます。 144 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 11 アクティブでないエージェントの検索 指定した期間、McAfee ePO サーバーと通信していないエージェントはアクティブでないエージェントとみなされま す。 ユーザーがエージェントを無効にしたり、削除している場合もあります。エージェントがインストールされているシ ステムがネットワークから切断されている場合もあります。アクティブでないエージェントが存在するかどうか、毎 週確認するようにしてください。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックします。 2 [グループ] リストで、McAfee Agent 共有グループを選択します。 3 [アクティブでないエージェント] 行で [実行] クリックし、クエリを実行します。 このクエリのデフォルト設定により、過去 1 か月間 McAfee ePO サーバーと通信していないシステムが検索さ れます。時間、日、週、四半期または年を指定できます。 アクティブでないエージェントが検出されたら、エージェント/サーバー通信を妨害する可能性のある問題をアクティ ビティ ログで確認します。クエリの結果を使用して、エージェントへの ping 送信、削除、ウェークアップ、再配備 など、特定されたシステムに対して様々なアクションを実行できます。 エージェントで報告される Windows システムと製品プロパティ McAfee Agent は、管理対象システムのプロパティを ePolicy Orchestrator に報告します。報告されるプロパティ はオペレーティング システムによって異なります。ここに表示されるデータは、Windows で報告されるプロパティ です。 システム プロパティ 以下では、使用しているノードのオペレーティング システムで ePolicy Orchestrator に報告されるシステム デー タを示します。システム プロパティが正しく報告されていないと考える前に、システムの詳細を確認してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 145 11 エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 [エージェントの GUID] [64 ビット版 OS かどうか ] [OS バージョン] [CPU シリアル番号] [最後のシーケンス エラー ] [シーケンス エラー] [CPU 速度 (MHz)] [ラップトップかどうか] [サーバー キー ] [CPU タイプ] [最後の通信] [サブネット アドレス] [カスタム プロパティ 1-4] [MAC アドレス] [サブネット マスク] [通信タイプ] [管理の状態] [システムの説明] [デフォルト言語] [管理タイプ ] [システムの場所] [説明] [CPU 数] [システム名] [DNS 名] [オペレーティング システム] [システム ツリーのソート] [ドメイン名] [OS ビルド番号 ] [タグ] [除外タグ] [OS OEM の識別子] [時間帯 ] [ディスクの空き容量] [OS プラットフォーム] [転送待ち] [空きメモリー] [OS サービス パック バージョン] [ディスク容量の合計 ] [システム ドライブの空き領域] [OS の種類] [物理メモリーの合計] [インストールされている製品] [使用ディスク領域] [IP アドレス] [ユーザー名 ] [IPX アドレス] [VDI] エージェントのプロパティ 各 McAfee 製品は、ePolicy Orchestrator にレポートするプロパティを指定します。レポートには最小プロパティ のセットが含まれます。以下のリストに、使用しているシステムにインストールされている McAfee ソフトウェアに よって ePolicy Orchestrator にレポートされる製品データの種類を示します。レポートされる値にエラーがある場 合は、不正なレポートと決定する前に製品の詳細を確認してください。 [エージェントの GUID] [インストール パス ] [エージェント/サーバー間セキュア通信キー ハッシュ] [言語] [エージェント/サーバー間通信間隔 ] [前回のポリシー施行のステータス] [エージェント ウェークアップ コール ] [前回のプロパティ収集のステータス] [エージェント ウェークアップ通信ポート] [ライセンス ステータス] [クラスター ノード] [再起動が必要な場合ユーザーへ通知する ] [クラスター サービスの状態] [ポリシーの施行間隔 ] [クラスター名] [製品バージョン] [クラスター ホスト ] [プラグイン バージョン ] [クラスター メンバー ノード ] [今すぐ実行のサポート ] [クラスター クォーラム リソース パス ] [サービス パック] [クラスター IP アドレス] [McAfee トレイ アイコンを表示する] [DAT バージョン] [RelayServer] [エンジン バージョン ] [SuperAgent の機能] [後に強制的に自動再起動する] [SuperAgent リポジトリ] [HotFix/パッチのバージョン ] [SuperAgent リポジトリ ディレクトリ] [SuperAgent エージェント ウェークアップ通信ポート] 146 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド エージェント/サーバー間通信 McAfee ePO サーバーからのエージェントの使用 11 McAfee Agent と製品プロパティを表示する 共通のトラブルシューティング タスクを実行すると、システムから取得したプロパティとポリシーの変更が一致して いるかどうか確認できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] の順にクリックします。 2 [システム] タブで、確認するシステムの行をクリックします。 システムのプロパティに関する情報、インストール済みの製品とエージェントが表示されます。[システム情報] ペー ジに、[サマリー]、[プロパティ]、[脅威イベント] ウィンドウが表示されます。また、[システム プロパティ]、[製 品]、[脅威イベント]、[McAfee Agent]、[関連項目] タブも表示されます。 McAfee Agent 提供のクエリ McAfee Agent は、いくつかの標準的なクエリを ePolicy Orchestrator 環境に追加します。 以下のクエリが McAfee Agent 共有グループにインストールされます。 表 11-1 McAfee Agent 提供のクエリ クエリ 説明 エージェント通信のサマリ ー 管理対象システムの円グラフを表示します。このグラフは、エージェントが過去に McAfee ePO サーバーと通信したかどうかを示します。 エージェント ハンドラーの ステータス 過去 1 時間以内のエージェント ハンドラーの通信ステータスを表す円グラフが表示 されます。 エージェントの統計情報 エージェントの以下の統計情報を表す棒グラフ: • RelayServer との接続に失敗した回数 • 最大許可接続数に達した後に RelayServer に行われた接続試行回数 • SuperAgent 階層の使用で節約されたネットワーク帯域幅 エージェント バージョンの サマリー 管理対象システムにインストールされているエージェントをバージョン番号別に円 グラフで表示します。 アクティブでないエージェ ント 過去 1 か月にエージェントが通信不能だった管理対象システムが表形式で表示され ます。 ポイント製品のポリシー施 行に失敗した管理対象ノー ド 1 回以上のポリシー施行が失敗している管理対象ノードの最大数 (クエリ ビルダー ウィザードで指定) を表示する単一グループの棒グラフ McAfee ePO サーバー 5.0 以降では、管理対象製品のポリシー施行の失敗を照会で きます。 ポイント製品のプロパティ 取集に失敗した管理対象ノ ード 1 回以上のプロパティ収集が失敗している管理対象ノードの最大数 ([クエリ ビルダ ー] ウィザードで指定) を表示する単一グループの棒グラフ McAfee ePO サーバー 5.0 以降では、管理対象製品のプロパティ収集の失敗を照会 できます。 リポジトリと使用率 個々のリポジトリの使用率をリポジトリ全体に占める割合で表す円グラフが表示さ れます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 147 11 エージェント/サーバー間通信 エージェント/サーバー間通信の管理 表 11-1 McAfee Agent 提供のクエリ (続き) クエリ 説明 DAT およびエンジンのプル 操作に基づくリポジトリの 使用率 リポジトリごとにプルされた DAT およびエンジンを表す積み上げ棒グラフが表示さ れます。 エージェント ハンドラーあ たりのシステム数 エージェント ハンドラーごとの管理対象システム数を表す円グラフが表示されま す。 エージェント/サーバー間通信の管理 必要に応じて ePolicy Orchestrator の設定を変更し、エージェント/サーバー間通信に適用します。 エージェント配備の認証情報をキャッシュに保存する McAfee ePO サーバーからネットワーク内のシステムにエージェントを配備するには、管理者の認証情報が必要で す。エージェント配備に必要な認証情報はキャッシュに保存することができます。 ユーザーの認証情報をキャッシュに保存すると、そのユーザーは認証情報を入力せずにエージェントを配備できます。 認証情報はユーザーごとにキャッシュ内に保存されます。認証情報をまだ指定していないユーザーがエージェントを 配備する場合には、認証情報を指定する必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [エージェント配備の認証情 報] を選択して [編集] をクリックします。 2 チェックボックスを選択して、キャッシュへのエージェント配備の認証情報の保存を許可します。 エージェント通信ポートを変更する McAfee ePO サーバーのエージェント通信ポートの一部を変更できます。 設定が変更できるエージェント通信ポートは次のとおりです。 • [エージェント/サーバー間通信セキュア ポート] • [エージェント ウェークアップ通信ポート] • [エージェント ブロードキャスト通信ポート] オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 148 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [ポート] を選択して [編 集] をクリックします。 2 エージェント/サーバー間通信のセキュア ポートとしてポート 443 を有効にするかどうかを選択します。エー ジェント ウェークアップ コールとエージェント ブロードキャストに使用するポートを入力して、[保存] をクリ ックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 12 セキュリティ キー セキュリティ キーは、ePolicy Orchestrator 管理環境内の通信とコンテンツを検証し、認証する場合に使用します。 目次 セキュリティ キーとその機能 マスター リポジトリのキー ペア 他のリポジトリのパブリック キー リポジトリ キーを管理する エージェント/サーバー間セキュア通信 (ASSC) キー キーをバックアップまたは復元する セキュリティ キーとその機能 McAfee ePO サーバーは、3 つのセキュリティ キー ペアを使用します。 3 つセキュリティ ペアを使用して、次の操作を行います。 • エージェント/サーバー間通信の認証 • ローカル リポジトリのコンテンツの検証 • リモート リポジトリのコンテンツの検証 送信元で、各ペアの秘密鍵によりメッセージまたはパッケージが署名され、送信先で、ペアの公開鍵によりメッセー ジまたはパッケージが検証されます。 エージェント/サーバー間セキュア通信 (ASSC) キー • 初めてエージェントがサーバーに通信する際に、サーバーに公開鍵が送信されます。 • 以降、サーバーはエージェントの公開鍵を使用して、エージェントの秘密鍵で署名されたメッセージを検証しま す。 • サーバーは、固有の秘密鍵を使用して、エージェントにメッセージを署名します。 • エージェントは、サーバーの公開鍵を使用してサーバーのメッセージを検証します。 • 複数のセキュア通信キーのペアを持つことができますが、マスター キーとして指定できるのは 1 つのみです。 • クライアント エージェント キー更新タスクが実行すると ([McAfee ePO Agent Key Updater])、別の公開鍵を 使用するエージェントは現在の公開鍵を受信します。 • アップグレードを行うと、既存のキーが McAfee ePO サーバーに移行されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 149 12 セキュリティ キー マスター リポジトリのキー ペア ローカルのマスター リポジトリ キー ペア • リポジトリの秘密鍵は、リポジトリにチェックインされる前にパッケージに署名します。 • リポジトリの公開鍵でリポジトリ パッケージのコンテンツが検証されます。 • エージェントは、クライアント更新タスクが実行されるたびに、新しい使用可能なコンテンツを受信します。 • このキー ペアは、サーバーごとに一意です。 • キーをサーバー間でエクスポートおよびインポートすることで、複数サーバー環境で同一のキー ペアを使用でき ます。 その他のリポジトリ キー ペア • 信頼できる送信元の秘密鍵は、リモート リポジトリにコンテンツを送信するときにコンテンツに署名します。信 頼できる送信元とは、マカフィー ダウンロード サイトや マカフィー Security Innovation Alliance (SIA) リポ ジトリなどです。 このキーが削除されると、別のサーバーからキーをインポートした場合もプルすることはできません。このキーを 上書きまたは削除する前に、安全な場所にバックアップしてださい。 • McAfee Agent の公開鍵により、リモート リポジトリから取得されるコンテンツが検証されます。 マスター リポジトリのキー ペア マスター リポジトリの秘密鍵により、マスター リポジトリ内のすべての未署名のコンテンツが署名されます。この キーはエージェント 4.0 以降の機能です。 エージェント 4.0 以降では、公開鍵を使用して、この McAfee ePO サーバー上のマスター リポジトリのコンテンツ を検証します。コンテンツが未署名または、リポジトリの不明な秘密鍵によって署名されている場合は、ダウンロー ドされたコンテンツは無効とみなされるか、削除されます。 このキー ペアはサーバーごとに固有です。ただし、キーをエクスポートしてインポートすることで、異なるサーバー 環境で同一のキー ペアを使用できます。これにより、いずれかのリポジトリが停止していても、エージェントはもう 一方のマスター リポジトリに接続することができます。 他のリポジトリのパブリック キー マスター キーのペア以外のキーは、エージェントが環境内の他のマスター リポジトリまたは McAfee ソース サイト からのコンテンツを確認するために使用するパブリック キーです。このサーバーにレポートする各エージェントは、 [他のリポジトリのパブリック キー] リスト内のキーを使用して、使用している環境または McAfee 自身のソース サ イト内、または組織内のその他の McAfee ePO サーバーからのコンテンツを検証します。 エージェントが適切な公開鍵を持っていないソースからコンテンツをダウンロードすると、そのコンテンツは放棄さ れます。 このキーは、4.0 以降のバージョンでの新機能で、新しいプロトコルに対応しています。 リポジトリ キーを管理する このタスクを実行すると、リポジトリ キーを管理できます。 150 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド セキュリティ キー リポジトリ キーを管理する 12 タスク • 151 ページの「1 つのマスター リポジトリ キー ペアをすべてのサーバーで使用する」 [サーバー設定] を使用すると、マルチサーバー環境ですべての McAfee ePO サーバーとエージェントが 同じマスター リポジトリのキー ペアを使用するように設定できます。 • 151 ページの「複数サーバー環境でマスター リポジトリ キーを使用する」 [サーバー設定] で、エージェントが環境内の任意の McAfee ePO サーバーからコンテンツを取得するよ うに設定します。 1 つのマスター リポジトリ キー ペアをすべてのサーバーで使用する [サーバー設定] を使用すると、マルチサーバー環境ですべての McAfee ePO サーバーとエージェントが同じマスタ ー リポジトリのキー ペアを使用するように設定できます。 すべてのサーバーに使用するキー ペアを最初にエクスポートし、環境内のほかのすべてのサーバーにキー ペアをイ ンポートします。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] リストから [セキュリティ キー] を選択して [編集] をクリックします。 [セキュリティ キーを編集] ページが表示されます。 2 [ローカル マスター リポジトリのキー ペア] の横にある [キー ペアをエクスポート] をクリックします。 3 [OK] をクリックします。[ファイルのダウンロード] ダイアログ ボックスが表示されます。 4 [保存] をクリックし、セキュア通信キーのファイルを含む zip ファイルの保存先として他のサーバーがアクセス できる場所を選択し、[保存] をクリックします。 5 [インポートとバックアップ キー] の横にある [インポート] をクリックします。 6 エクスポートしたマスター リポジトリ キー ファイルを含む ZIP ファイルを選択し、[次へ] をクリックします。 7 インポートするキーを確認し、[保存] をクリックします。 インポートしたマスター リポジトリ キー ペアが、このサーバー上の既存のキー ペアに置き換わります。エージェン トは、次のエージェント更新タスクの実行後に新しいキー ペアの使用を開始できます。マスター リポジトリのキー ペアを変更したら、エージェントで新しいキーを使用する前に ASSC を実行する必要があります。 複数サーバー環境でマスター リポジトリ キーを使用する [サーバー設定] で、エージェントが環境内の任意の McAfee ePO サーバーからコンテンツを取得するように設定し ます。 マスター リポジトリの秘密鍵でリポジトリにチェックインされた未署名のコンテンツをサーバーが署名します。エ ージェントは、リポジトリの公開鍵を使用して、環境内のリポジトリまたは McAfee ソース サイトから取得したコ ンテンツを検証します。 マスター リポジトリのキー ペアは ePolicy Orchestrator ごとに固有です。複数のサーバーを使用する場合は、そ れぞれ異なるキーを使用します。異なるマスター リポジトリのコンテンツをエージェントがダウンロードした場合、 そのコンテンツが有効かどうか確認する必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 151 12 セキュリティ キー エージェント/サーバー間セキュア通信 (ASSC) キー この方法には次の 2 つがあります。 • すべてのサーバーとエージェントで同じマスター リポジトリのキー ペアを使用する • 環境内で使用されているリポジトリの公開鍵を認識するようエージェントを設定する ある McAfee ePO サーバーから対象の McAfee ePO サーバーにキー ペアをエクスポートし、対象の McAfee ePO サーバーで既存のキー ペアをインポートして上書きするには、次のタスクを実行します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 マスター リポジトリのキー ペアがある McAfee ePO サーバーで、[メニュー] 、 [設定] 、 [サーバー設定] の順 にクリックし、[カテゴリの設定] リストから [セキュリティ キー] を選択し、[編集] をクリックします。 2 [ローカル マスター リポジトリのキー ペア] の横にある [キー ペアをエクスポート] をクリックして、[OK] を クリックします。 3 [ファイルのダウンロード] ダイアログ ボックスで [保存] をクリックします。 4 対象の McAfee ePO サーバーの任意の場所を選択し、zip ファイルを保存します。必要に応じてファイル名を変 更し、[保存] をクリックします。 5 マスター リポジトリのキー ペアを読み込む McAfee ePO サーバーで、[メニュー] 、 [設定] 、 [サーバー設 定] の順にクリックし、[カテゴリの設定] リストから [セキュリティ キー] を選択し、[編集] をクリックします。 6 [セキュリティ キーを編集] ページで、次の操作を行います。 a [インポートとバックアップ キー] の横にある [インポート] をクリックします。 b [ファイルを選択] の横で、保存するマスター キーのペアのファイルを参照して選択し、[次へ] をクリックし ます。 c 表示された情報が正しい場合は [保存] をクリックします。新しいマスター キーのペアが [エージェント/サ ーバー間セキュア通信キー] の隣のリストに表示されます。 7 前の手順でインポートしたファイルをリストから選択し、[マスターに昇格] をクリックします。これにより、既 存のマスター キーのペアがインポートした新しいキーのペアに変更されます。 8 [保存] をクリックしてプロセスを終了します。 エージェント/サーバー間セキュア通信 (ASSC) キー エージェントは、ASSC キーを使用してサーバーと安全に通信を行います。 ASSC キーのペアを、すべての配備済みエージェントに現在割り当てられているキーのペアのマスターにすることが できます。既存のエージェントで [エージェントとサーバー間のセキュア通信キー] リストの他のキーを使用してい る場合は、クライアント エージェント キーの更新タスクがスケジュールされているか実行されるまで、新しいマス ター キーに変更されません。 すべてのエージェントで新しいマスター キーが更新されるまで、古いキーを削除しないでください。 バージョン 4.0 より古い Windows エージェントはサポートされません。 152 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド セキュリティ キー エージェント/サーバー間セキュア通信 (ASSC) キー 12 ASSC キーを管理する [サーバー設定] ページでは、エージェント/サーバー間セキュア通信 (ASSC) キーの生成、エクスポート、インポー ト、削除を行います。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 2 [セキュリティ キーを編集] ページを開きます。 a [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックします。 b [カテゴリの設定] リストで [セキュリティ キー] を選択します。 以下のいずれかのアクションを選択します。 アクション 手順 新しい ASSC 新しい ASSC キー ペアを生成します。 キー ペアを生 1 [エージェント/サーバー間セキュア通信キー] リストの隣で、[新規キー] をクリックします。 成して使用す ダイアログ ボックスにセキュリティ キーの名前を入力します。 る 2 既存のエージェントで新しいキーを使用する場合は、リストからキーを選択して [マスターに 昇格] をクリックします。エージェントは、次の McAfee Agent 更新タスクの完了後に新し いキー ペアの使用を開始します。 McAfee Agent サーバーが管理する McAfee ePO の各バージョンに Agent Key Updater パッケージがあることを確認します。たとえば、McAfee ePO サーバーがバージョン 4.6 の エージェントを管理する場合には、4.6 Agent Key Updater パッケージをマスター リポジ トリにチェックインする必要があります。 大規模なインストール環境では、特別な理由がない限り新しいマスター キー ペアの生成およ び使用しないでください。このタスクは、進捗を監視できるよう、段階的に実行することをお 勧めします。 3 古いキーが使用されなくなったら削除します。 キーのリストに、現在そのキーを使用しているエージェントの数がキーの右に表示されます。 4 すべてのキーをバックアップします。 ASSC キーを エクスポート する McAfee ePO サーバーから別の McAfee ePO サーバーに ASSC キーをエクスポートします。 これにより、エージェントが新しい McAfee ePO サーバーにアクセスできるようになります。 1 [エージェント/サーバー間セキュア通信キー] リストでキーを選択し、[エクスポート] をクリ ックします。 2 [OK] をクリックします。 ブラウザーに、sr<ServerName>.zip ファイルを特定の場所にダウンロードするようプロ ンプトが表示されます。 すべてのブラウザー ダウンロードでデフォルトの場所を指定すると、この場所にファイルが自 動的に保存されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 153 12 セキュリティ キー エージェント/サーバー間セキュア通信 (ASSC) キー アクション 手順 ASSC キーを インポートす る 別の McAfee ePO サーバーからエクスポートした ASSC キーをインポートします。サーバー のエージェントがこの McAfee ePO サーバーにアクセスできます。 1 [インポート] をクリックします。 2 保存した場所からキーを参照して選択し (デフォルトはデスクトップです)、[開く] をクリッ クします。 3 [開く] をクリックして、[キーをインポート] ページの情報を確認します。 4 [保存] をクリックします。 ASSC キー ペアをマスタ ーにする [エージェント/サーバー間セキュア通信キー] リストでマスターにするキー ペアを変更します。 新しいキー ペアをインポートまたは生成した後でマスター キー ペアを指定します。 1 [エージェント/サーバー間セキュア通信キー] リストからキーを選択し、[マスターに昇格] を クリックします。 2 次回のエージェント/サーバー間通信後にエージェントが更新されるよう、エージェントです ぐに実行する更新タスクを作成します。 Agent Key Updater パッケージが ePolicy Orchestrator マスター リポジトリにチェック インされていることを確認してください。次回の McAfee Agent 更新タスクが完了してか ら、エージェントは新しいキー ペアの使用を開始します。リスト内の ASSC キーを使用する エージェントは、いつでも確認することができます。 3 すべてのキーをバックアップします。 ASSC キーを 削除する エージェントによって現在使用されているキーは削除しないでください。変更すると、それらの エージェントは McAfee ePO サーバーと通信できなくなります。 1 [エージェント/サーバー間セキュア通信キー] リストから、削除するキーを選択し、[削除] を クリックします。 2 [OK] をクリックして、このサーバーからキー ペアを削除します。 ASSC キー ペアを使用するシステムを表示する [エージェントとサーバー間のセキュア通信キー] リストで、エージェントが特定の ASSC キー ペアを使用するシス テムを確認できます。 特定のキー ペアをマスターにした後で、以前のキー ペアを使用するシステムを表示できます。エージェントがキー ペアを使用していないことを確認するまで、キー ペアを削除しないでください。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] リストから [セキュリティ キー] を選択して [編集] をクリックします。 2 [エージェントとサーバー間のセキュア通信キー] リストでキーを選択し、[エージェントを表示] をクリックしま す。 [このキーを使用するシステム] ページには、選択したキーを使用するエージェントのすべてのシステムが表示されま す。 154 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド セキュリティ キー キーをバックアップまたは復元する 12 すべてのサーバーとエージェントで同じ ASSC キー ペアを使用する すべての McAfee ePO サーバーとエージェントで、同じ ASSC (エージェント/サーバー間セキュア通信) キー ペア を使用しているかどうか確認します。 環境内に多数の管理対象システムがある場合は、エージェントの更新を監視できるよう、段階的にプロセスを実行する ことをお勧めします。 タスク 1 エージェント更新タスクを作成します。 2 選択した McAfee ePO サーバーからキーを選択してエクスポートします。 3 エクスポートしたキーをすべての他のサーバーにインポートします。 4 すべてのサーバーでインポートしたキーをマスターにします。 5 エージェント ウェークアップ コールを 2 回実行します。 6 すべてのエージェントで新しいキーを使用する場合は、未使用のキーを削除します。 7 すべてのキーをバックアップします。 McAfee ePO サーバーごとに別の ASSC キー ペアを使用する 各サーバーで固有の ASSC キー ペアを必要とする環境で、McAfee ePO サーバーごとに異なる ASSC キー ペアを 使用すると、すべてのエージェントが必要な McAfee ePO サーバーにアクセスすることができます。 エージェントは一度に 1 つのサーバーとのみ通信します。McAfee ePO サーバーは、異なるエージェントと通信する ために複数のキーを持つことができますが、逆はできません。エージェントは、複数の McAfee ePO サーバーと通信 するために複数のキーを持つことはできません。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 環境内の McAfee ePO サーバーで、マスターの ASSC キー ペアを一時的な場所にエクスポートします。 2 これらのキー ペアを各 McAfee ePO サーバーにインポートします。 キーをバックアップまたは復元する すべてのセキュリティ キーを定期的にバックアップしてください。また、キー管理設定を変更する前に、すべてのキ ーを必ずバックアップしてください。 安全なネットワークの場所にバックアップを保存しておくと、予期しないイベントで McAfee ePO サーバーからキ ーが失われても、キーを復元することができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] リストから [セキュリティ キー] を選択して [編集] をクリックします。 [セキュリティ キーを編集] ページが表示されます。 2 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 155 12 セキュリティ キー キーをバックアップまたは復元する アクション 手順 すべてのセキュ 1 ページ下部にある [すべてバックアップ] をクリックします。 リティ キーをバ ックアップする。 [キー ストアのバックアップ] ダイアログ ボックスが表示されます。 2 パスワードを入力してキーストアの .zip ファイルを暗号化できます。また、[OK] をクリ ックしてファイルを暗号化せずに保存することもできます。 3 [ファイルのダウンロード] ダイアログ ボックスで、[保存] をクリックして、すべてのセキ ュリティ キーを含む .zip ファイルを作成します。 [名前を付けて保存] ダイアログ ボックスが表示されます。 4 .zip ファイルを保存するネットワーク内の安全な場所を参照して、[保存] をクリックしま す。 セキュリティ キ 1 ページの上部で [すべて復元] をクリックします。 ーを復元する。 [セキュリティ キーを復元] ページが表示されます。 2 セキュリティ キーを含む .zip ファイルを参照して選択し、[次へ] をクリックします。 [サマリー] ページに [セキュリティ キーを復元] ウィザードが開きます。 3 既存のキーと置き換えるキーを参照して、[次へ] をクリックします。 4 [復元] をクリックします。 [セキュリティ キーを編集] ページが再度表示されます。 5 .zip ファイルを保存するネットワーク内の安全な場所を参照して、[保存] をクリックしま す。 バックアップ フ 1 ページの上部で [すべて復元] をクリックします。 ァイルからのセ [セキュリティ キーを復元] ページが表示されます。 キュリティ キー を復元する。 2 セキュリティ キーを含む .zip ファイルを参照して選択し、[次へ] をクリックします。 [サマリー] ページに [セキュリティ キーを復元] ウィザードが開きます。 3 バックアップ .zip ファイルを参照して選択し、[次へ] をクリックします。 4 ページの上部で [すべて復元] をクリックします。 [セキュリティ キーを復元] ウィザードが開きます。 5 バックアップ .zip ファイルを参照して選択し、[次へ] をクリックします。 6 既存のキーがこのファイル内のキーによって上書きされることを確認し、[すべて復元] を クリックします。 156 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 13 ソフトウェア マネージャー ソフトウェア マネージャーで McAfee ソフトウェアとそのコンポーネントを確認し、取得します。 目次 ソフトウェア マネージャーとは ソフトウェア マネージャーでソフトウェアのチェックイン、更新、削除を行う 製品の互換性を確認する ソフトウェア マネージャーとは ソフトウェア マネージャーにより、新しい McAfee ソフトウェアとソフトウェア更新を取得するために、McAfee 製品ダウンロード サイトにアクセスする必要がなくなります。 ソフトウェア マネージャーでは次のものをダウンロードできます。 • ライセンス ソフトウェア • 評価版ソフトウェア • ソフトウェアの更新 • 製品マニュアル ソフトウェア マネージャーで DAT とエンジンは取得できません。 ライセンス ソフトウェア ライセンス ソフトウェアとは、ユーザーが McAfee から購入したソフトウェアです。ePolicy Orchestrator コンソ ールでソフトウェア マネージャーを表示すると、組織がライセンスを取得していてもサーバーにインストールされて いないソフトウェアが [チェックインされていないソフトウェア] 製品カテゴリに表示されます。[製品カテゴリ] リ ストのサブカテゴリの横に表示される数字は、使用可能なライセンス製品の数を表しています。 評価版ソフトウェア 評価版ソフトウェアは、ライセンスをまだ取得していないソフトウェアです。評価版ソフトウェアはサーバーにイン ストールできますが、製品ライセンスを購入するまで機能が制限される場合があります。 ソフトウェアの更新 使用しているソフトウェアの新しい更新がリリースされた場合、ソフトウェア マネージャーを使用して新しいパッケ ージと拡張ファイルをチェックインできます。使用可能なソフトウェアの更新が [入手可能な更新] カテゴリに表示 されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 157 13 ソフトウェア マネージャー ソフトウェア マネージャーでソフトウェアのチェックイン、更新、削除を行う 製品マニュアル ソフトウェア マネージャーでは、新しい製品マニュアルまたはマニュアルの改訂版を入手できます。ヘルプ拡張ファ イルを自動的にインストールすることもできます。製品ガイド、リリース ノートなどのマニュアルは、ソフトウェ ア マネージャーから PDF 形式または HTML 形式でダウンロードできます。 ソフトウェアの依存関係 McAfee ePO サーバーでインストールできるソフトウェア製品の多くは、他のコンポーネントとの依存関係が事前に 定義されています。製品の拡張ファイルの依存関係は自動的にインストールされます。他の製品コンポーネントの場 合、コンポーネントの詳細ページで依存関係のリストを確認し、インストールする必要があります。 ソフトウェア マネージャーでソフトウェアのチェックイン、更新、削除を行う ソフトウェア マネージャーでは、管理対象製品のコンポーネントをサーバーにチェックインして、コンポーネントの 更新や削除を行うことができます。 ソフトウェア マネージャーでは、ライセンス版と評価版の両方のソフトウェアにアクセスできます。 使用可能なソフトウェアとカテゴリ (ライセンス版か評価版) はライセンス キーによって異なります。詳細について は、管理者に確認してください。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ソフトウェア] 、 [ソフトウェア マネージャー] の順にクリックします。 2 [ソフトウェア マネージャー] ページの [製品カテゴリ] リストで、以下のいずれかのカテゴリを選択するか、検 索ボックスを使用してソフトウェアを検索します。 • [更新が使用可能です] - この McAfee ePO サーバーにインストールまたはチェックインされているライセ ンス ソフトウェア コンポーネントで使用可能な更新が表示されます。 • [チェックインされたソフトウェア] - このサーバーにインストールまたはチェックインされているすべての ソフトウェア (ライセンス版と評価版) が表示されます。 最近ライセンスを追加した製品が評価版として表示さている場合には、[更新] をクリックしてライセンス数を 更新します。[チェックインされたソフトウェア] で製品がライセンス版として表示されます。 3 4 158 • [チェックインされていないソフトウェア] - 使用可能でもこのサーバーにインストールされていないソフト ウェアが表示されます。 • [ソフトウェア (ラベル別)] - McAfee 製品スイートの機能別にソフトウェアが表示されます。 正しいソフトウェアが見つかったら次の操作を行います。 • ネットワーク上の場所に製品マニュアルをダウンロードするには、[ダウンロード] をクリックします。 • このサーバーに製品の拡張ファイルまたはパッケージをチェックインするには、[チェックイン] をクリックし ます。 • このサーバーに現在インストールまたはチェックインされているパッケージまたは拡張ファイルを更新する には、[更新] をクリックします。 • このサーバーに現在インストールまたはチェックインされているパッケージまたは拡張ファイルを削除する には、[削除] をクリックします。 [ソフトウェア チェックインのサマリー] ページで、製品の詳細と使用許諾条件 (EULA) を確認して [OK] をク リックし、操作を完了します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ソフトウェア マネージャー 製品の互換性を確認する 13 製品の互換性を確認する 製品互換性チェックを設定すると、McAfee から製品互換性リストを自動的にダウンロードできます。このリストに は、ePolicy Orchestrator 環境で互換性のない製品が記述されています。 拡張ファイルのインストールとスタートアップでサーバーが不安定な状態になると、ePolicy Orchestrator がこのチ ェックを実行します。このチェックは次の状況で実行されます。 • 前のバージョンの ePolicy Orchestrator から 5.1 以降にアップグレードしているとき • [拡張ファイル] メニューから拡張ファイルがインストールされたとき • ソフトウェア マネージャーから新しい拡張ファイルを取得する前 • 新しい互換性リストを McAfee から取得したとき • データ移行ツールを実行するとき。詳細については、『McAfee ePolicy Orchestrator 5.1.0 インストール ガイ ド』を参照してください。 [製品互換性チェック] この製品互換性チェックは、製品互換性リストという XML ファイルを使用して、ePolicy Orchestrator のバージョ ンと互換性のない製品拡張ファイルを特定します。 McAfee Web サイトからダウンロードされた ePolicy Orchestrator ソフトウェア パッケージには、初期状態のリ ストが含まれています。インストールまたはアップグレードで ePolicy Orchestrator のセットアップを実行する と、ePolicy Orchestrator は、互換性のある拡張ファイルの最新リストを信頼できる McAfee ソースからインター ネット経由で自動的に取得します。インターネット ソースが使用できない場合、あるいはリストが検証できない場 合、ePolicy Orchestrator は使用可能な最新バージョンを使用します。 McAfee ePO サーバーは 1 日に 1 回、サイズの小さい製品互換性リストをバックグラウンドで更新します。 修復 インストーラーまたは ePolicy Orchestrator アップグレード互換性ユーティリティで互換性のない拡張ファイルの リストを表示したときに、置換可能な拡張ファイルがあれば通知されます。 アップグレード中に次のことが発生する場合があります。 • 拡張ファイルが原因でアップグレードが中断する。アップグレードを続行する前に、問題のある拡張ファイルを 削除または置換する必要があります。 • 拡張ファイルが無効になる。ePolicy Orchestrator のアップグレードが完了した後で拡張ファイルを更新する 必要があります。 詳細については、「ブロックまたは無効にされた拡張ファイル」を参照してください。 自動更新の無効化 新しいリストのダウンロードを行わないように、製品互換性リストの自動更新を無効にすることができます。 このリストは、バックグランド タスクでのダウンロードされます。また、ソフトウェア マネージャーのコンテンツ が更新されたときにもダウンロードされます。McAfee ePO サーバーにインターネットに対する受信アクセスが許 可されていない場合、これは非常に便利な設定です。詳細については、「製品互換性リストのダウンロードを変更す る」を参照してください。 製品互換性リストのダウンロード設定を再度有効にすると、ソフトウェア マネージャーによる製品互換性リストの自 動更新が有効になります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 159 13 ソフトウェア マネージャー 製品の互換性を確認する 手動でダウンロードした製品互換性リストの使用 McAfee ePO サーバーがインターネットに接続していない場合、手動でダウンロードされた製品互換性リストを使用 できます。 このリストは、次の場合に手動でダウンロードできます。 • ePolicy Orchestrator をインストールした場合。「ブロックまたは無効にされた拡張ファイル」を参照してくだ さい。 • [サーバー設定] 、 [製品互換性リスト] の順に選択して、製品互換性リストを手動でアップロードした場合。この リストは、アップロード後すぐに有効になります。 手動でダウンロードした製品互換性リストの上書きを防ぐため、リストの自動更新を無効にしてください。詳細に ついては、「製品互換性リストのダウンロードを変更する」を参照してください。 • ProductCompatibilityList.xml をクリックして、リストを手動でダウンロードします。 ブロックまたは無効にされた拡張ファイル 製品互換性リストで拡張ファイルがブロックされていると、ePolicy Orchestrator をアップグレードできません。拡 張ファイルが「無効」になっている場合、アップグレードは中断しませんが、アップグレード後に代替の拡張ファイ ルがインストールされるまで、拡張ファイルは初期化されません。 製品互換性リストのインストールで使用できるコマンドライン オプション 次のコマンドライン オプションを指定して setup.exe コマンドを実行すると、製品互換性リストのダウンロードを 設定できます。 オプション 定義 setup.exe DISABLEPRODCOMPATUPDATE=1 McAfee Web サイトからの製品互換性リスト の自動ダウンロードを無効にします。 setup.exe PRODCOMPATXML=<full_filename_including_path> 代替の製品互換性リスト ファイルを指定しま す。 この 2 つのコマンドライン オプションは同時に指定することができます。 製品互換性リストのダウンロードを再設定する 製品互換性リストをインターネットから自動的にダウンロードすることも、手動でダウンロードしたリストを使用す ることもできます。このリストには、ePolicy Orchestrator 環境で互換性のない製品が記述されています。 開始する前に 手動でダウンロードした製品互換性リストは、McAfee 提供の有効な XML ファイルでなければなりませ ん。 製品互換性リストの XML ファイルに変更を行うと、このファイルは無効になります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [製品互換性リスト] を選択 して [編集] をクリックします。 互換性がなく、無効になっている拡張ファイルのリストが表形式で表示されます。 160 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ソフトウェア マネージャー 製品の互換性を確認する 13 2 McAfee から製品互換性リストを自動的/定期的にダウンロードしないようにするには、[無効] をクリックしま す。 3 [参照] をクリックして [製品互換性リストのアップロード] に移動し、[保存] をクリックします。 これで、製品互換性リストの自動ダウンロードが無効になりました。新しいリストをアップロードするか、サーバー をインターネットに接続して自動ダウンロードを有効にするまで、McAfee ePO サーバーは同じリストを使用しま す。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 161 13 ソフトウェア マネージャー 製品の互換性を確認する 162 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 14 製品の配備 ePolicy Orchestrator では、ユーザー インターフェースから配備とスケジュールの設定を行い、ネットワーク内の 管理対象システムにセキュリティ製品を簡単に配備することができます。 ePolicy Orchestrator で製品を配備する場合、次の 2 つの方法があります。 • 製品配備プロジェクトを使用する。配備プロセスを簡素化し、より多くの機能を利用できます。 • クライアント タスク オブジェクトとタスクを個別に作成し、管理する。 目次 製品配備方法の選択 製品配備プロジェクトの利点 [製品の配備] ページの説明 製品配備監査ログの表示 配備プロジェクトで製品を配備する 配備プロジェクトの監視と編集を行う 新しい McAfee Agent の配備例 製品配備方法の選択 選択する製品配備方法は、すでに設定済みの内容によって異なります。 製品配備プロジェクトを使用すると、ePolicy Orchestrator 管理対象システムに製品を簡単に配備することができま す。ただし、バージョン 5.0 より前のソフトウェアで作成されたクライアント タスク オブジェクトとタスクを使用 または管理する場合には、製品配備プロジェクトを使用することはできません。 製品配備プロジェクト以外で作成されたクライアント タスクとオブジェクトを維持し、引き続き使用する場合には、 クライアント タスク オブジェクト ライブラリと割り当てインターフェースを使用する必要があります。既存のタ スクとオブジェクトを維持しながら、製品配備プロジェクトで新しい配備を作成することができます。 製品配備プロジェクトの利点 製品配備プロジェクトを実行すると、ネットワーク全体の配備スケジュールの設定や維持に必要な時間とオーバーヘ ッドを短縮し、管理対象システムにセキュリティ製品を簡単に配備できます。 製品配備プロジェクトでは、製品配備タスクの作成と管理に必要な多くの手順を統合し、配備プロセスを簡素化して います。次のことも行うことができます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 163 14 製品の配備 製品配備プロジェクトの利点 • 配備を連続して実行する - 条件に一致したシステムが追加されたときに製品が自動的に配備されるように、製品 配備プロジェクトを設定できます。 • 実行中の配備を停止する - 何らかの理由で開始した配備を停止する必要がある場合に、配備を停止できます。準 備が整ったときに配備を再開できます。 • 以前に配備した製品を削除する - 配備プロジェクトが完了し、プロジェクトに割り当てられたシステムから関連 製品を削除するには、[アクション] リストから [削除] を選択します。 以下の表では、製品配備の 2 つのプロセスを比較しています。一つは、個々のクライアント タスク オブジェクトを 使用する場合、もう一つは製品配備プロジェクトを使用する場合です。 表 14-1 製品配備方法の比較 クライアント タス ク オブジェクト 機能の比較 製品配備プロジェクト 名前と説明 同じ 名前と説明 配備する製品ソフ トウェアの収集 同じ 配備する製品ソフトウェアの収集 タグを使用して対 象システムを選択 する 製品配備プロジェ 配備を行う条件を洗濯します。 クトでは機能が強 • [連続] - システム ツリー グループまたはタグを使用します。システ 化されています。 ムをグループに移動したり、システムにタグを割り当て配備時に適用す ることができます。 • [固定] - 特定のシステムまたは定義済みのシステムを使用します。シ ステムの選択は、システム ツリーまたは管理対象システムのクエリ出力 テーブルで行います。 配備スケジュール を設定する。 類似 配備スケジュールを簡単に設定できます。配備をすぐに実行することも、 スケジュールに従って実行することもできます。 使用できません。 製品配備プロジェ 現在の配備状況を監視します。たとえば、配備スケジュールが開始してい クトの新機能 ない、配備の実行中、停止中、一時停止、完了などの状況を確認します。 使用できません。 製品配備プロジェ 配備を受信するシステム数に関するデータの履歴スナップショットを表 クトの新機能 示します。 固定配備の場合のみ 使用できません。 製品配備プロジェ 個々のシステム配備の状況を表示します。たとえば、インストール済み、 クトの新機能 保留中、障害などの状況を確認します。 使用できません。 製品配備プロジェ 既存の配備割り当てを変更します。 クトの新機能 • 新規作成 (既存の配備を変更 • 配備の停止/一時停止 する場合) • 編集 • 配備の続行/再開 • 複製 • 削除 • 削除 164 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 製品の配備 [製品の配備] ページの説明 14 [製品の配備] ページの説明 [製品の配備] ページでは、製品配備プロジェクトの作成、監視、管理を行うことができます。 このページは 2 つのメイン領域 (下の図では領域 1 と領域 2) に分かれています。領域 2 はさらに 5 つの小さな領 域から構成されています。 図 14-1 [製品の配備] ページ メイン領域は次のとおりです。 1 配備サマリー - 製品配備の一覧が表示されます。種類とステータスでフィルタリングし、進行状況を迅速に確認 できます。配備をクリックすると、[配備の詳細] 領域に詳細が表示されます。 感嘆符のアイコンは、配備のアンインストールが進行中か、配備で使用されているパッケージが移動または削除さ れていることを表します。 2 配備の詳細 - 選択した配備の詳細が表示されます。次の領域があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 165 14 製品の配備 製品配備監査ログの表示 2a ステータス モニター - 進行状況とステータスを表示する画面は、配備の種類とステータスによって異なり ます。 • 連続配備で配備が保留中の場合にはカレンダーが表示されます。または配備の実行中の場合には棒グラ フが表示されます。 • 固定配備で配備が保留中の場合にはカレンダーが表示されます。[最新バージョン] が選択されている場 合には棒グラフが、[期間] が選択されている場合にはヒストグラムが表示されます。 2b 詳細 - この画面には、配備の設定とステータスが表示されます。[タスクの詳細の表示] をクリックする と、[配備の編集] ページが表示されます。 2c [システム名] - 配備を受信する対象システムのリストが表示されます。この画面ではフィルターを使用で きます。表示されるシステムは、配備の種類だけでなく、システムの選択状況 (個別、タグまたはシステム ツリー グループ) や、クエリの出力テーブルかどうかによって異なります。 [システム アクション] をクリックすると、ダイアログ ボックスが開き、フィルタリングされたシステムの一 覧と詳細が表示されます。このボックスでは、更新やウェークアップなどのアクションをシステムに実行でき ます。 2d [ステータス] - 配備の進行状況とステータスを表すバーが表示されます。このバーは 3 つのセクション から構成されます。 2e [タグ] - システムの行に関連付けられているタグが表示されます。 製品配備監査ログの表示 配備プロジェクトの監査ログには、コンソールの製品配備機能で行ったすべての製品配備が記録されます。 これらの監査ログの項目は、[製品配備] ページの詳細領域でソート可能なテーブルに表示されます。これらの項目 は [監査ログ] ページにも表示されます。このページには、監査可能なすべてのユーザー アクションのログ項目が表 示されます。これらのログを使用すると、製品配備の追跡、作成、編集、複製、削除またはアンインストールを実行 できます。ログの項目をクリックすると、詳細が表示されます。 配備プロジェクトで製品を配備する 配備プロジェクトで管理対象システムにセキュリティ製品を配備する場合、配備する製品、対象システム、配備スケ ジュールを簡単に選択できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 166 1 [メニュー] 、 [ソフトウェア] 、 [製品の配備] の順にクリックします。 2 [新しい配備] をクリックして [新しい配備] を開き、新しいプロジェクトを開始します。 3 配備の名前と説明を入力します。配備を保存すると、この名前が [製品配備] ページに表示されます。 4 配備の種類を選択します。 • [連続] - システム ツリーのグループまたはタグを使用して、配備を受信するシステムを設定します。システ ムがグループまたはタグに追加されたり、グループまたはタグから削除されると、それに合わせてシステムが 変更されます。 • [固定] - 配備を受信する定義済みのシステムを使用します。システムの選択は、システム ツリーまたは [管 理対象システムのクエリ] テーブル出力で行います。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 製品の配備 配備プロジェクトの監視と編集を行う 5 14 配備するソフトウェアを指定するには、[パッケージ] リストから製品を選択します。[+] または [-] をクリック して、パッケージを追加または削除します。 ソフトウェアは、配備前にマスター リポジトリにチェックインする必要があります。マスター リポジトリに指定 された場所と言語に従って、[言語] と [ブランチ] フィールドは自動的に更新されます。 6 [コマンドライン] テキスト フィールドに、コマンドラインのインストール オプションを指定します。コマンド ライン オプションの詳細については、配備するソフトウェアの製品マニュアルを参照してください。 7 [システムを選択] セクションで [システムの選択] をクリックして、[システムの選択] ダイアログ ボックスを表 示します。 [システムの選択] ダイアログ ボックスでは、システム ツリーまたはタグでグルループを選択できます。また、 グループ化されたシステムやタグ付きシステムのサブセットを選択することもできます。このダイアログ ボック スの各タブで行った選択が結合され、配備対象のシステムのフィルタリング条件として使用されます。 たとえば、システム ツリーに「グループ A」があり、この中にサーバーとワークステーションの両方が存在する 場合、グループ全体を配備対象にすることも、サーバーまたはワークステーションだけを対象にすることもでき ます (それぞれのタグが付いている場合)。あるいは、グループ A 内のいずれかのシステム タイプのサブセット を対象にすることもできます。 固定配備の場合、配備を受信できるシステム数は 500 までです。 必要であれば、次の設定を行います。 8 9 • [すべてのポリシー施行で実行 (Windows の み)] • [次の秒数が経過したら期限切れを延期するオ プション] • [この配備の延期をエンド ユーザーに許可する (Windows のみ)] • [次のテキストを表示] • [最大配備回数] 配備の開始時間を選択するか、スケジュールを設定します。 • [すぐに実行] - 次の ASCI で配備タスクを開始します。 • [1 回だけ] - スケジューラーが開始します。開始日、時間、ランダム化を設定できます。 完了したら、ページの上部にある [保存] をクリックします。[製品の配備] ページが開き、配備リストに新しいプ ロジェクトが追加されます。 配備プロジェクトを作成すると、この配備の設定でクライアント タスクが自動的に作成されます。 配備プロジェクトの監視と編集を行う [製品の配備] ページでは、配備プロジェクトの作成、追跡、変更を行います。 このタスクの最初の 2、3 の手順ではインターフェースから既存の配備プロジェクトを選択し、監視しています。後 半の手順では、[アクション] を選択して配備プロジェクトを変更しています。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 167 14 製品の配備 配備プロジェクトの監視と編集を行う タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ソフトウェア] 、 [製品の配備] の順にクリックします。[製品の配備] ページが表示されます。 2 以下のいずれかの方法または両方の方法で配備プロジェクトのリストをフィルタリングします。 • [種類] - 表示される配備をフィルタリングします。[すべて]、[連続] または [固定] を選択します。 • [ステータス] - 表示される配備をフィルタリングします。[すべて]、[完了]、[進行中]、[保留中]、[実行中] または [停止] を選択します。 3 ページの左側にあるリストで配備をクリックします。ページの右側に詳細が表示されます。 4 詳細画面の進行状況セクションに次の情報が表示されます。 5 • カレンダー。保留中の連続配備または固定配備の開始日が表示されます。 • ヒストグラム。固定配備のシステムと完了時間が表示されます。 • ステータス バー。システム配備とアンインストールの進行状況が表示されます。 [アクション] をクリックし、以下のいずれかを選択して配備を変更します。 • [編集] • [再開] • [削除] • [停止] • [複製] • [削除] • [完了にする] 6 詳細セクションで [タスクの詳細の表示] をクリックして [配備の編集] ページを開きます。配備の設定を表示し たり、変更することができます。 7 システム テーブルの [フィルター] リストで以下のいずれかをクリックし、表示されるシステムを変更します。 リストに表示されるオプションは、配備の現在のステータスによって異なります。 8 168 • 削除中の場合、[すべて]、[パッケージを削除]、[保留中]、[失敗] が表示されます。 • 他のアクションの場合には、[すべて]、[インストール成功]、[保留中]、[失敗] が表示されます。 [システム] テーブルで次の操作を実行できます。 • 対象システムの各行の [ステータス] 列でステータスを確認します。3 つのセクションから構成されるステー タス バーが配備の進行状況を表します。 • [タグ] 列で、対象システムに関連付けられているタグを確認します。 • [システム アクション] をクリックして、新しいページにシステムのリストを表示します。このページでは、 選択したシステムにシステム固有のアクションを実行できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 製品の配備 新しい McAfee Agent の配備例 14 新しい McAfee Agent の配備例 ePolicy Orchestrator の初期インストールと McAfee Agent の配備が完了したら、製品配備プロジェクトを使用す るか、あるいは、クライアント タスク オブジェクトを手動で使用して、追加の McAfee Agent を配備する必要があ ります。 開始する前に このサンプル タスクを開始して Linux 用の McAfee Agent を配備する前に、ePolicy Orchestrator の システム ツリーに Linux プラットフォームを追加する必要があります。 ePolicy Orchestrator を初めてインストールした後で最初に行う作業はエージェントの配備です。最初に配備した McAfee Agent は、新しいバージョンが使用可能になると自動的に更新されます。管理対象のネットワーク システ ムに異なる種類のオペレーティング システムが存在する場合、種類ごとに異なる McAfee Agent が必要になります。 たとえば、ePolicy Orchestrator で管理する大半のネットワーク システムが Windows OS プラットフォームを使 用しているときに、ネットワークに Linux プラットフォームを追加する場合には、Linux 用の McAfee Agent をイ ンストールする必要があります。 機能、ユーザー インターフェース、オプションの詳細については、「製品の配備」とヘルプを参照してください。 次のことについて説明します。 • Linux 用 McAfee Agent の製品配備プロジェクトを作成する • プロジェクトでエージェントの配備に成功したかどうか確認する • Linux プラットフォームが ePolicy Orchestrator の管理対象になっているかどうか確認する タスク 1 新しい製品配備プロジェクトを作成するには、[メニュー] 、 [ソフトウェア] 、 [製品配備] 、 [新しい配備] の 順にクリックします。 2 [新しい配備] ページで、次の設定を行います。 オプショ ン 説明 [名前] と [説明] この配備の名前と説明を入力します。たとえば、Linux McAfee Agent deployment と入力し ます。 配備を保存すると、この名前が [配備] ページに表示されます。 [種類] リストから [連続] を選択します。 システム ツリーのグループまたはタグを使用して、配備を受信するシステムを設定します。システ ムがグループまたはタグに追加されたり、グループまたはタグから削除されると、それに合わせて システムが変更されます。 [パッケー ジ] リストから [McAfee Agent for Linux] を選択します。 [言語] と [ブラン チ] デフォルトを使用しない場合、必要に応じて言語とブランチを選択します。 [コマンド ライン] テキスト フィールドに、コマンドラインのインストール オプションを指定します。コマンドライ ン オプションの詳細については、『McAfee Agent 製品ガイド』を参照してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 169 14 製品の配備 新しい McAfee Agent の配備例 オプショ ン 説明 [システム を選択] [システムの選択] をクリックします。[システムの選択] ダイアログ ボックスが表示されます。 [システムの選択] ダイアログ ボックスでは、システム ツリーまたはタグでグルループを選択でき ます。また、グループ化されたシステムやタグ付きシステムのサブセットを選択することもできま す。このダイアログ ボックスの各タブで行った選択が結合され、配備対象のシステムのフィルタリ ング条件として使用されます。 たとえば、システム ツリーに「Linux システム」があり、この中にサーバーとワークステーション の両方が存在する場合、グループ全体を配備対象にすることも、サーバーまたはワークステーショ ンだけを対象にすることもできます (それぞれのタグが付いている場合)。あるいは、Linux システ ム内のいずれかのシステム タイプのサブセットを対象にすることもできます。 必要であれば、次の設定を行います。 • [すべてのポリシー施行で実行 (Windows のみ)] • [次の秒数が経過したら期限切れを延期す るオプション] • [この配備の延期をエンド ユーザーに許可 する (Windows のみ)] • [次のテキストを表示] • [最大配備回数] [開始時間 を選択] 配備の開始時間を選択するか、スケジュールを設定します。 • [すぐに実行] - 次の ASCI で配備タスクを開始します。 • [1 回だけ] - スケジューラーが開始します。開始日、時間、ランダム化を設定できます。 [保存] 完了したら、ページの上部にある [保存] をクリックします。[製品の配備] ページが開き、配備リ ストに新しいプロジェクトが追加されます。 配備プロジェクトを作成すると、この配備の設定でクライアント タスクが自動的に作成されます。 3 [製品配備] ページで次の情報を参照して、Linux 用 McAfee Agent の製品配備プロジェクトが正常に機能してい るかどうか確認します。 オプション 説明 [配備サマ リー] [Linux 用 McAfee Agent の配備] をクリックします。ページの右側に、前の手順で作成した製品 配備プロジェクトと詳細が表示されます。 これは連続プロジェクトのため、[進行中] の下には無限大を表す記号 [配備の詳 細] が表示されます。 次のこともできます。 • [アクション] をクリックして、選択した配備を変更します。 • 選択した配備の進行状況、ステータス、詳細を表示します。 • 選択した配備に関連するシステム、システム アクション、ステータス、タグを表示します。 このサンプル プロセスを完了すると、システム ツリーに追加した Linux プラットフォームに Linux 用 McAfee Agent がインストールされ、ePolicy Orchestrator の管理対象になります。 170 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 15 ポリシーの管理 ポリシーを使用すると、管理対象システムで製品の機能を正しく設定できます。 ePolicy Orchestrator では、一元管理機能により、一つの場所で複数の製品を管理することができます。この操作を 行うには、製品ポリシーを適用して施行します。ポリシーにより、製品の機能を正しく設定することができます。ク ライアント タスクは、クライアント ソフトウェアが存在する管理対象システムで、スケジュールに従って実行され ます。 目次 ポリシーとポリシー施行 ポリシーの適用 ポリシーの作成と保守を行う ポリシーを初めて設定する場合 ポリシーを管理する [ポリシーとタスクの保存期間の編集] ページ ポリシー割り当てルール ポリシー管理クエリを作成する ポリシー情報を表示する McAfee ePO サーバー間でポリシーを共有する 複数の McAfee ePO サーバーにポリシーを配布する ポリシーとポリシー施行 ポリシー とは、ユーザーが作成、設定、実施する設定を収集したものです。ポリシーを使用すると、管理対象のセキ ュリティ ソフトウェア製品を適宜設定し、実行できます。 一部のポリシーの設定は製品のインターフェースで行う設定と同じになります。また、プライマリ インターフェース で設定を行う製品およびコンポーネントもあります。ePolicy Orchestrator コンソールを使用すると、すべての製品 およびシステムのポリシーを中央から設定することができます。 ポリシー カテゴリ ほとんどの製品では、ポリシーの設定はカテゴリごとに分類されます。ポリシーの各カテゴリは、ポリシー設定のい ずれかに該当します。ポリシーはカテゴリごとに作成されます。[ポリシー カタログ] ページに、製品およびカテゴ リごとにポリシーが表示されます。既存のポリシーを開いたり、ポリシーを作成する場合は、各タブでポリシーを設 定できます。 ポリシーの表示場所 ポリシー カテゴリごとに作成されたすべてのポリシーを表示するには、[メニュー] 、 [ポリシー] 、 [ポリシー カテ ゴリ] の順にクリックし、ドロップダウン リストから製品とカテゴリを選択します。[ポリシー カタログ] ページで ユーザーが表示できるのは、権限を持つ製品のポリシーのみです。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 171 15 ポリシーの管理 ポリシーとポリシー施行 システム ツリーの特定のグループに割り当てられたポリシーを製品ごとに表示するには、[メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックし、グループを選択して、ドロップダウン リス トから製品を選択します。 各カテゴリに、McAfee Default というポリシーがあります。このポリシーに対しては、削除や編集、名前の変更がで きませんが、コピーしてそれを編集することは可能です。 ポリシー施行の設定方法 管理対象の製品またはコンポーネントごとに、製品またはコンポーネントに対して選択したポリシーをエージェント が施行するかしないかを選択できます。 [割り当てられたポリシー] ページでは、選択したグループに含まれる製品またはコンポーネントにポリシーを施行す るかどうかを選択できます。 [ポリシー カタログ] ページで、ポリシーの割り当てを表示し、適用されている場所と施行の有無を表示できます。 また、ポリシー施行をロックして、ロックしたノード以下の変更を防ぐことができます。 ポリシー施行が停止されている場合は、指定されたグループ内のシステムは、エージェント/サーバー間通信で更新さ れた Sitelist を受信しません。この場合、そのグループ内の管理対象システムが予期したとおりに機能しない場合があ ります。たとえば、エージェント ハンドラー A と通信するよう管理対象システムを設定していていポリシー施行を停 止している場合、管理対象システムはこの情報に関する新しい Sitelist を受信しないため、期限が過ぎた Sitelist 内に 表示されている別のエージェント ハンドラーに報告します。 ポリシーを施行するタイミング ポリシーを再設定した場合、新しい設定は次のエージェント/サーバー間通信で管理対象システムに配信され、施行さ れます。通信頻度は、McAfee Agent のポリシー ページの [全般] タブの [エージェント/サーバー間通信の間隔] (ASCI) 設定か、McAfee Agent ウェークアップ クライアント タスクのスケジュールで決まります (エージェント/ サーバー間通信の実装方法によって異なります)。デフォルトでは、エージェント/サーバー間通信の間隔は 60 分に 設定されています。 管理対象システムでポリシーの設定が有効になると、エージェントは一定の間隔で、ローカルでポリシー設定を施行 します。施行の間隔は、McAfee Agent のポリシー ページの [全般] タブの [ポリシーの施行間隔] 設定で決まりま す。デフォルトでは、5 分間隔に設定されています。 McAfee 製品に対するポリシーの設定は、ポリシーの施行間隔および各エージェント/サーバー間通信で、ただちに施 行されます。 ポリシーのインポートとエクスポート 複数のサーバーを使用している場合は、XML ファイル間でポリシーをエクスポートまたはインポートすることができ ます。このような環境で、ポリシーを何度も作成する必要はありません。 個々のポリシーをエクスポートまたはインポートすることも、特定の製品のすべてのポリシーをエクスポートまたは インポートすることもできます。 また、サーバーを再インストールする場合、バックアップ ポリシーを使用することもできます。 ポリシー共有 ポリシー共有は、サーバー間でポリシーを転送する一つの方法です。ポリシーを共有すると、1 つのサーバーでポリ シーを管理し、McAfee ePO コンソールを介して別のサーバーで使用することができます。 172 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシーの適用 15 ポリシーの適用 ポリシーをシステムに適用する方法は、継承と割り当ての 2 種類あります。 継承 継承は、ディレクトリのいずれかのグループまたはシステムのポリシーの設定およびクライアント タスクを、親から 受け継ぐかどうかを決定します。デフォルトでは、継承はシステム ツリー全体を通じて有効です。 システム ツリーのどこかに新しいポリシーが割り当てられると、この継承は無効となり、同じ場所からポリシーを継 承するよう設定されているすべての下位レベルのグループおよびシステムへの継承も無効になります。 割り当て 適切な権限がある場合は、ポリシー カタログ内のポリシーをグループまたはシステムに割り当てることができます。 割り当てを使用すると、特定の目的に応じたポリシーの設定を一度定義するだけで、複数の場所に割り当てることが できます。 システム ツリーの特定のグループに新しいポリシーが割り当てられると、同じ場所からポリシーを継承するよう設定 されているすべての下位レベルのグループおよびシステムに対しても割り当てられます。 割り当てのロック グループまたはシステムへのポリシーの割り当てをロックできます (適切な権限がある場合)。割り当てをロックす ることにより、次の利点があります。 • システム ツリーの同レベルの権限を持つユーザーが、誤ってポリシーを置き換えてしまうことを防ぐ。 • 低い権限を持つユーザー (または権限は同レベルだがシステム ツリーの下位レベルにいるユーザー) がポリシー を置き換えてしまうことを防ぐ。 割り当てのロックは、ポリシーの設定と一緒に継承されます。 割り当てのロックは、システム ツリーの上位で特定のポリシーを割り当てる際に、他のユーザーがシステム ツリー 内の他の場所にポリシーを置き換えてしまわないようにする場合に有効です。 割り当てのロックでは、ポリシーの割り当てのみがロックされます。ポリシーの所有者がポリシーの設定を変更でき なくなるわけではありません。したがって、ポリシーの割り当てをロックしようとする場合は、自分が所有するポリ シーであることを確認します。 ポリシーの所有 製品のすべてのポリシーとユーザーが権限を持つ機能は、[ポリシー カタログ] ページから使用できます。ポリシー が他のユーザーにより編集されることを防ぐため、各ポリシーには所有者 (ポリシーの作成者) が割り当てられます。 所有者が設定されると、ポリシーの作成者と管理者以外は、ポリシーを変更したり、削除することはできなくなりま す。ポリシーの割り当ては [ポリシー カタログ] ページでどのユーザーも適切な権限があれば実行できますが、編集 できるのはポリシーの所有者または管理者のみです。 所有していない管理対象システムにポリシーを割り当てた場合、割り当てた名前付きポリシーの所有者が変更を行う と、このポリシーが割り当てられているすべてのシステムに変更が適用されることに注意してください。このため、 別のユーザーが所有しているポリシーを使用する場合は、最初にポリシーを複製し、次に複製したポリシーを割り当 てることをお勧めします。これにより、自身が割り当てたポリシーの所有者となります。 1 つのポリシーの所有者として、複数のユーザーを指定できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 173 15 ポリシーの管理 ポリシーの作成と保守を行う ポリシーの作成と保守を行う [ポリシー カタログ] ページでポリシーを作成して保守します。 タスク • 174 ページの「[ポリシー カタログ] ページでポリシーを作成する」 ポリシー カタログを使用して作成したカスタム ポリシーは、グループまたはシステムに割り当てられて いません。ポリシーの作成は、製品の配備前または配備後のどちらでも可能です。 • 174 ページの「[ポリシー カタログ] ページで既存のポリシーを管理する」 ポリシーの編集、複製、名前の変更、削除を行います。 [ポリシー カタログ] ページでポリシーを作成する ポリシー カタログを使用して作成したカスタム ポリシーは、グループまたはシステムに割り当てられていません。 ポリシーの作成は、製品の配備前または配備後のどちらでも可能です。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新規ポリシー] ダイアログ ボックスを開きます。 a [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックします。 b ドロップダウン リストから製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが [詳細] ペインに表示されます。 c [新規ポリシー] をクリックします。 2 [既存のポリシーからポリシーを作成] ドロップダウン リストから複製するポリシーを選択します。 3 新しいポリシーの名前を入力し、[OK] をクリックします。 [ポリシーの設定] ウィザードが開きます。 4 必要に応じて、各タブのポリシーの設定を編集します。 5 [保存] をクリックします。 [ポリシー カタログ] ページで既存のポリシーを管理する ポリシーの編集、複製、名前の変更、削除を行います。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、ドロップダウン リストから[製品]と[カ テゴリ]を選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 2 ポリシーを変更する製品とカテゴリをリストから選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 3 174 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシーを初めて設定する場合 アクション 15 手順 ポリシーの設定を編集する 1 編集するポリシーを検索して、ポリシー名をクリックします。 2 必要に応じて設定を編集し、[保存] をクリックします。 ポリシーを複製する 1 複製するポリシーを特定し、対象のポリシーの行で [複製] をクリックします。 [既存のポリシーの複製] ダイアログ ボックスが表示されます。 2 新しいポリシーの名前をフィールドに入力して、[OK] をクリックします [ポリシー カタログ] ページに新しいポリシーが表示されます。 3 リストで新しいポリシーをクリックします。 4 必要に応じて設定を編集し、[保存] をクリックします。 複製したポリシーが新しい名前と設定で詳細ペインに表示されます。 ポリシー名を変更する 1 名前を変更するポリシーの行で [名前を変更] をクリックします。 [ポリシー名の変更] ダイアログ ボックスが表示されます。 2 既存のポリシーに付ける新しい名前を入力して、[OK] をクリックします。 名前を変更したポリシーが詳細ペインに表示されます。 ポリシーを削除する 1 削除するポリシーの行で [削除] をクリックします。 2 プロンプトが表示されたら [OK] をクリックします。 削除したポリシーが詳細ペインから削除されます。 ポリシーを初めて設定する場合 ポリシーを初めて設定する場合には、以下の手順に従ってください。 1 システム ツリーのセグメントに製品ポリシーを計画します。 2 ポリシーを作成し、グループとシステムに割り当てます。 ポリシーを管理する 環境にポリシーを割り当てて保守します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 175 15 ポリシーの管理 ポリシーを管理する タスク • 176 ページの「ポリシーの所有者を変更する」 デフォルトでは、所有権はポリシーの作成者に割り当てられます。必要な権限があれば、ポリシーの所 有権を変更できます。 • 176 ページの「McAfee ePO サーバー間でポリシーを移動する」 McAfee ePO 間でポリシーを移動するには、ソース サーバーの [ポリシー カタログ] ページからポリシ ーを XML ファイルにエクスポートし、共有するサーバーの [ポリシー カタログ] ページにインポートす る必要があります。 • 178 ページの「システム ツリー グループにポリシーを割り当てる」 システム ツリーの特定のグループにポリシーを割り当てます。ポリシーの割り当ては、製品の配備前ま たは配備後のどちらでも可能です。 • 178 ページの「管理対象システムにポリシーを割り当てる」 特定の管理対象システムにポリシーを割り当てます。ポリシーの割り当ては、製品の配備前または配備 後のどちらでも可能です。 • 179 ページの「システム ツリー グループのシステムにポリシーを割り当てる」 グループ内の複数の管理対象システムにポリシーを割り当てます。ポリシーの割り当ては、製品の配備 前または配備後のどちらでも可能です。 • 179 ページの「システム ツリー グループの製品にポリシーを施行する」 グループ内の製品に対するポリシーの施行を有効または無効にします。デフォルトでは、ポリシーの施 行は有効で、システム ツリー内で継承されています。 • 180 ページの「システム上の製品にポリシーを施行する」 管理対象システム内の製品に対するポリシーの施行を有効または無効にします。デフォルトでは、ポリ シーの施行は有効で、システム ツリー内で継承されています。 • 180 ページの「ポリシー割り当てをコピーする」 グループ間またはシステム間でポリシー割り当てをコピーします。このタスクにより、システム ツリー 内のグループまたはシステム間で、複数の割り当てを容易に共有できます。 ポリシーの所有者を変更する デフォルトでは、所有権はポリシーの作成者に割り当てられます。必要な権限があれば、ポリシーの所有権を変更で きます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 2 対象のポリシーの場所を特定して、ポリシーの所有者をクリックします。 [ポリシーの所有] ページが表示されます。 3 ポリシー所有者をリストから選択して、[OK] をクリックします。 McAfee ePO サーバー間でポリシーを移動する McAfee ePO 間でポリシーを移動するには、ソース サーバーの [ポリシー カタログ] ページからポリシーを XML フ ァイルにエクスポートし、共有するサーバーの [ポリシー カタログ] ページにインポートする必要があります。 176 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシーを管理する 15 タスク • 177 ページの「単一のポリシーをエクスポートする」 単一のポリシーを XML ファイルにエクスポートすると、このファイルを使用して別の McAfee ePO サ ーバーにポリシーをインポートしたり、ポリシーのバックアップを作成できます。 • 177 ページの「製品のすべてのポリシーをエクスポートする」 製品のすべてのポリシーを XML ファイルにエクスポートします。このファイルを使用すると、別の McAfee ePO サーバーにポリシーをインポートしたり、ポリシーのバックアップを保存できます。 • 177 ページの「ポリシーをインポートする」 ポリシーの XML ファイルをインポートできます。単一のポリシーをエクスポートした場合でも、すべて の名前付きポリシーをエクスポートした場合でも、インポートの手順は同じです。 単一のポリシーをエクスポートする 単一のポリシーを XML ファイルにエクスポートすると、このファイルを使用して別の McAfee ePO サーバーにポリ シーをインポートしたり、ポリシーのバックアップを作成できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、ドロップダウン リストから対象の製品 とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが [詳細] ペインに表示されます。 2 ポリシーを検索し、そのポリシーの横にある [エクスポート] をクリックします。 [エクスポート] ページが開きます。 3 リンクを右クリックしてファイルをダウンロードし、保存します。 4 ポリシーの XML ファイルの名前を指定して、ファイルを保存します。 このファイルを別の McAfee ePO サーバーにインポートする場合には、この場所がインポート先の McAfee ePO サーバーからアクセス可能でなければなりません。 製品のすべてのポリシーをエクスポートする 製品のすべてのポリシーを XML ファイルにエクスポートします。このファイルを使用すると、別の McAfee ePO サ ーバーにポリシーをインポートしたり、ポリシーのバックアップを保存できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 2 [製品ポリシー] の横にある [エクスポート] をクリックします。[エクスポート] ページが開きます。 3 リンクを右クリックしてファイルをダウンロードし、保存します。 このファイルを別の McAfee ePO サーバーにインポートする場合には、この場所がインポート先の McAfee ePO サーバーからアクセス可能でなければなりません。 ポリシーをインポートする ポリシーの XML ファイルをインポートできます。単一のポリシーをエクスポートした場合でも、すべての名前付き ポリシーをエクスポートした場合でも、インポートの手順は同じです。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 177 15 ポリシーの管理 ポリシーを管理する タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックし、[製品ポリシー] の横にある [インポート] をクリックします。 2 ポリシーの XML ファイルを参照して選択し、[OK] をクリックします。 3 インポートするポリシーを選択して [OK] をクリックします。 ポリシーがポリシー カタログに追加されます。 システム ツリー グループにポリシーを割り当てる システム ツリーの特定のグループにポリシーを割り当てます。ポリシーの割り当ては、製品の配備前または配備後の どちらでも可能です。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックし、製品を選択し ます。 カテゴリごとに割り当てられている各ポリシーは、詳細情報ペインに表示されています。 2 対象のポリシーを特定して、[割り当てを編集] をクリックします。 3 ポリシーが継承されたら、[継承を無効にし、以下のポリシーおよび設定を割り当てます。] の横にある [継承 元] を選択します。 4 [割り当て済みのポリシー] ドロップダウン リストからポリシーを選択します。 この場所から、選択したポリシーの設定を編集したり、ポリシーを作成できます。 5 ポリシー継承をロックするかどうかを選択します。 ポリシー継承をロックすると、このポリシーを継承するシステムは、別のポリシーを代わりに割り当てることが できなくなります。 6 [保存] をクリックします。 管理対象システムにポリシーを割り当てる 特定の管理対象システムにポリシーを割り当てます。ポリシーの割り当ては、製品の配備前または配備後のどちらで も可能です。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。 グループ内のすべてのシステムが詳細情報ペインに表示されます (サブグループは表示されません)。 2 システムを選択し、[アクション] 、 [エージェント] 、 [単一システムのポリシーを変更] の順にクリックしま す。 選択したシステムの [ポリシー割り当て] ページが表示されます。 3 製品を選択します。 選択した製品のカテゴリが、システムの割り当てられたポリシーと共に表示されます。 178 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシーを管理する 15 4 対象のポリシーを特定して、[割り当てを編集] をクリックします。 5 ポリシーが継承されたら、[継承を無効にし、以下のポリシーおよび設定を割り当てます。] の横にある [継承 元] を選択します。 6 [割り当て済みのポリシー] ドロップダウン リストからポリシーを選択します。 この場所から、選択したポリシーの設定を編集したり、ポリシーを作成できます。 7 ポリシー継承をロックするかどうかを選択します。 ポリシー継承をロックすると、このポリシーを継承するシステムは、別のポリシーを代わりに割り当てることが できなくなります。 8 [保存] をクリックします。 システム ツリー グループのシステムにポリシーを割り当てる グループ内の複数の管理対象システムにポリシーを割り当てます。ポリシーの割り当ては、製品の配備前または配備 後のどちらでも可能です。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。 グループ内のすべてのシステムが詳細情報ペインに表示されます (サブグループは表示されません)。 2 必要なシステムを選択し、[アクション] 、 [エージェント] 、 [ポリシーの設定と継承] の順にクリックします。 [ポリシーを割り当て] ページが表示されます。 3 ドロップダウン リストから製品、カテゴリ、ポリシーを選択します。 4 [継承をリセット] または [継承を無効にする] を選択して [保存] をクリックします。 システム ツリー グループの製品にポリシーを施行する グループ内の製品に対するポリシーの施行を有効または無効にします。デフォルトでは、ポリシーの施行は有効で、 システム ツリー内で継承されています。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックし、システム ツリ ーでグループを選択します。 2 対象の製品を選択し、[施行ステータス] の横にあるリンクをクリックします。 [施行] ページが表示されます。 3 施行ステータスを変更するには、[継承を無効にし、以下のポリシーおよび設定を割り当てます。] を選択します。 4 [施行ステータス] の横にある [施行] または [未施行] を適宜選択します。 5 ポリシー継承をロックするかどうかを選択します。 ポリシー施行の継承をロックすると、このポリシーを継承するグループとシステムの施行が中断するのを防止で きます。 6 [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 179 15 ポリシーの管理 ポリシーを管理する システム上の製品にポリシーを施行する 管理対象システム内の製品に対するポリシーの施行を有効または無効にします。デフォルトでは、ポリシーの施行は 有効で、システム ツリー内で継承されています。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、[システム ツリー] でシステ ムが所属するグループを選択します。 このグループに属しているシステムのリストが詳細ペインに表示されます。 2 システムを選択し、[アクション] 、 [単一システムのポリシーを変更] の順にクリックします。 [ポリシー割り当て] ページが表示されます。 3 製品を選択し、[施行ステータス] の横にある [施行] をクリックします。 [施行] ページが表示されます。 4 施行ステータスを変更する場合は、最初に [継承を無効にし、以下のポリシーおよび設定を割り当てます。] を選 択する必要があります。 5 [施行ステータス] の横にある [施行] または [未施行] を適宜選択します。 6 [保存] をクリックします。 ポリシー割り当てをコピーする グループ間またはシステム間でポリシー割り当てをコピーします。このタスクにより、システム ツリー内のグループ またはシステム間で、複数の割り当てを容易に共有できます。 タスク • 180 ページの「グループからポリシー割り当てをコピーする」 システム ツリーのグループ間でポリシー割り当てをコピーできます。 • 181 ページの「システムからポリシー割り当てコピーする」 特定のシステムからポリシー割り当てコピーします。 • 181 ページの「ポリシーの割り当てをグループに貼り付ける」 ポリシーの割り当てをグループまたはシステムからコピーし、別のグループに貼り付けることができま す。 • 181 ページの「ポリシーの割り当てを特定のシステムに貼り付ける」 ポリシーの割り当てをグループまたはシステムからコピーし、特定のシステムに貼り付けることができ ます。 グループからポリシー割り当てをコピーする システム ツリーのグループ間でポリシー割り当てをコピーできます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 180 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックし、システム ツリ ーでグループを選択します。 2 [アクション] 、 [割り当てをコピー] の順にクリックします。 3 ポリシーの割り当てをコピーする製品または機能を選択して、[OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシーを管理する 15 システムからポリシー割り当てコピーする 特定のシステムからポリシー割り当てコピーします。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。 選択したグループに属するシステムが詳細情報ペインに表示されます。 2 システムを選択し、[アクション] 、 [エージェント] 、 [単一システムのポリシーを変更] の順にクリックしま す。 3 [アクション] 、 [割り当てをコピー] をクリックし、ポリシーの割り当てをコピーする製品または機能を選択し て、[OK] をクリックします。 ポリシーの割り当てをグループに貼り付ける ポリシーの割り当てをグループまたはシステムからコピーし、別のグループに貼り付けることができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックし、システム ツリ ーで対象のグループを選択します。 2 詳細ペインで [アクション] をクリックし、[割り当てを貼り付け] を選択します。 いくつかのカテゴリにすでにポリシーが割り当てられている場合は、[ポリシー割り当ての上書き] ページが表示 されます。 ポリシー割り当てを貼り付けると、[ポリシーおよびタスクの施行] ポリシーがリストに表示されます。このポリシ ーにより、他のポリシーの施行ステータスが制御されます。 3 コピーしたポリシーと置き換えるポリシー カテゴリを選択し、[OK] をクリックします。 ポリシーの割り当てを特定のシステムに貼り付ける ポリシーの割り当てをグループまたはシステムからコピーし、特定のシステムに貼り付けることができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。 選択したグループに属するすべてのシステムが詳細情報ペインに表示されます。 2 ポリシー割り当てを貼り付けるシステムを選択し、[アクション] 、 [エージェント] 、 [単一システムでのポリシ ーの変更] の順にクリックします。 3 詳細情報ペインで、[アクション] 、 [割り当てを貼り付け] の順にクリックします。 いくつかのカテゴリにすでにポリシーが割り当てられている場合は、[ポリシー割り当てを上書き] ページが表示 されます。 ポリシー割り当てを貼り付けると、[ポリシーおよびタスクの施行] ポリシーがリストに表示されます。このポリシ ーにより、他のポリシーの施行ステータスが制御されます。 4 割り当ての上書きを確認します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 181 15 ポリシーの管理 [ポリシーとタスクの保存期間の編集] ページ [ポリシーとタスクの保存期間の編集] ページ このページでは、製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク データを削除するか どうかを指定します。 表 15-1 オプションの定義 オプション 定義 ポリシーとタスクの 製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク データを削除す 保存期間 るかどうかを指定します。オプションは次のとおりです。 • [ポリシーとクライアント タスク データを保持する] • [ポリシーとクライアント タスク データを削除する] - デフォルトでは、ポリシーとクラ イアント タスク データが削除されます。 ポリシー割り当てルール ポリシー割り当てルールにより、システム ツリーに対する汎用的なポリシーが保持できるので、個々のユーザーまた は特定の条件を満たすシステムに複数のポリシーを設定している場合の管理作業が軽減されます。 このようにポリシー割り当てを設定すると、システム ツリー内で継承を無効にするインスタンスを制限し、特定のユ ーザーまたはシステムが必要とするポリシーを設定できます。ポリシーは、ユーザー別またはシステム別の条件に従 って割り当てることができます。 • ユーザー別のポリシー - 1 つ以上のユーザー固有の条件を含むポリシー。たとえば、エンジニアリング グルー プのすべてのユーザーに対して施行するポリシー割り当てルールを作成します。このとき、エンジニアリング ネ ットワークの任意のコンピューターにログオンし、ネットワーク内の特定のシステムでトラブルシューティング ができるように、IT 部門のメンバーに別のポリシー割り当てルールを作成することもできます。ユーザー別のポ リシーには、システム別の条件を追加することもできます。 • システム別のポリシー - システム別の条件のみを含むポリシー。たとえば、適用したタグに従ってネットワーク 内のすべてのサーバーに施行するポリシー割り当てルールを作成することも、システム ツリーの特定の場所にあ るすべてのシステムに施行するルールを作成できます。システム別のポリシーにユーザー別の条件を追加するこ とはできません。 ポリシー割り当てルールの優先度 ポリシー割り当てルールには優先度を設定できます。これにより、ポリシー割り当ての管理を簡単に行うことができ ます。ルールに優先度を設定すると、優先度の高い割り当てが先に施行されます。 その結果、一部のルール設定が無効になる場合があります。たとえば、ユーザーまたはシステムにルール A とルー ル B という 2 つのポリシー割り当てルールが設定されているとします。ルール A は優先度がレベル 1 で、該当する ユーザーにシステム ツリーに対する権限が無制限に許可されています。ルール B の優先度はレベル 2 で、インター ネット コンテンツに対して同じユーザー アカウントに非常に厳しい制限が設定されています。この場合、優先度が 高い A が施行されます。この結果、ユーザーにはインターネット コンテンツに対する無制限なアクセス権が付与さ れます。 ポリシー割り当てルールの優先度とマルチスロット ポリシー マルチスロット ポリシーでは、ルールの優先度は考慮されません。同じ製品カテゴリのマルチスロット ポリシーを 含む 1 つのルールが適用されると、マルチスロット ポリシーのすべての設定が組み合わされます。同様に、適用さ れた複数のルールにマルチスロット ポリシー設定が含まれていると、それぞれのマルチスロット ポリシーの設定が すべて組み合わされます。その結果、各ルールを組み合わせたポリシーが適用されます。 182 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシー割り当てルール 15 マルチスロット ポリシーを集計する場合、同じ種類 (ユーザー別またはシステム別) のマルチスロット ポリシーだけ が集計されます。ただし、ポリシー割り当てルールで割り当てられたマルチスロット ポリシーは、システム ツリー で割り当てられたマルチスロット ポリシーと一緒に集計されません。ポリシー割り当てルールで割り当てたマルチ スロット ポリシーは、システムツリーのポリシーを上書きします。また、ユーザー別のポリシーは、システム別のポ リシーよりも優先度が高くなります。次のシナリオについて考えてみましょう。 ポリシーの 種類 割り当ての種類 ポリシ ポリシー設定 ー名 全般ポリシ ー システム ツリーに割り A 当てたポリシー システム別 ポリシー割り当てルー ル B 「IsLaptop」というタグを持つシステムからインターネット アクセ スを許可します。 ユーザー別 ポリシー割り当てルー ル C すべてのシステムの管理者ユーザー グループのユーザーに制限付 きのインターネット アクセスを許可します。 ポリシーが割り当てられているシステムにインターネット アクセ スを許可しません。 シナリオ:マルチスロット ポリシーによるインターネット アクセスの制御 システム ツリーに「Engineering」という名前のグループがあり、このグループに「IsServer」または「IsLaptop」 というタグを持つシステムが存在します。システム ツリーで、ポリシー A をこのグループのすべてのシステムに割 り当てます。ポリシー割り当てルールを使用して、システム ツリーで Engineering グループより上の任意の場所に ポリシー B を割り当てると、ポリシー A の設定が上書きされ、「IsLaptop」というタグを持つシステムにインター ネット アクセスが許可されます。システム ツリーで Engineering グループより上のグループにポリシー C を割り 当てると、管理者ユーザー グループのユーザーにインターネット アクセスが許可されます。Engineering グループ で「IsServer」というタグを持つシステムへのアクセスも許可されます。 集計したポリシーによる Active Directory オブジェクトの実行 マルチスロット ポリシーから構成されるルールは、優先度に関係なく、割り当て済みのシステムに適用されるため、 一部のインスタンスでポリシー設定の集計を禁止する必要があります。ルールを作成するときにユーザー (またはグ ループや組織単位などの Active Directory オブジェクト) を除外すると、複数のポリシー割り当てルール間でユー ザー別のマルチスロット ポリシーの設定の集計を回避できます。ポリシー割り当てルールで使用できるマルチスロ ット ポリシーについては、該当する管理対象製品のマニュアルを参照してください。 ユーザー別のポリシー割り当て ユーザー別のポリシー割り当てルールを使用すると、ユーザー固有のポリシー割り当てを作成できます。 これらの割り当ては、ユーザーが対象システムにログオンしたときに施行されます。 管理対象システムでは、エージェントが、ネットワークにログオンしたユーザーの記録を保持します。ユーザーに作 成したポリシー割り当ては、ユーザーがログオンしたシステムに送信され、エージェントとサーバーが通信を行って いる間、キャッシュに格納されています。McAfee ePO は、各ユーザーに割り当てられたポリシーを適用します。 ユーザーが管理対象のシステムに最初にログオンしたときに、McAfee Agent が割り当て済みのサーバーに接続し、ユ ーザー固有のポリシー割り当てを取得するまで若干時間がかかる場合があります。この間、ユーザーはデフォルトのコ ンピューター ポリシー (通常は最も安全なポリシー) で許可された機能しか実行できません。 ユーザー別のポリシー割り当てを使用するには、McAfee ePO サーバーで使用する LDAP サーバーを登録し、設定す る必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 183 15 ポリシーの管理 ポリシー割り当てルール 古いポリシー割り当てルールの移行 バージョン 4.5 の McAfee ePO サーバーで作成したポリシー割り当てルールは、デフォルトではユーザー別になり ます。ユーザー別の条件を指定せずに古いポリシー割り当てルールを移行すると、このルールはユーザー別と評価さ れます。ただし、新しいユーザー別ポリシー割り当てルールを作成する場合には、1 つ以上のユーザー別条件を指定 する必要があります。 移行した古いユーザー別ポリシー割り当てルールを適用すると、McAfee ePO サーバーは各エージェント/サーバー間 通信間隔で LDAP サーバーを参照し、ネットワーク内の管理対象システムを検索します。 システム別のポリシー割り当て システム別ポリシーを使用すると、システム別の条件を使用してシステムにポリシーを割り当てることができます。 システム別ポリシーは、次の 2 種類のシステム別条件を使用して割り当てることができます。 • システム ツリーの場所 - すべてのポリシー割り当てルールで、システム ツリーの場所を指定する必要がありま す。 • タグ - 適用したタグに従ってシステムにポリシーを割り当てます。 タグを定義してシステムに割り当てると、ポリシー割り当てるルールを作成して、そのタグを持つシステムにポリシ ーを割てることができます。この機能は、システム ツリーの場所に関係なく、特定のタイプのすべてのシステムに同 じセキュリティ ポリシーを割り当てる場合に有効です。 タグによるシステム別ポリシーの割り当て タグを使用すると、ポリシーの割り当てを簡単に自動化できます。 タグを条件として指定するシステム別ポリシーは、ユーザー別ポリシーと同じように機能します。このポリシーは、 [ポリシー割り当てビルダー] で定義した選択条件に従って割り当てられます。タグを設定できるシステムでは、その タグに従って特定のポリシーを適用することができます。 シナリオ: タグによる新しい SuperAgent の作成 環境内で新しい SuperAgent を作成するときに、SuperAgent を配備するシステムをシステム ツリーから手動で特 定する時間がないとします。[タグ ビルダー] で isSuperAgent という新しいタグを作成し、特定の条件を満たすす べてのシステムにタグを設定することができます。タグを作成すると、ポリシー割り当てルールを作成し、 isSuperAgent というタグが設定されたシステムに SuperAgent ポリシー設定を適用することができます。 タグを作成すると、[タグ カタログ] ページで [タグ条件の実行] アクションを実行できます。これにより、一定の間 隔で新しいタグを持つシステムに接続し、isSuperAgent ポリシー割り当てルールに従って新しいポリシーを割り当 てることができます。 ポリシー割り当てルールを作成する ポリシー割り当てルールを作成すると、設定したルールの条件に従ってユーザーまたはシステムにポリシーを施行で きます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 184 [ポリシー割り当てビルダー] を開きます。 a [メニュー] 、 [ポリシー] 、 [ポリシー割り当てルール] の順にクリックします。 b [新しい割り当てルール] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシー管理クエリを作成する 2 15 このポリシー割り当てルールの詳細を指定します。 • [名前] に固有の名前を入力し、[説明] に説明を入力します。 • [ルール タイプ] にルールの種類を入力します。指定したタイプによって、[選択条件] ページで使用できる条 件が決まります。 デフォルトでは、既存のルール数に従って新しいポリシー割り当てルールの優先度が順番に割り当てられます。ル ールの作成後、[ポリシー割り当てルール] ページで [優先度を編集] をクリックすると、優先度を編集できます。 3 [次へ] をクリックします。 4 [ポリシーの追加] をクリックして、このポリシー割り当てルールで施行するポリシーを選択します。 5 [次へ] をクリックします。 6 このルールで使用する条件を指定します。条件選択により、このポリシーに割り当てられるシステムまたはユー ザーが決まります。 7 サマリーを確認し、[保存] をクリックします。 ポリシー割り当てルールを管理する ポリシー割り当てルールの共通管理タスクを実行します。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー割り当てルール] の順にクリックします。実行するアクションを [アクシ ョン] メニューまたは [アクション] 列から選択します。 2 以下のいずれかのアクションを選択します。 アクション 手順 ポリシー割り当てル 選択した割り当ての行で [削除] をクリックします。 ールを削除 ポリシー割り当てル 選択した割り当てをクリックします。[ポリシー割り当てビルダー] ウィザードが開きま ールを編集 す。このウィザードの各ページでポリシー割り当てルールを修正します。 ポリシー割り当てル [エクスポート] をクリックします。ポリシー割り当てルールをダウンロード ページが開 ールをエクスポート き、ここで PolicyAssignmentRules.xml ファイルを表示またはダウンロードできます。 ポリシー割り当てル [インポート] をクリックします。[ポリシー割り当てルールをインポート] ダイアログ ールをインポート ボックスが開き、前にダウンロードした PolicyAssignmentRules.xml ファイルを参 照できます。プロンプトが表示され、インポートするファイルに追加するルールを選択す るように指示されます。インポートするルールを選択します。[ポリシー割り当てルー ル] リストにあるルールと同じ名前のルールがファイルに存在する場合、保持するルール を選択できます。 ポリシー割り当てル [優先度を編集] をクリックします。[優先度を編集] ページが開き、ドラッグアンドドロ ールの優先度を編集 ップ ハンドルを使用して、ポリシー割り当てルールの優先度を変更できます。 ポリシー割り当てル 選択した割り当ての行で [>] をクリックします。 ールのサマリーを表 示します。 ポリシー管理クエリを作成する 管理対象システムに割り当てられたポリシーや、システム階層で継承が無効になっているポリシーを取得します。 以下のいずれかのポリシー管理クエリを作成できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 185 15 ポリシーの管理 ポリシー管理クエリを作成する • [適用されたポリシー] - 指定した管理対象システムに割り当てられているポリシーを取得します。 • [無効にされた継承] - システム階層内で無効となっているポリシーの情報を取得します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[アクション] 、 [新規] の順にクリックし ます。 [クエリ ビルダー] ウィザードが開きます。 2 [結果タイプ] ページで、[機能グループ] リストから [ポリシーの管理] を選択します。 3 [結果タイプ] から次のいずれかを選択し、[次へ] をクリックすると、[グラフ] ページが開きます。 4 • [適用済みのクライアント タスク] • [適用されたポリシー] • [クライアント タスクの割り当てで無効な継承] • [ポリシー割り当てで無効な継承] クエリの最初の結果を表示するグラフまたはテーブルの種類を選択し、[次へ] をクリックします。 [列] ページが表示されます。 [ブール円グラフ] を選択した場合には、クエリに追加する条件も指定する必要があります。 5 クエリに含める列を選択し、[次へ] をクリックします。 [フィルター] ページが表示されます。 6 検索結果を絞り込むプロパティを選択し、[実行] をクリックします。 [未保存のクエリ] ページにクエリの結果が表示されます。 選択したプロパティがコンテンツ ペインに表示されます。コンテンツ ペインには、プロパティに返されるデータ を限定する条件を指定する演算子も表示されます。 7 8 [未保存のクエリ] ページで、表またはドリルダウン表の項目にアクションを実行します。 • クエリの結果が予想していたものと異なる場合は、[クエリを編集] をクリックして、[クエリ ビルダー] に戻 り、このクエリの詳細を編集します。 • クエリを保存する必要がない場合は、[閉じる] をクリックします。 • このクエリを再利用する場合には、[保存] をクリックして次のステップに進みます。 [クエリを保存] ページでクエリの名前を入力し、メモを追加して、次のいずれかを選択します。 • • 9 186 [新しいグループ] - 新しいグループ名を入力して次のいずれかを選択します。 • [個人用グループ (マイグループ)] • [公開グループ (共有グループ)] [既存のグループ] - [共有グループ] リストからグループを選択します。 [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシー情報を表示する 15 ポリシー情報を表示する ポリシーの所有者、割り当て、継承などの詳細情報を表示します。 タスク • 187 ページの「ポリシーが割り当てられているグループとシステムを表示する」 ポリシーが割り当てられているグループとシステムを表示します。このリストでは、割り当てられてい る場所は表示されますが、そのポリシーを継承しているグループまたはシステムは表示されません。 • 187 ページの「ポリシー設定を表示する」 製品カテゴリまたはシステムに割り当てられたポリシーの詳細を表示します。 • 188 ページの「ポリシー所有者を表示する」 ポリシーの所有者を表示します。 • 188 ページの「ポリシー施行が無効な割り当てを表示する」 ポリシー施行が無効になっている割り当てをポリシー カテゴリ別に表示します。 • 188 ページの「グループに割り当てられたポリシーを表示する」 システム ツリー グループに割り当てられたポリシーを製品別に表示します。 • 188 ページの「特定のシステムに割り当てられたポリシーを表示する」 システム ツリーのシステムに割り当てられた製品ポリシーを表示します。 • 189 ページの「グループのポリシー継承を表示する」 特定のグループのポリシー継承を表示します。 • 189 ページの「無効になっている継承を表示してリセットする」 ポリシーの継承が無効になっているグループとシステムを特定します。 • 189 ページの「ポリシーを比較する」 [ポリシーの比較] で類似したポリシーを比較します。これにより、設定の相違点を確認することができ ます。 ポリシーが割り当てられているグループとシステムを表示する ポリシーが割り当てられているグループとシステムを表示します。このリストでは、割り当てられている場所は表示 されますが、そのポリシーを継承しているグループまたはシステムは表示されません。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 2 名前付きポリシーの行の [割り当て] で、このポリシーが割り当てられているグループまたはシステム数を示すリ ンク ([6 個の割り当て] など) をクリックします。 [割り当て] ページで、ポリシーが割り当てられているグループまたはシステムに、グループまたはシステムのノ ード名とノード タイプが表示されます。 ポリシー設定を表示する 製品カテゴリまたはシステムに割り当てられたポリシーの詳細を表示します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 187 15 ポリシーの管理 ポリシー情報を表示する 2 ポリシーの横をクリックします。 ポリシー ページと設定が表示されます。 特定のグループに割り当てられたポリシーにアクセスするときに、この情報を表示することもできます。この情報 にアクセスするには、[メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリッ クし、選択したポリシーのリンクを [ポリシー] 列でクリックします。 ポリシー所有者を表示する ポリシーの所有者を表示します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 2 ポリシーの所有者が、[所有者] の下に表示されます。 ポリシー施行が無効な割り当てを表示する ポリシー施行が無効になっている割り当てをポリシー カテゴリ別に表示します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックして、製品とカテゴリを選択します。 選択したカテゴリに作成されているすべてのポリシーが詳細ペインに表示されます。 2 [製品施行ステータス] の横にある数字をクリックします。この数字は施行が無効になっている割り当て数を表し ます。 [<ポリシー名>の施行] ページが表示されます。 3 リストのアイテムをクリックすると、そのアイテムの [割り当てられているポリシー] ページが表示されます。 グループに割り当てられたポリシーを表示する システム ツリー グループに割り当てられたポリシーを製品別に表示します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックし、システム ツリ ーでグループを選択します。 割り当てられているポリシーが、製品ごとに詳細情報ペインに表示されます。 2 設定を表示するには各ポリシーをクリックします。 特定のシステムに割り当てられたポリシーを表示する システム ツリーのシステムに割り当てられた製品ポリシーを表示します。 オプションの定義の場合、インターフェースで [?] をクリックします。 188 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 ポリシー情報を表示する 15 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックし、システム ツリーでグループを 選択します。 選択したグループに属するすべてのシステムが詳細情報ペインに表示されます。 2 システムを選択し、[アクション] 、 [エージェント] 、 [単一システムのポリシーを変更] の順にクリックしま す。 3 製品を選択します。 このシステムに割り当てられている製品ポリシーが表示されます。 4 設定を表示するには各ポリシーをクリックします。 グループのポリシー継承を表示する 特定のグループのポリシー継承を表示します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックします。 割り当てられているポリシーが、製品ごとに詳細情報ペインに表示されます。 2 [継承元] のポリシーの行に、ポリシーが継承されるグループの名前が表示されます。 無効になっている継承を表示してリセットする ポリシーの継承が無効になっているグループとシステムを特定します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当てられたポリシー] の順にクリックします。 割り当てられているポリシーが、製品ごとに詳細情報ペインに表示されます。[無効にされた継承] のポリシー行 に、ポリシーの継承が無効になっているグループとシステムの数が表示されます。 この数は、ポリシーの継承が無効になっているグループまたはシステムの数です。ポリシーを継承していないシス テムの数ではありません。たとえば、1 つのグループでポリシーを継承していない場合は、グループに含まれるシ ステムの数にかかわらず、[1 は継承していません。] と表示されます。 2 継承が無効になっている下位レベルのグループまたはシステムの数を示すリンクをクリックします。 [壊れた継承を表示] ページが表示され、これらのグループおよびシステムの名前が表示されます。 3 これらのグループまたはシステムの継承をリセットするには、ノード名の横のチェックボックスを選択して、[ア クション] をクリックして、[継承をリセット] を選択します。 ポリシーを比較する [ポリシーの比較] で類似したポリシーを比較します。これにより、設定の相違点を確認することができます。 [ポリシーの比較] ページには、製品固有の値と変数が表示されます。表にないオプションの定義については、比較す るポリシーを提供する製品のマニュアルを参照してください。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 189 15 ポリシーの管理 McAfee ePO サーバー間でポリシーを共有する タスク 1 [メニュー] 、 [ポリシーの比較] の順にクリックし、リストから製品、カテゴリ、表示設定を選択します。 この設定では、比較するポリシーが [ポリシー 1] リストと [ポリシー 2] リストに表示されます。 2 [ポリシー 1] 列リストと [ポリシー 2] 列リストの [ポリシーの比較] 行で、比較するポリシーを選択します。 表の上 2 行に、異なる設定の数と一致する設定の数が表示されます。[表示] の設定を [すべてのポリシーの設 定] から [ポリシーの相違] または [ポリシーの一致] に変更すると、表示するデータを減らすことができます。 3 [印刷] をクリックします。この比較結果が印刷用の形式で表示されます。 McAfee ePO サーバー間でポリシーを共有する ポリシーを共有すると、管理者はサーバー上に配備されているポリシーを他のサーバーに転送するよう指定できます。 サーバー間でポリシーを共有するには、3 つの手順を実行する必要があります。 1 共有するポリシーの指定 2 ポリシーを共有するサーバーの登録 3 共有したポリシーを配備するサーバー タスクのスケジュール設定 複数の McAfee ePO サーバーにポリシーを配布する 複数の McAfee ePO サーバーで使用できるようにポリシー共有を設定します。これらのタスクは、ここに記載する 順序に従って実行することをお勧めします。 共有後にポリシーを変更する必要がある場合は、ポリシーを編集し、共有ポリシー タスクを再度実行します。変更す る場合は、ローカルの管理者に通知することをお勧めします。 タスク • 190 ページの「ポリシーを共有するサーバーを登録する」 ポリシーを共有するサーバーを登録します。 • 191 ページの「共有するポリシーを指定する」 複数の McAfee ePO サーバーで共有するポリシーを指定できます。 • 191 ページの「ポリシー共有のサーバー タスクのスケジュールを設定する」 複数の McAfee ePO サーバーでポリシーを共有するためにサーバー タスクのスケジュールを設定でき ます。 ポリシーを共有するサーバーを登録する ポリシーを共有するサーバーを登録します。 オプションの定義の場合、インターフェースで [?] をクリックします。 190 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポリシーの管理 複数の McAfee ePO サーバーにポリシーを配布する 15 タスク 1 [メニュー] 、 [設定] 、 [登録済みのサーバー] の順にクリックし、[新しいサーバー] をクリックします。[説 明] ページに [登録済みのサーバー ビルダー] ウィザードが開きます。 2 [サーバー タイプ] メニューから、[ePO] を選択し、名前と説明を入力して、[次へ] をクリックします。[詳細] ページが表示されます。 3 サーバーの詳細を指定して、[ポリシー共有] フィールドで [有効] をクリックし、[保存] をクリックします。 共有するポリシーを指定する 複数の McAfee ePO サーバーで共有するポリシーを指定できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順にクリックし、[製品] メニューをクリックし、共有する ポリシーの製品を選択します。 2 共有するポリシーの [アクション] 列で、[共有] をクリックします。 共有ポリシーは、ポリシー共有が有効になっている McAfee ePO サーバーに自動的にプッシュされます。手順 2 で [共有] をクリックすると、ポリシー共有が有効になっているすべての登録済み McAfee ePO サーバーにポリシーが すぐにプッシュされます。共有ポリシーに対する変更も同様にプッシュされます。 ポリシー共有のサーバー タスクのスケジュールを設定する 複数の McAfee ePO サーバーでポリシーを共有するためにサーバー タスクのスケジュールを設定できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。[サーバー タスク ビルダー] ウィザードが開きます。 2 [説明] ページで、タスクの名前と説明を入力し、[次へ] をクリックします。[アクション] ページが表示されま す。 デフォルトでは、新規のサーバー タスクは有効になっています。このタスクを有効化しない場合は、[スケジュー ル ステータス] フィールドで [無効] を選択します。 3 [アクション] ドロップダウン メニューから、[ポリシーを共有] を選択し、[次へ] をクリックします。[スケジュ ール] ページが表示されます。 4 このタスクのスケジュールを指定し、[次へ] をクリックします。[サマリー] ページが開きます。 5 サマリーの詳細を確認し、[保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 191 15 ポリシーの管理 複数の McAfee ePO サーバーにポリシーを配布する 192 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 16 クライアント タスク ネットワーク内のシステムを自動的に管理するクライアント タスクを作成し、スケジュールを設定します。 McAfee ePO サーバーにインストールされた拡張ファイルによって、使用可能なクライアント タスクが異なります。 クライアント タスクは次の操作で使用されます。 • 製品の配備 • 製品機能の実行 (たとえば、VirusScan Enterprise オンデマンド スキャン タスク) • アップグレードと更新 使用可能なクライアント タスクの詳細については、管理対象製品の製品マニュアルを参照してください。 目次 クライアント タスク カタログの機能 配備タスク 製品配備タスクを使用して管理対象システムに製品を配備する 更新タスク クライアント タスクを管理する クライアント タスク カタログの機能 クライアント タスク カタログを使用して、ネットワーク内のシステムを管理するクライアント タスク オブジェクト を作成します。 クライアント タスク カタログは、ePolicy Orchestrator クライアント タスクに論理オブジェクトの概念を適用し ています。クライアント タスク オブジェクトは様々な目的で作成できます。すぐに割り当てる必要はありません。 クライアント タスクの割り当てやスケジュールを設定するときに、これらのオブジェクトは再使用可能なコンポーネ ントとして使用できます。 クライアント タスクはシステム ツリーの任意のレベルに割り当て、その下位レベルにあるグループとシステムで継 承できます。ポリシーとポリシー割り当てのように、割り当てたクライアント タスクの継承は無効にできます。 クライアント タスク オブジェクトは、環境内にある他の登録済み McAfee ePO サーバーで共有できます。クライア ント タスク オブジェクトを共有に設定した場合、クライアント タスクの共有サーバー タスクを実行すると、登録済 みサーバーにタスクのコピーが受信されます。タスクに対する変更はサーバー タスクの実行時に更新されます。ク ライアント タスク オブジェクトを共有した場合、オブジェクトの設定を変更できるのはオブジェクトの所有者だけ です。 ターゲット サーバーで共有タスクを受信する管理者は、この共有タスクの所有者になれません。ターゲット サーバー 上のユーザーも、ターゲットが受信する共有タスク オブジェクトの所有者になれません。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 193 16 クライアント タスク 配備タスク 配備タスク 配備タスクは、マスター リポジトリから管理対象のセキュリティ製品を管理対象システムに配備するタスクです。 クライアント タスク カタログを使用すると、配備タスク オブジェクトを個別に作成し、管理できます。これらのオ ブジェクトは、グループまたは個々のシステムに割り当て実行することができます。あるいは、製品配備プロジェク トを作成して、システムに製品を配備することもできます。製品配備プロジェクトは、クライアント タスク オブジ ェクトの作成とスケジュールの設定を自動的に行います。また、管理機能も自動化することができます。 重要な考慮事項 製品配備の方法を検討する場合には、次の点に注意してください。 • パッケージのサイズ、マスター リポジトリと管理対象システム間で使用可能な帯域幅を考慮する。McAfee ePO サーバーまたはネットワークに多大な負荷がかかる上に、製品を配備するシステムの数が多すぎるためにトラブ ルシューティングがより複雑になる場合があります。 • システムのグループに製品を一度にインストールする場合は、段階的な実施を検討する。ネットワークのリンク 速度が速い場合は、一度に数百台のクライアントへの配備を試してみてください。ネットワーク接続が遅い場合 や信頼性が低い場合は、より小規模なグループでの配備を行ってください。各グループへの配備を行う際には、 配備の監視やレポートの実行によるインストール状況の確認を行い、個々のシステムごとに問題を解決してくだ さい。 選択したシステムへの製品配備 管理対象システムのサブセット上でインストールした McAfee 製品またはコンポーネントを配置する場合は、以下を 実行します。 1 タグを使用してこれらのシステムを特定します。 2 タグ付けされたシステムをグループに移動します。 3 グループの製品配備クライアント タスクを設定します。 製品パッケージと更新パッケージの配備 ePolicy Orchestrator の配備インフラでは、製品およびコンポーネントの配備および更新をサポートしています。 ePolicy Orchestrator で配備可能な製品は、製品配備パッケージの zip ファイルの形で提供されます。ZIP ファイ ルには、安全な形式で圧縮された、製品のインストール ファイルが含まれています。ePolicy Orchestrator を一度 マスター リポジトリにチェックインすると、すべての管理対象のシステムにパッケージを配備することができます。 検出定義ファイル (DAT) およびエンジンの更新パッケージでも同様にこれらの ZIP ファイルが使用されます。 配備前、または配備後に製品ポリシーの設定を行うことができます。製品をネットワーク システムに配備する前にポ リシーを設定することをお勧めします。これにより、時間を節約し、システムに対して必要な保護をすぐに実行でき ます。 これらのパッケージ タイプは、プル タスクまたは手動によりマスター リポジトリにチェックインできます。 194 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クライアント タスク 配備タスク 16 サポートされているパッケージの種類 パッケージの種類 説明 SuperDAT (SDAT.exe) ファイル SuperDAT ファイルには、DAT およびエンジン McAfee Web サイト。SuperDAT フ ファイルが 1 つの更新パッケージとして含まれ ァイルをダウンロードし、手動でマスタ ています。帯域幅が不十分な場合は、DAT とエ ー リポジトリへチェックインします。 ンジンの更新ファイルを個別にダウンロードす ることをお勧めします。 ファイル タイ プ:SDAT.exe 補足的な検出定義 (ExtraDAT) ファイル ファイル タイ プ:ExtraDAT 製品配備および更新パ ッケージ ファイル タイプ:zip エージェント言語パッ ケージ ファイル タイプ:zip ExtraDAT ファイルは、前回の DAT ファイルが 配布された後に出現した 1 つまたは数種類の脅 威に対応するものです。重要度が高い脅威の場 合、次の DAT の配布を待たず、すぐに ExtraDAT が配布されます。ExtraDAT ファイルは McAfee Web サイトから入手できます。このフ ァイルは、ePolicy Orchestrator を介して再配 布できます。プル タスクで ExtraDAT ファイル を取得することはできません。 配布場所 McAfee Web サイト。補足的な DAT ファイルをダウンロードし、手動でマス ター リポジトリへチェックインしま す。 製品配備パッケージには、McAfee 製品のインス 製品 CD または製品のダウンロード用 トール ソフトウェアが含まれています。 ZIP ファイル。製品配備パッケージを 手動でマスター リポジトリへチェック インします。特定の場所については、製 品のマニュアルを参照してください。 エージェント言語パッケージには、エージェント マスター リポジトリ - インストール の画面表示で各地域の言語を使用するために必 時にチェックインされます。今後のエ 要なファイルが含まれます。 ージェントのバージョンについては、エ ージェントの言語パッケージを手動で マスター リポジトリへチェックインす る必要があります。 パッケージの署名とセキュリティ McAfee が作成および配布したすべてのパッケージは、DSA (Digital Signature Algorithm) 署名確認システムを使 用したキーのペアで署名され、168 ビット 3DES 暗号化を使用して暗号化されています。キーは機密データの暗号 化または復号化に使用されます。 McAfee の署名がないパッケージをチェックインしようとすると、通知されます。パッケージの内容と有効性が信頼 できる場合は、チェックインを続行してください。これらのパッケージは上記の方法で保護されますが、チェックイ ン時に ePolicy Orchestrator によって署名されます。 デジタル署名を使用すると、パッケージが McAfee 製品か、またはユーザーがチェックインしたものであり、不正な 変更や破損のないことが保証されます。エージェントは、McAfee および ePolicy Orchestrator の署名があるファ イルのみを信頼できるファイルと判断します。これにより、未署名または信頼できないソースからのパッケージを受 信しないように、ネットワークを保護できます。 パッケージの順番と依存関係 製品の更新が別の更新に依存している場合、更新パッケージを必要な順番でマスター リポジトリにチェックインする 必要があります。たとえば、パッチ 2 にパッチ 1 が必要な場合、パッチ 2 の前にパッチ 1 をチェックインしてくだ さい。チェックインした後にパッケージの順番を変えることはできません。この場合はパッケージを削除して、再度 正しい順番でチェックインしてください。既存のパッケージの後継となるパッケージをチェックインすると、自動的 に既存のパッケージが削除されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 195 16 クライアント タスク 配備タスク 製品および更新の配備 McAfee ePO のリポジトリ インフラを使用すると、製品と更新パッケージの配備を中央から行うことができます。 いずれの場合も同一のリポジトリを使用しますが、次の点が異なります。 製品配備と更新パッケージ 製品配備パッケージ 更新パッケージ 手動でマスター リポジトリにチェックインす DAT とエンジンの更新パッケージは、プル タスクを使用してソー る必要があります。 ス サイトから自動的に行われます。その他の更新パッケージは、手 動でマスター リポジトリにチェックインする必要があります。 マスター リポジトリに複製され、配備タスク マスター リポジトリに複製され、グローバル アップデートの際に で管理対象のシステムに自動的にインストー 管理対象のシステムに自動的にインストールされます。 ルされます。 製品の配備をグローバル アップデートで行わ 製品の更新をグローバル アップデートで行わない場合は、管理対象 ない場合は、管理対象のシステムで配備タスク のシステムで更新クライアント タスクを設定し、パッケージを取得 を設定し、パッケージを取得する必要がありま する必要があります。 す。 製品の配備および更新のプロセス DAT とエンジンの更新パッケージの配備のプロセスは、次のとおりです。 1 手動で、またはプル タスクを使用して、更新パッケージをマスター リポジトリにチェックインします。 2 以下のいずれかの操作を実行します。 • グローバル アップデートを行う場合には、ネットワーク上のラップトップ システムに更新タスクを作成し、 スケジュールを設定します。 • グローバル アップデートを使用しない場合には、次の操作を行います。 1 複製タスクを使用して、マスター リポジトリのコンテンツをコピーします。 2 エージェントの更新タスクを作成してスケジュールを設定し、更新を取得して管理対象システムにインス トールします。 製品と更新の配備を初めて設定する場合 製品と更新の配備を正常に完了するために、以下のプロセスを実行してください。 初めて製品を配備する場合: 1 リポジトリ プルとリポジトリ複製のサーバー タスクを設定します。 2 ソフトウェア マネージャーで製品パッケージと更新パッケージをマスター リポジトリにチェックインします。 3 製品配備と更新のクライアント タスクを設定します。 配備タグ 配備タグを作成すると、指定したタスク名のタグが自動的に作成され、タグが施行されるシステムに適用されます。 配備タスクを作成し、システムに施行するたびに、これらのタグが [タグ カタログ] ページの [配備タグ] グループ に追加されます。このグループは読み取り専用です。このグループのタグは、手動で適用、変更、削除できません。 また、システムのフィルタリング条件に使用することもできません。 196 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クライアント タスク 製品配備タスクを使用して管理対象システムに製品を配備する 16 製品配備タスクを使用して管理対象システムに製品を配備する 製品配備クライアント タスクを使用して、管理対象システムに製品を配備します。 このタスクは、単一システムまたはシステム ツリーのグループに作成できます。 タスク • 197 ページの「管理対象システムのグループに対する配備タスクを設定する」 システム ツリーの管理対象システムのグループに製品を配備する製品配備タスクを設定します。 • 198 ページの「管理対象システムに製品をインストールする配備タスクを設定する」 製品配備タスクを使用して、1 つのシステムに製品を配備します。 管理対象システムのグループに対する配備タスクを設定する システム ツリーの管理対象システムのグループに製品を配備する製品配備タスクを設定します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいタスク] ダイアログ ボックスを開きます。 a [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックします。 b [クライアント タスクの種類] で、[McAfee Agent] 、 [製品の配備] の順に選択します。 c [新しいタスク] をクリックします。 2 [製品の配備] が選択されていることを確認し、[OK] をクリックします。 3 作成するタスクの名前を入力して、メモを追加します。 4 [対象プラットフォーム] で、この配備を使用するプラットフォームの種類を選択します。 5 [製品とコンポーネント] で以下の設定を行います。 • 最初のドロップダウン リストから製品を選択します。リストには、マスター リポジトリにチェックインされ ている製品が表示されます。配備する製品がこのリストに表示されていない場合、最初にその製品のパッケー ジをチェックインする必要があります。 • [アクション] に [インストール] を設定し、パッケージの言語とブランチを選択します。 • コマンドライン インストール オプションを指定する場合は、[コマンド ライン] テキスト フィールドにオプ ションを入力します。インストールしている製品のコマンドライン オプションの詳細については、製品のマ ニュアルを参照してください。 [+] または [–] をクリックすると、表示されたリストから製品およびコンポーネントを追加または削除できます。 6 [オプション] で、各ポリシー プロセスでこのタスクを実行するかどうかを選択します (Windows のみ)。[保 存] をクリックします。 7 [メニュー] 、 [システム] 、 [システム ツリー] 、 [割り当て済みのクライアント タスク] の順にクリックし、シ ステム ツリーのグループを選択します。 8 [プリセット]フィールドで [製品の配備 (McAfee Agent)] を選択します。 選択したカテゴリごとに割り当てられているポリシーが詳細情報ペインに表示されます。 9 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックします。 10 [タスクの選択] ページの [製品] で [McAfee Agent] を選択し、[タスクの種類] で [製品の配備] を選択します。 製品配備用に作成したタスクを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 197 16 クライアント タスク 製品配備タスクを使用して管理対象システムに製品を配備する 11 [タグ] で、パッケージを配備するプラットフォームを選択して [次へ] をクリックします。 • [ このタスクをすべてのコンピューターに送信] • [このタスクを以下の条件を満たすコンピューターにのみ送信] - 設定する条件の横にある [編集] をクリッ クして、タグ グループを選択し、条件に使用するタグを選択して [OK] をクリックします。 リストに特定のタグのみを表示するには、[タグ] の下にあるテキスト ボックスにタグの名前を入力します。 12 [スケジュール] ページでスケジュールが有効かどうか確認し、スケジュールの詳細を指定して [次へ] をクリック します。 13 サマリーを確認し、[保存] をクリックします。 管理対象システムに製品をインストールする配備タスクを設定する 製品配備タスクを使用して、1 つのシステムに製品を配備します。 選択したシステムに次の項目が必要な場合、製品配備クライアント タスクを作成します。 • 同一グループ内の他のシステムには必要でないインストール済み製品 • グループ内の他のシステムとは異なるスケジュール。たとえば、システムが異なるタイムゾーンにある場合。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいタスク] ダイアログ ボックスを開きます。 a [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックします。 b [クライアント タスクの種類] で、[McAfee Agent] 、 [製品の配備] の順に選択します。 c [新しいタスク] をクリックします。 2 [製品の配備] が選択されていることを確認し、[OK] をクリックします。 3 作成するタスクの名前を入力して、メモを追加します。 4 [対象プラットフォーム] で、この配備を使用するプラットフォームの種類を選択します。 5 [製品とコンポーネント] で以下の設定を行います。 • 最初のドロップダウン リストから製品を選択します。表示されている製品は、パッケージがマスター リポジ トリにすでにチェックインされている製品です。配備する製品がこのリストに表示されていない場合、最初に その製品のパッケージをチェックインする必要があります。 • [アクション] に [インストール] を設定し、パッケージの言語とブランチを選択します。 • コマンドライン インストール オプションを指定する場合は、[コマンド ライン] テキスト フィールドにコマ ンドライン オプションを入力します。インストールしている製品のコマンドライン オプションの詳細につい ては、製品のマニュアルを参照してください。 [+] または [–] をクリックすると、表示されたリストから製品およびコンポーネントを追加または削除できます。 198 6 [オプション] で、各ポリシー施行プロセスでこのタスクを実行するかどうかを選択します (Windows のみ)。[保 存] をクリックします。 7 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックして、製品を配備するシステムを 選択し、[アクション] 、 [エージェント] 、 [単一システムでのタスクの変更] の順にクリックします。 8 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クライアント タスク 更新タスク 9 16 [タスクの選択] ページの [製品] で [McAfee Agent] を選択し、[タスクの種類] で [製品の配備] を選択します。 製品配備用に作成したタスクを選択します。 10 [タグ] で、パッケージを配備するプラットフォームを選択して [次へ] をクリックします。 • [ このタスクをすべてのコンピューターに送信] • [このタスクを以下の条件を満たすコンピューターにのみ送信] - 設定する条件の横にある [編集] をクリッ クして、タグ グループを選択し、条件に使用するタグを選択して [OK] をクリックします。 リストに特定のタグのみを表示するには、[タグ] の下にあるテキスト ボックスにタグの名前を入力します。 11 スケジュール ページでスケジュールが有効かどうか確認し、スケジュールの詳細を指定して [次へ] をクリック します。 12 サマリーを確認し、[保存] をクリックします。 更新タスク グローバル アップデートを行わない場合には、管理対象システムのエージェントが更新を取得する条件を設定しま す。 更新クライアント タスクを作成および設定して、管理対象のシステムが更新パッケージを取得する時間を管理できま す。グローバル アップデートを使用しない場合、ePolicy Orchestrator を使用してクライアントの更新を制御する 唯一の方法は、これらのタスクを作成することです。 グローバル アップデートを使用する場合、このタスクは必要ありませんが、冗長性確保のために日単位のタスクを作 成することもできます。 更新クライアント タスク作成時の考慮事項 クライアント更新タスクのスケジュールを設定する場合には、次の点に注意してください。 • システム ツリーの最上位レベルに毎日実行する更新クライアント タスクを作成してください。これにより、この タスクがすべてのシステムに継承されます。大規模な組織では、実行間隔をランダムに設定すると、帯域幅への 影響を軽減することができます。タイムゾーンの異なるオフィスが存在する大規模なネットワークでは、すべて のシステムに対して同じ時間に実行するのではなく、管理対象システムのローカル システム時間でタスクを実行 すると、ネットワークの負荷を分散することができます。 • 複製タスクのスケジュールを設定している場合には、複製タスクが完了して 1 時間以上経過してからタスクが実 行されるように設定してください。 • DAT とエンジンの更新タスクは、1 日に 1 回は実行してください。管理対象システムがネットワークからログオ フし、スケジュール タスクが実行されない場合があります。これらのシステムが更新を受信できるように、この タスクを頻繁に実行してください。 • スケジュールを設定したクライアント更新タスクを複数作成し、コンポーネントごとに異なる時間に実行して、 帯域幅を効率的に使用してください。たとえば、DAT ファイルのみを更新するタスクを作成し、他に DAT ファ イルとエンジン ファイルの両方を毎週または毎月更新するタスクを作成した場合、エンジン ファイルのパッケー ジを取得する頻度は DAT ファイルよりも低くなります。 • Windows 用エージェントを使用しない製品では、追加の更新タスクを作成してスケジュールを設定してくださ い。 • すべての更新を確実に取得するように、主要なワークステーション アプリケーションで更新タスクを作成してく ださい。1 日に 1 回または数回実行するようにスケジュールを設定します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 199 16 クライアント タスク 更新タスク 更新タスクのスケジュールを設定して管理対象システムを定期的に更新する 更新タスクを作成して設定します。グローバル アップデートを使用する場合には、毎日実行する更新クライアント タスクを作成し、システムで最新の DAT ファイルとエンジン ファイルが使用されるようにしてください。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [新しいタスク] ダイアログ ボックスを開きます。 a [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックします。 b [クライアント タスクの種類] で、[McAfee Agent] 、 [製品の配備] の順に選択します。 c [新しいタスク] をクリックします。 2 [製品の更新] を選択して、[OK] をクリックします。 3 作成するタスクの名前を入力して、メモを追加します。 4 [更新進行中] ダイアログ ボックスの隣で、ユーザーに更新を通知するか、プロセスの延期をユーザーに許可する かどうかを選択します。 5 [パッケージ タイプ] の隣で次のいずれかを選択し、[保存] をクリックします。 • [すべてのパッケージ] • [選択されたパッケージ] - これを選択する場合は、次のうちいずれかを設定する必要があります。 • [シグネチャとエンジン] 個々のシグネチャとエンジンを設定する場合に、新しいエンジンが更新されるときに [エンジン] を選択し て [DAT] の選択を解除している場合は、新しい DAT は自動更新され、保護が維持されます。 • [パッチとサービス パック] 6 [メニュー] 、 [システム] 、 [システム ツリー] 、 [システム] の順にクリックして、製品の更新を配備するシス テムを選択し、[アクション] 、 [エージェント] 、 [単一システムでのタスクの変更] の順にクリックします。 7 [アクション] 、 [新しいクライアント タスクの割り当て] の順にクリックします。 8 タスクの選択 ページで、次の項目を選択します。 オプション 選択 [製品] [McAfee Agent] [タスクの種類] [製品の配備] 作成したタスクを製品更新の配備用に選択します。 9 [タグ] で、パッケージを配備するプラットフォームを選択して [次へ] をクリックします。 • [ このタスクをすべてのコンピューターに送信] • [このタスクを以下の条件を満たすコンピューターにのみ送信] - 設定する条件の横にある [編集] をクリッ クして、タグ グループを選択し、条件に使用するタグを選択して [OK] をクリックします。 リストに特定のタグのみを表示するには、[タグ] の下にあるテキスト ボックスにタグの名前を入力します。 10 [スケジュール] ページでスケジュールが有効かどうか確認し、スケジュールの詳細を指定して [次へ] をクリック します。 11 サマリーを確認し、[保存] をクリックします。 200 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クライアント タスク クライアント タスクを管理する 16 タスクが適用されたグループまたはシステムのクライアント タスクのリストにタスクが追加されます。エージェン トは、サーバーと次に通信するときに新しい更新タスクの情報を取得します。タスクが有効であれば、更新タスクは、 スケジュールが設定された日時に実行されます。 クライアントのエージェントに設定されたポリシーに応じて、適切なリポジトリから各システムの更新が行われます。 クライアントが最新 DAT ファイルを使用しているかどうか確認する クエリを使用して、管理対象システムで使用されている DAT ファイルのバージョンを確認します。 • [メニュー] 、 [レポート] 、 [クエリ] の順にクリックして、[クエリ] リストで [VSE: DAT 配備] を選択し、[ア クション]、[実行] の順にクリックします。 このクエリの詳細については、VirusScan Enterprise のマニュアルを参照してください。 配布前に DAT とエンジンを評価する DAT ファイルとエンジン ファイルの更新を組織全体に配備する前に、少数のシステムでテストすることができます。 更新パッケージは、マスター リポジトリの評価バージョン ブランチでテストできます。 ePolicy Orchestrator には、3 つのリポジトリ ブランチがあります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 マスター リポジトリの評価バージョン ブランチに更新パッケージをコピーするスケジュール複製プル タスクを 作成します。弊社の DAT ファイルのリリース後に実行されるようにスケジュールを設定します。 2 システム ツリーで評価バージョン グループにするシステムを選択または作成し、評価バージョン ブランチのみ を使用するシステムに McAfee Agent ポリシーを作成します (更新 タブの [リポジトリ ブランチの更新の選択] セクション)。 ポリシーは McAfee Agent がサーバーと次に通信するときに施行されます。エージェントは、次回更新するとき に、評価バージョン ブランチから更新を取得します。 3 評価バージョン システムに対してスケジュールを設定した更新クライアント タスクを作成して、リポジトリの評 価バージョン ブランチのみから DAT ファイルとエンジン ファイルを更新します。リポジトリの複製プル タス クの開始から 1 時間または 2 時間後に実行されるようにスケジュールを設定します。 評価バージョン グループ レベルで評価バージョンの更新タスクを作成すると、タスクはこのグループのみに実行 されます。 4 正常に動作するまで評価バージョン グループでシステムを監視します。 5 評価バージョン ブランチから、マスター リポジトリの最新バージョン ブランチにパッケージを移動します。[メ ニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリックし、[マスター リポジトリ] ページを開き ます。 最新バージョン ブランチに追加すると、実稼働環境で使用できるようになります。更新クライアント タスクが次 に最新バージョン ブランチからパッケージを取得すると、新しい DAT およびエンジン ファイルがシステムに配 布されます。 クライアント タスクを管理する クライアント タスクを作成して保守します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 201 16 クライアント タスク クライアント タスクを管理する タスク • 202 ページの「クライアント タスクを作成する」 クライアント タスクを使用して、製品ソフトウェアの配備や製品の更新などを自動的に実行します。こ のプロセスはどのクライアント タスクでもほとんど同じです。 • 202 ページの「クライアント タスクを編集する」 以前に設定したクライアント タスクの設定やスケジュール情報を編集できます。 • 203 ページの「クライアント タスクを削除する」 以前に設定したクライアント タスクを削除できます。 • 203 ページの「クライアント タスクを比較する」 クライアント タスクの比較ツールでは、類似したクライアント タスクを比較できます。これにより、設 定の相違点を確認することができます。 クライアント タスクを作成する クライアント タスクを使用して、製品ソフトウェアの配備や製品の更新などを自動的に実行します。このプロセスは どのクライアント タスクでもほとんど同じです。 クライアント タスクの割り当てを新規に作成して、クライアント タスクとシステム ツリー グループの関連付けが必 要になる場合があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 2 [新しいタスク] ダイアログ ボックスを開きます。 a [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックします。 b [クライアント タスクの種類] で、[McAfee Agent] 、 [製品の配備] の順に選択します。 c [新しいタスク] をクリックします。 リストからタスクの種類を選択して [OK] をクリックします。[クライアント タスク ビルダー] ウィザードが開 きます。 たとえば、[製品の更新] を選択します。 3 作成するタスクの名前を入力して説明を追加します。作成するタスクの種類に固有の設定を行います。 選択したタスクの種類によって設定オプションが変わります。 4 タスクの設定を確認し、[保存] をクリックします。 選択した種類のタスク リストにクライアント タスクが追加されます。 クライアント タスクを編集する 以前に設定したクライアント タスクの設定やスケジュール情報を編集できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 202 1 [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックします。[クライアント タスク カ タログ] ダイアログ ボックスが表示されます。 2 左側のナビゲーション ツリーでクライアント タスクの種類を選択します。使用可能なクライアント タスクが右 側のウィンドウに表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クライアント タスク クライアント タスクを管理する 16 3 クライアント タスク名をダブルクリックします。この名前が [クライアント タスク カタログ] ダイアログ ボッ クスが表示されます。 4 必要に応じてタスクの設定を編集し、[保存] をクリックします。 管理対象システムは、次回エージェントがサーバーと通信したときにこの変更を受信します。 クライアント タスクを削除する 以前に設定したクライアント タスクを削除できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックします。[クライアント タスク カ タログ] ダイアログ ボックスが表示されます。 2 左側のナビゲーション ツリーでクライアント タスクの種類を選択します。使用可能なクライアント タスクが右 側のウィンドウに表示されます。 3 [アクション] 列で、クライアント タスクの横にある [削除] をクリックします。 4 [OK] をクリックします。 クライアント タスクを比較する クライアント タスクの比較ツールでは、類似したクライアント タスクを比較できます。これにより、設定の相違点 を確認することができます。 このページには、製品固有の値と変数が表示されます。表にないオプションの定義については、比較するクライアン ト タスクの製品に付属の製品マニュアルを参照してください。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [クライアント タスクの比較] の順にクリックし、[製品]、[クライアント タスクの種類] の順に選 択して、リストから [表示] を選択します。 これらの設定では、比較するクライアント タスクが [クライアント タスク 1] リストと [クライアント タスク 2] リストに表示されます。 2 [クライアント タスク 1] 列リストと [クライアント タスク 2] 列リストの [クライアント タスクの比較] 行で、 比較するクライアント タスクを選択します。 表の上 2 行に、異なる設定の数と一致する設定の数が表示されます。[表示] の設定を [すべてのクライアント タ スクの設定] から [クライアント タスクの相違] または [クライアント タスクの一致] に変更すると、表示するデ ータを減らすことができます。 3 [印刷] をクリックします。この比較結果が印刷用の形式で表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 203 16 クライアント タスク クライアント タスクを管理する 204 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 17 サーバー タスク サーバー タスクには、McAfee ePO サーバー上で実行するアクションを設定できます。このアクションはスケジュ ールに従って実行されます。サーバー タスクを使用すると、サーバー上で繰り返し実行するサーバー タスクの自動 化を行うことができます。 ePolicy Orchestrator には、サーバー タスクとアクションが事前に設定されています。McAfee ePO サーバーの管 理対象に追加する大半のソフトウェア製品にもサーバー タスクが事前に設定されています。 目次 グローバル アップデート グローバル アップデートで更新パッケージを自動的に配備する プル タスク 複製タスク リポジトリ選択 サーバー タスクのスケジュール設定時に許可される cron 構文 サーバー タスク ログでサーバー タスク情報を表示する Product Improvement Program を設定する McAfeeProduct Improvement Program を削除する グローバル アップデート グローバル アップデートを使用することにより、分散リポジトリに更新を自動的にコピーしたり、システムの更新を 自動化することができます。複製タスクと更新タスクが不要になります。グローバル アップデートは、コンテンツを マスター リポジトリにチェックインすると開始します。ほとんどの環境では、1 時間以内にすべてのプロセスが完了 します。 グローバル アップデートを実行するパッケージと更新を指定することもできます。ただし、グローバル アップデー トを特定のコンテンツのみで実行する場合、グローバル アップデートを実行しないコンテンツの複製タスクを必ず作 成してください。 グローバル アップデートを実行する場合、マスター リポジトリの更新を定期的に行うプル タスクは、ネットワークの トラフィックが最も少なくなる時間に実行されるようにスケジュールを設定してください。グローバル アップデート は他の方法の更新より非常に高速ですが、更新中はネットワークのトラフィックが増加します。 グローバル アップデート 1 コンテンツがマスター リポジトリにチェックインされます。 2 サーバーが、すべての分散リポジトリに対して差分複製を実行します。 3 サーバーが、環境内のすべての SuperAgent に SuperAgent ウェークアップ コールを送信します。 4 SuperAgent が、SuperAgent サブネット内のすべてのエージェントにグローバル アップデート メッセージを 送信します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 205 17 サーバー タスク グローバル アップデートで更新パッケージを自動的に配備する 5 ブロードキャストを受信すると、エージェントに更新が必要な最小のカタログ バージョンが供給されます。 6 エージェントが、この最小カタログ バージョンを持つサイトの分散リポジトリを検索します。 7 該当するリポジトリが検出されると、エージェントが更新タスクを実行します。 クライアント コンピューターが起動していない場合や SuperAgent がない場合など、エージェントが何らかの理由 でブロードキャストを受信しない場合は、次回の ASCI で最小カタログ バージョンが提供され、プロセスが開始し ます。 エージェントが SuperAgent から通知を受信すると、更新されたパッケージのリストが提供されます。エージェント が次回の ASCI で新しいカタログ バージョンを検出すると、更新するパッケージのリストは提供されず、すべての使 用可能なパッケージが更新されます。 要件 グローバル アップデートを実装する場合は、次の要件を満たす必要があります。 • SuperAgent が、受信するウェークアップ コールと同じエージェント/サーバー間セキュア通信 (ASSC) を使用 していること。 • SuperAgent が各ブロードキャスト セグメントにインストールされていること。SuperAgent が同一のブロー ドキャスト セグメントに存在しない場合、システムは SuperAgent ウェークアップ コールを受信できません。 グローバル アップデートでは、SuperAgent ウェークアップ コールを使用して、新しい更新が入手可能である ことをエージェントに通知します。 • 環境内で分散リポジトリが設定されていること。McAfee では、SuperAgent リポジトリを推奨しますが、必須 ではありません。グローバル アップデートは、すべての種類の分散リポジトリで使用できます。 • SuperAgent リポジトリを使用する場合は、更新を取得するリポジトリがシステムからアクセス可能である必要 があります。SuperAgent を使用する場合は、システムの各ブロードキャスト セグメントがウェークアップ コ ールを受信する必要がありますが、SuperAgent リポジトリを使用する場合は、各ブロードキャスト セグメント で受信する必要はありません。 グローバル アップデートで更新パッケージを自動的に配備する サーバーでグローバル アップデートを有効にすると、ユーザーが指定した更新パッケージを管理対象システムに自動 的に配備することができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[グローバル アップデート] を選択し、ページ下部 の [編集] を選択します。 2 [グローバル アップデートの編集] ページで、[状態] の横にある [有効] を選択します。 3 必要に応じて、[ランダムな間隔] を編集します。 各クライアントの更新は、指定されたランダムな時間ごとに実行されます。これにより、ネットワークの負荷を 分散させることができます。デフォルトは [20 分] です。 たとえば、デフォルト値の 20 分を使用して 1000 のクライアントをランダムに更新する場合、1 分間あたり約 50 ずつに分散してクライアントが更新されます。これにより、ネットワークおよびサーバーの急激な負荷の増加 を回避します。この機能を使用しない場合は、1000 すべてのクライアントの更新が一斉に行われます。 4 206 [パッケージ タイプ] で、更新を開始するパッケージを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド サーバー タスク プル タスク 17 ここで指定されたコンポーネントの新しいパッケージがマスター リポジトリにチェックインされるか、別のブラ ンチに移動される場合にのみ、グローバル アップデートによって更新が開始します。コンポーネントを選択する 際は、十分に注意してください。 • [シグネチャとエンジン] - 必要な場合は [Host Intrusion Prevention のコンテンツ] を選択します。 パッケージ タイプを選択すると、グローバル アップデートを開始する対象が決まりますが、グローバル アップデ ートの処理時に更新される内容は決まりません。エージェントは、グローバル アップデートの処理時に更新された パッケージのリストを受信します。エージェントはこのリストを使用して、必要な更新だけをインストールしま す。たとえば、最後の更新以降に変更されたパッケージだけが更新されます。変更されていないパッケージのすべ てが更新されるわけではありません。 5 完了したら、[保存] をクリックします。 有効にすると、選択したパッケージの更新を次にチェックインするか別のブランチに移動したときに、グローバ ル アップデートによって更新が開始されます。 自動更新を開始する準備が整ったら、今すぐプル タスクを実行し、繰り返し実行するリポジトリのプル サーバー タスクのスケジュールを設定してください。 プル タスク DAT とエンジンの更新パッケージをソース サイトから取得しマスター リポジトリを更新するには、プル タスクを使 用します。 DAT とエンジン ファイルは頻繁に更新する必要があります。McAfee は新しい DAT ファイルを毎日リリースして います。エンジン ファイルはそれほど頻繁にはリリースされません。これらのパッケージはできるだけ速やかにシ ステムに配備して、最新の脅威からシステムを保護します。 ソース サイトからマスター リポジトリにコピーするパッケージを指定できます。 ExtraDAT ファイルは、手動でマスター リポジトリにチェックインする必要があります。これらは McAfee Web サイ トから入手できます。 スケジュールが設定されたリポジトリのプル タスクは、指定された日時に定期的に自動で実行されます。たとえば、 週単位のプル タスクが毎週木曜日の午前 5 時に実行されるようにスケジュールを設定することができます。 また、今すぐプル タスクを使用して、更新をすぐにマスター リポジトリへチェックインすることも可能です。たと えば、急速に拡散するウイルスに関する警告を McAfee が通知し、新しい DAT ファイルをリリースして保護を行う 場合があります。 プル タスクが失敗した場合は、手動でパッケージをマスター リポジトリにチェックインする必要があります。 マスター リポジトリを更新すると、グローバル アップデートまたは複製タスクを使用して、更新を各システムに自 動的に配備することができます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 207 17 サーバー タスク 複製タスク プル タスクのスケジュール設定時の考慮事項 プル タスクのスケジュールを設定する場合には、次の点に注意してください。 • 帯域幅とネットワーク使用率 - グローバル アップデートを使用する場合は、他のリソースによる帯域幅の使用 が少ない時間にプル タスクのスケジュールを設定することをお勧めします。グローバル アップデートを使用す ると、プル タスクの完了後、更新ファイルが自動的に配備されます。 • タスクの頻度 - DAT ファイルは毎日リリースされますが、更新のためにリソースを毎日使用することを避けた い場合があります。 • 複製タスクおよび更新タスク - 使用環境全体に確実に更新ファイルが配備されるように、複製タスクおよびクラ イアント更新タスクのスケジュールを設定します。 複製タスク マスター リポジトリのコンテンツを分散リポジトリにコピーする場合は、複製タスクを使用します。すべてのシステ ムが更新を取得するためには、マスター リポジトリのコンテンツをすべての分散リポジトリに複製する必要がありま す。すべての分散リポジトリを常に最新の状態に保ってください。 すべての更新でグローバル アップデートを使用する場合、使用環境によっては複製タスクが必要ない場合もあります が、冗長性確保のために複製タスクを実行することをお勧めします。ただし、すべての更新でグローバル アップデー トを使用しない場合は、リポジトリ複製サーバー タスクをスケジュール設定するか、今すぐ複製タスクを実行してく ださい。 スケジュールを設定して定期的にリポジトリの複製サーバー タスクを実行し、分散リポジトリを確実に最新の状態に 保ってください。システムを最新の状態に保つには、複製タスクを毎日実行するようにスケジュールを設定します。 リポジトリの複製タスクを使用すると、分散リポジトリへの複製が自動的に実行されます。 次回のスケジュールの複製を待たずに、マスター リポジトリにファイルをチェックインして分散リポジトリにすぐに 複製する場合があります。その場合は、今すぐ複製タスクを実行して、手動で分散リポジトリを更新します。 完全複製と差分複製 複製タスクの作成時に、[完全複製] または [差分複製] のいずれかを選択します。差分複製の場合、帯域幅を節約し て、分散リポジトリには存在しない新しい更新のみマスター リポジトリからコピーします。完全複製の場合、マスタ ー リポジトリのコンテンツ全体をコピーします。 日単位での差分複製タスクのスケジュールをお勧めします。ePolicy Orchestrator の複製機能以外で分散リポジトリ からファイルが削除される可能性がある場合は、週単位での完全複製タスクをスケジュールしてください。 リポジトリ選択 新しい分散リポジトリは、すべての分散リポジトリが含まれるリポジトリ リスト ファイルに追加されます。管理対 象システムのエージェントは、McAfee ePO サーバーと通信を行うたびにこのファイルを更新します。エージェント 208 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド サーバー タスク サーバー タスクのスケジュール設定時に許可される cron 構文 17 は、エージェント サービス ([McAfee Framework Service]) の開始時およびリポジトリ リストの変更時に、リポ ジトリを選択します。 複製の対象を選択すると、個々のリポジトリの更新を詳細に管理することができます。複製タスクのスケジュール設 定では、次の項目を選択できます。 • タスクを実行する分散リポジトリ。それぞれの分散リポジトリへの複製タスクを異なるタイミングで実行し、帯 域幅への影響を軽減することができます。複製タスクを作成または編集するときに、対象のリポジトリを指定で きます。 • 分散リポジトリに複製するファイルおよびシグネチャ。分散リポジトリにチェックインする各システムに必要な ファイルを選択し、帯域幅への影響を軽減することができます。分散リポジトリの定義または編集を行う際に、 分散リポジトリに複製するパッケージを指定できます。 この機能は、VirusScan Enterprise など、システムの数が少ない環境での使用を想定しています。この機能により、 システムが使用する分散リポジトリのみにこれらの更新を配備するように制限できます。 エージェントのリポジトリの選択方法 デフォルトでは、エージェントはリポジトリ リスト ファイルのどのリポジトリからでも更新することができます。 エージェントは、ネットワーク ICMP ping またはサブネット アドレスの比較アルゴリズムを使用して、応答時間が 最も短い分散リポジトリを探すことができます。通常、これはネットワーク上でシステムに最も近い分散リポジトリ になります。 エージェントが更新に使用する分散リポジトリは、エージェント ポリシー設定で分散リポジトリを有効または無効に することにより、厳密に制御することもできます。ポリシー設定では、リポジトリを無効にしないでください。エー ジェントがどの分散リポジトリからでも更新可能であれば、更新を確実に取得することができます。 サーバー タスクのスケジュール設定時に許可される cron 構文 cron 構文は、6 または 7 個のフィールドから構成されています。各フィールドはスペースで区切られています。許 可された cron 構文を次の表で説明します (フィールドの昇順で説明します)。ほとんどの cron 構文は使用できま すが、サポートされない場合もあります。たとえば、曜日と日にちの両方は指定できません。 フィールド名 使用可能な値 使用可能な特殊文字 秒 0–59 ,-*/ 分 0–59 ,-*/ 時間 0–23 ,-*/ 日にち 1–31 ,-*?/LWC 月 1-12 または JAN – DEC ,-*/ 曜日 1 - 7 または SUN – SAT ,-*?/LC# 年 (オプション) 空。または 1970 – 2099 ,-*/ 使用可能な特殊文字 • カンマ (,) は値を追加するときに使用します。たとえば、5,10,30 または MON,WED,FRI です。 • アスタリスク (*) は「毎」を意味します。たとえば、分フィールドに * がある場合、「毎秒」を意味します。 • [曜日] フィールドと [日にち] フィールドでは、クエスチョン マーク (?) は特別の値を表わしません。 クエスチョン マークはこれらのフィールドのいずれかで使用する必要があります。同時に使用することはできま せん。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 209 17 サーバー タスク サーバー タスク ログでサーバー タスク情報を表示する • スラッシュ (/) は増分を表します。たとえば、分フィールドに 5/15 を入力すると、5 分、20 分、35 分、50 分後にタスクが実行されます。 • [曜日] フィールドまたは [日にち] フィールドに 「L」を使用すると、「最後」を意味します。たとえば、0 15 10 ? * 6L と入力すると、毎月最後の金曜日の午前 10 時 15 分を意味します。 • 「W」は平日を表します。日にちにを 15W とすると、15 日に最も近い平日の日付を意味します。また、LW と指 定すると、毎月最後の平日を意味します。 • 「#」は N 番目を表します。[曜日] フィールドに 6#3 を使用すると、毎月の第 3 水曜日になります。2#1 は最 初の月曜日、4#5 は第 5 水曜日を表します。 その月に第 5 水曜日がない場合には、タスクは実行されません。 サーバー タスク ログでサーバー タスク情報を表示する サーバー タスク ログで、サーバー タスクに関する情報を確認します。サーバー タスク ログには、発生する可能性 のあるタスクやエラーの状態が表示されます。 • [メニュー] 、 [自動処理] 、 [サーバー タスク ログ] の順にクリックして、サーバー タスクに関する情報を表示 します。 次のタスク情報が表示されます。 • 開始日とタスクの期間 • マスター リポジトリにチェックインされた新し いパッケージに関する情報 • エラーおよび警告とコード • サイトごとのタスクのステータス (展開した場 合) • マスター リポジトリにチェックインされた各パ ッケージのステータス • エラーまたは警告、およびそのコードと発生した サイト Product Improvement Program を設定する McAfee Product Improvement Program は McAfee 製品の向上に役立っています。このプログラムでは、 McAfee ePO サーバーが管理しているクライアント システムから定期的にデータを収集します。 McAfee Product Improvement Program が収集するデータの種類は次のとおりです。 • システム環境 (ソフトウェアとハードウェアの詳細) • インストール済みの McAfee 製品機能の有効性 • McAfee 製品エラーと関連する Windows イベント オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [Product Improvement Program] を選択して [編集] をクリックします。 2 匿名での診断情報の収集と使用を McAfee に許可するには、[はい] を選択して [保存] をクリックします。 McAfee Product Improvement Program の詳細については、ここをクリックしてください。 210 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド サーバー タスク McAfeeProduct Improvement Program を削除する 17 McAfeeProduct Improvement Program を削除する McAfee Product Improvement Program はいつでも削除できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 McAfee ePO サーバーに管理者としてログオンします。 2 [メニュー] 、 [ポリシー] 、 [クライアント タスク カタログ] の順にクリックして、[McAfee Agent] 、 [製品 の配備] の順に選択して、クライアント タスクの種類を選択します。さらに、[アクション] 、 [新規タスク] の 順にクリックします。 3 クライアント システムから McAfee Product Improvement Program を削除する新しいタスクを作成します。 4 クライアント システムにタスクを割り当て、エージェント ウェークアップ コールを送信します。 5 [メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリックし、[McAfee Product Improvement Program] の横にある [削除] をクリックして [OK] をクリックします。 6 [メニュー] 、 [ソフトウェア] 、 [拡張ファイル] の順にクリックし、[McAfee Product Improvement Program] を選択します。 7 [削除] をクリックして [OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 211 17 サーバー タスク McAfeeProduct Improvement Program を削除する 212 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 18 パッケージと更新の手動管理 通常のスケジュール タスク以外で新しい製品を登録する必要がある場合、これらの製品を手動でチェックインできま す。 目次 製品を管理対象にする パッケージを手動でチェックインする マスター リポジトリから DAT またはエンジンのパッケージを削除する 手動による DAT とエンジン パッケージのブランチ間での移動 エンジン、DAT、ExtraDAT 更新パッケージを手動でチェックインする 製品を管理対象にする ePolicy Orchestrator で製品を管理する前に、製品の拡張ファイルをインストールする必要があります。 開始する前に 拡張ファイルがネットワーク上のアクセス可能な場所にあることを確認します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 ePolicy Orchestrator コンソールで、[メニュー] 、 [ソフトウェア] 、 [拡張ファイル] 、 [拡張ファイルをイン ストール] の順にクリックします。 マスター リポジトリの更新中に他の更新タスクは実行できません。マスター リポジトリの更新中に拡張ファイル をインストールすると、次のエラー メッセージが表示されます。 拡張ファイルがインストールできません。com.mcafee.core.cdm.CommandException: 選択されたパッ ケージをプル タスクの実行中にチェックインできませんでした。 マスター リポジトリの更新が完了してから、拡張ファイルのインストールを再度行ってください。 2 拡張ファイルを選択し、[OK] をクリックします。 3 [拡張ファイル] リストに表示された製品名を確認します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 213 18 パッケージと更新の手動管理 パッケージを手動でチェックインする パッケージを手動でチェックインする ePolicy Orchestrator でパッケージを配備するために、配備パッケージをマスター リポジトリにチェックインしま す。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [パッケージのチェックイン] ウィザードを開きます。 a [メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリックします。 b [パッケージをチェックイン] をクリックします。 2 パッケージの種類を選択し、パッケージ ファイルを検索して選択します。 3 [次へ] をクリックします。 4 以下を確認または設定します。 • [パッケージ情報] - 正しいパッケージかどうか確認します。 • [ブランチ] - ブランチを選択します。使用している環境に配備する前に、新しいパッケージをテストできる 環境がある場合は、パッケージのテストには [評価バージョン] ブランチを使用することをお勧めします。パ ッケージのテストが終了したら、[メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリック し、[最新バージョン] ブランチにパッケージを移動します。 • [オプション] - 次の中から選択します。 • • 5 [既存のパッケージを「旧バージョン」ブランチに移動] - これを選択すると、同じ種類の新しいパッケー ジがチェックインされると、[最新バージョン] ブランチから [旧バージョン] ブランチにマスター リポジ トリのパッケージが移動します。[最新バージョン] ブランチが選択されている場合のみ使用可能です。 [パッケージの署名] - パッケージが McAfee またはサードパーティのパッケージにより署名されるかどう かを指定します。 [保存] をクリックしてパッケージのチェックインを開始します。パッケージのチェックインが完了するまで待機 します。 [マスター リポジトリ] タブの [マスター リポジトリのパッケージ] リストに新しいパッケージが表示されます。 マスター リポジトリから DAT またはエンジンのパッケージを削除する マスター リポジトリから DAT またはエンジンのパッケージを削除します。新しい更新パッケージを定期的にチェ ックインすると、旧バージョンは置換されます。旧バージョン ブランチを使用している場合は旧バージョン ブラン チに移動されます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 214 1 [メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリックします。 2 パッケージの行で、[削除] をクリックします。 3 [OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド パッケージと更新の手動管理 手動による DAT とエンジン パッケージのブランチ間での移動 18 手動による DAT とエンジン パッケージのブランチ間での移動 マスター リポジトリにチェックインしたパッケージを評価バージョン ブランチ、最新バージョン ブランチ、旧バー ジョン ブランチ間で手動で移動します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリックします。 2 パッケージの行で、[ブランチを変更] をクリックします。 3 別のブランチにパッケージを移動またはコピーするかどうか選択します。 4 パッケージの移動先のブランチを選択します。 ® 使用しているネットワークに McAfee® NetShield for NetWare がある場合は、[NetShield for NetWare のサ ポート] を選択します。 5 [OK] をクリックします。 エンジン、DAT、ExtraDAT 更新パッケージを手動でチェックインする ePolicy Orchestrator でパッケージを配備するために、更新パッケージをマスター リポジトリにチェックインしま す。手動でチェックインできるのは一部のパッケージのみです。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [パッケージのチェックイン] ウィザードを開きます。 a [メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリックします。 b [パッケージをチェックイン] をクリックします。 2 パッケージの種類を選択し、パッケージ ファイルを検索して選択します。[次へ] をクリックします。 3 以下の中からブランチを選択します。 • [最新バージョン] - 最初にテストせずにパッケージを使用します。 • [評価バージョン] - 最初にテスト環境でパッケージをテストするときに使用します。 パッケージのテストが終了したら、[メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順にクリック し、[最新バージョン] ブランチにパッケージを移動します。 • [旧バージョン] - 旧バージョンを使用してパッケージを受信します。 4 [オプション] の横にある [既存のパッケージを「旧バージョン」ブランチに移動] を選択し、[旧バージョン] ブ ランチに既存のパッケージ (チェックインするパッケージと同種類のもの) を移動します。 5 [保存] をクリックして、パッケージのチェックインを開始します。しばらくすると、パッケージのチェックイン が完了します。 [マスター リポジトリ] ページの [マスター リポジトリのパッケージ] リストに新しいパッケージが表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 215 18 パッケージと更新の手動管理 エンジン、DAT、ExtraDAT 更新パッケージを手動でチェックインする 216 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 19 イベントと応答 脅威、クライアント、サーバー イベントに応答してアクションが開始するように、McAfee ePO サーバーを設定し ます。 目次 自動応答の使用 システム ツリーでの自動応答の動作 応答の計画 応答を初めて設定する場合 イベントの転送方法を確認する 自動応答を設定する サーバーに転送されるイベントを確認する 通知ベントの間隔を選択する 自動応答ルールを作成または編集する 自動応答の使用 自動応答を設定できるイベントの種類は、McAfee ePO サーバーで管理しているソフトウェア製品によって異なりま す。 デフォルトでは、応答には次の 3 つのアクションがあります。 • 問題の作成 • システム コマンドの実行 • サーバー タスクの実行 • 電子メール メッセージの送信 • 外部コマンドの実行 • SNMP トラップの送信 通知メッセージを生成するイベントの種類や通知メッセージの送信頻度なども設定できます。 ルールの条件に一致すると、この機能はユーザーの設定に従って通知とアクションを作成します。他にも、次のよう なものが考えられます。 • ウイルス対策ソフトウェア製品により脅威を検知した場合。多くのウイルス対策ソフトウェアがサポートされて いますが、VirusScan Enterprise が送信するイベントには攻撃元の IP アドレスが含まれるため、ユーザー環境 内に感染を広げようとするシステムを隔離することができます。 • アウトブレークが発生した場合。ウイルス検出のイベントが 5 分間で 1000 回送られた場合などです。 • McAfee ePO サーバーの対応状況に関するイベントが生成された場合。たとえば、リポジトリが更新されたり、 複製タスクが失敗した場合などです。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 217 19 イベントと応答 システム ツリーでの自動応答の動作 システム ツリーでの自動応答の動作 自動応答を設定する前に、自動応答がシステム ツリーでどのように動作するのかを理解する必要があります。 この機能は、ポリシー施行のように継承することはできません。 自動応答では、環境内のシステムでイベントが発生し、サーバーに送信されると、影響を受けるコンピューターとそ の親を含むグループに設定された応答ルールが実行されます。このようなルールの条件を満たすと、各ルールに設定 されたアクションが実行されます。 このような仕組みで、システム ツリーのレベルごとに個別にルールを設定することができます。ルールには、次の項 目が設定できます。 • 通知メッセージを送信するしきい値。たとえば、特定のグループの管理者には 10 分間にグループ内の 100 台の コンピューターでウイルスが検出された場合に通知を行うように設定し、管理者にはユーザー環境全体で 10 分 間に 1,000 台でウイルスが検出された場合に通知を行うように設定することができます。 • 通知メッセージの受信者。たとえば、特定のグループの管理者は、グループ内で指定した数のウイルスが検出さ れた場合に通知を受けるように設定することができます。また、管理者は、システム ツリー全体で指定した数の ウイルスが検出された場合に各グループ管理者に通知するように設定することができます。 サーバー イベントは、システム ツリーの場所でフィルタリングできません。 スロットル、集計およびグループ化 集計、スロットル、グループ化に基づいたしきい値を設定して、通知メッセージを送信するタイミングを設定できま す。 集計 イベントのしきい値を設定して、送信する通知メッセージを集計します。たとえば、1 つのルールで、サーバーが 1 時間に 1,000 のウイルス検出イベントを異なるシステムから受信した場合に通知メッセージを送信するように設定 することができます。また、いずれかのシステムから 100 のウイルス検出イベントを受信した場合にも通知メッセ ージを送信するように設定することができます。 スロットル アウトブレークの発生時に通知するようにルールを設定した場合、大量の通知メッセージを受信しないようにスロッ トルを使用することができます。大規模なネットワークでは、1 時間で数万のイベントが発生し、数千の通知メッセ ージがルールに基づいて作成される場合があります。応答により、単一のルールにより送信される通知メッセージの 数を制限することができます。たとえば、1 つのルールにより送信される通知メッセージを、1 時間に 1 通以上は受 信しないように設定することができます。 グループ化 グループ化を使用して複数の集計イベントを統合します。たとえば、重大度が同じイベントを 1 つのグループにまと めることができます。グループ化により、管理者は同じ重大度のすべてのイベントに対して一度でアクションを実行 できます。また、管理対象システムまたはサーバーで生成されたイベントの優先度を付けることができます。 218 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド イベントと応答 応答の計画 19 デフォルト ルール 機能の詳細を確認している間、ePolicy Orchestrator のデフォルト ルールを使用することができます。 デフォルトのルールを有効にする前に、次の操作を行います。 • 通知メッセージが送信される電子メール サーバーを指定します ([メニュー] 、 [設定] 、 [サーバー設定] の順に クリックします)。 • 受信者の電子メール アドレスが正しく設定されていることを確認します。このアドレスは、ウィザードの [アク ション] ページで設定されます。 表 19-1 デフォルトの通知ルール ルール名 関連付けられたイベン ト 設定 分散リポジトリの更 新または複製に失敗 分散リポジトリの更新 または複製に失敗 更新または複製に失敗した場合に通知メッセージを送信 マルウェア検出 不明な製品からのイベ ント このルールが送信する通知メッセージは次のとおりです。 • 1 時間に受信したイベントの数が 1,000 を超えた場合。 • 送信される頻度は、最大で 2 時間に 1 通。 • 攻撃元システムの IP アドレス、実際の脅威名、実際の製品名 (判明している場合)、およびその他の多数のパラメーターを含 む。 • 選択した独立の値が 500 に達した場合。 マスター リポジトリ マスター リポジトリの の更新または複製に 更新または複製に失敗 失敗 更新または複製に失敗した場合に通知メッセージを送信 検出された違反して いるコンピューター 対応状況イベントの生成サーバー タスクからいずれかのイベント を受信した場合に通知メッセージが送信されます。 非対応なコンピュータ ーの検出イベント 応答の計画 通知を送信するルールを作成する前に、次の計画を立てる必要があります。 次の項目に関する計画を実施する必要があります。 • イベントのタイプとグループ (製品とサーバー) により、環境内に通知メッセージがトリガーされます。 • 通知メッセージの受信者。たとえば、グループ A で複製タスクが失敗した場合にはグループ B の管理者に通知せ ず、グループ A で感染が検出されたときにはすべての管理者に通知するように設定することができます。 • 各ルールに設定するしきい値の種類とレベル。たとえば、アウトブレークの発生中は、感染ファイルが検出され るたびに電子メール メッセージが送信されると非常に煩雑になります。代わりに、サーバーがイベントを受信す る頻度にかかわらず、このような電子メール メッセージを最大でも 5 分間に 1 回のみ受信するように設定する ことができます。 • ルールの条件に一致した場合に実行するコマンドまたは登録された実行ファイル。 • ルールの条件が一致したときに実行するサーバー タスク。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 219 19 イベントと応答 応答を初めて設定する場合 応答を初めて設定する場合 イベントと自動応答を初めて設定する場合には、以下の手順に従ってください。 初めて自動応答ルールを新規作成する場合: 1 自動応答と、システム ツリーおよびネットワーク内での動作を理解します。 2 実装を計画します。どのユーザーがどのイベントについて把握するかを検討します。 3 以下のような、自動応答で使用するコンポーネントと権限を準備します。 • 自動応答権限- 権限セットを作成または編集し、適切な McAfee ePO ユーザーに割り当てます。 • 電子メール サーバー - 電子メール (SMTP) サーバーを [サーバー設定] で設定します。 • 連絡先の電子メール リスト - 通知メッセージの受信者を選択するリストを [連絡先] で指定します。 • 登録済みの実行ファイル - ルールの条件に一致した場合に実行する登録済みの実行ファイルを指定します。 • サーバー タスク - 応答ルールの結果実行されるアクションとして使用するサーバー タスクを作成します。 • SNMP サーバー - ルールの作成時に使用する SNMP サーバーのリストを指定します。条件に一致して通 知メッセージが生成された場合に、SNMP サーバーに SNMP トラップを送信するように、ルールを設定する ことができます。 イベントの転送方法を確認する イベントの転送タイミングとすぐに転送するイベントを指定します。 エージェントからのイベント通知をサーバーが受信します。すぐにイベントを送信するか、またはエージェント/サー バー間通信の間隔でイベントを送信するように、McAfee Agent ポリシーを設定することができます。 すぐにイベントを送信するように選択した場合 (デフォルト)、McAfee Agent はイベントを受信するとすぐにすべて のイベントを転送します。 イベント通知処理のデフォルトの間隔は 1 分です。イベントの処理に遅延が発生する場合もあります。サーバー設定 の [イベント通知] でデフォルトの間隔を変更できます (メニュー 、 [設定] 、 [サーバー] の順にクリックします)。 すぐに送信するように設定しない場合、McAfee Agent は優先度が高く設定された製品のイベントのみをすぐに転送 します。他のイベントは、エージェント/サーバー間通信で送信されます。 タスク • 220 ページの「すぐに転送されるイベントを確認する」 すぐに転送されるイベントまたはエージェント/サーバー間通信でのみ転送されるイベントを確認しま す。 • 221 ページの「転送されるイベントを確認する」 [サーバー設定] ページで、サーバーに転送されるイベントを確認します。 すぐに転送されるイベントを確認する すぐに転送されるイベントまたはエージェント/サーバー間通信でのみ転送されるイベントを確認します。 現在適用されている名前付きポリシーがイベントの即時アップロードを行わないよう設定されている場合、現在適用 されているポリシーを編集するか、新しい McAfee Agent ポリシーを作成します。この設定は [脅威イベント ロ グ] ページで設定されます。 オプションの定義の場合、インターフェースで [?] をクリックします。 220 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド イベントと応答 自動応答を設定する 19 タスク 1 [メニュー] 、 [ポリシー] 、 [ポリシー カテゴリ] の順にクリックし、[製品] で [McAfee Agent] を選択して、 [カテゴリ] で [全般] を選択します。 2 既存のエージェント ポリシーをクリックします。 3 [イベント] タブで [優先イベント転送を有効にする] を選択します。 4 イベントの重要度を選択します。 選択した重要度以上のイベントが、サーバーにすぐに転送されます。 5 トラフィックを調整するには、[アップロードの間隔] にアップロード間隔を分単位で入力してください。 6 トラフィックの規模を調整するには、[アップロードごとの最大イベント数] に即時アップロードごとの最大イベ ント数を入力してください。 7 [保存] をクリックします。 転送されるイベントを確認する [サーバー設定] ページで、サーバーに転送されるイベントを確認します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[イベント フィルタリング] を選択して、[編集] を クリックします。 2 イベントを選択し、[保存] をクリックします。 これらの設定は、すべてのエージェントが接続した後で有効になります。 自動応答を設定する 自動応答の機能を活用するには、必要なリソースを設定する必要があります。 タスク • 221 ページの「通知権限を割り当てる」 通知権限を使用すると、登録済み実行ファイルの表示、作成、編集をユーザーに許可することができま す。 • 222 ページの「自動応答権限を割り当てる」 応答権限を使用すると、異なるイベントのタイプやグループに応答ルールを作成できます。 • 223 ページの「SNMP サーバーを管理する」 応答を設定して、SNMP (Simple Network Management Protocol) サーバーを使用します。 通知権限を割り当てる 通知権限を使用すると、登録済み実行ファイルの表示、作成、編集をユーザーに許可することができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 221 19 イベントと応答 自動応答を設定する タスク 1 [メニュー] 、 [ユーザー管理] 、 [権限セット] の順にクリックして、権限セットを作成するか、既存のセットを 選択します。 2 [イベント通知] の横にある [編集] をクリックします。 3 必要な通知権限を選択します。 • [権限なし] • [登録済みの実行ファイルを表示] • [登録済みの実行ファイルの作成と編集] • [システム ツリー全体のルールと通知の表示 (システム ツリー グループのアクセス権限を上書きします)] 4 [保存] をクリックします。 5 権限セットを作成した場合には、[メニュー] 、 [ユーザー管理] 、 [ユーザー] の順にクリックします。 6 新しい権限セットを割り当てるユーザーを選択して、[編集] をクリックします。 7 [権限セット] で、必要な通知権限の権限セットのチェックボックスを選択し、[保存] をクリックします。 自動応答権限を割り当てる 応答権限を使用すると、異なるイベントのタイプやグループに応答ルールを作成できます。 応答ルールを作成するには、以下の機能に対する権限が必要です。 • 脅威イベント ログ • システム ツリー • サーバー タスク • 検出されたシステム オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 222 1 [メニュー] 、 [ユーザー管理] 、 [権限セット] の順にクリックして、権限セットを作成するか、既存のセットを 選択します。 2 [自動応答] の横にある [編集] をクリックします。 3 自動応答権限を選択します。 • [権限なし] • [応答を表示; サーバー タスク ログに応答結果を表示] • [応答の作成、編集、表示、キャンセル; サーバー タスク ログに応答結果を表示] 4 [保存] をクリックします。 5 権限セットを作成した場合には、[メニュー] 、 [ユーザー管理] 、 [ユーザー] の順にクリックします。 6 新しい権限セットを割り当てるユーザーを選択して、[編集] をクリックします。 7 [権限セット] で、必要な自動応答権限の権限セットのチェックボックスを選択し、[保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド イベントと応答 自動応答を設定する 19 SNMP サーバーを管理する 応答を設定して、SNMP (Simple Network Management Protocol) サーバーを使用します。 SNMP サーバーに SNMP トラップを送信するには、応答を設定します。これにより、ネットワーク管理アプリケー ションを使用する場所で SNMP トラップを受信して、ユーザー環境のシステムに関する詳細情報を参照することが できます。 この機能を設定する際には、他の設定やサービスの起動は必要ありません。 タスク • 223 ページの「SNMP サーバーを編集する」 既存の SNMP サーバー エントリを編集します。 • 223 ページの「SNMP サーバーを削除する」 [登録済みのサーバー] リストから SNMP サーバーを削除します。 SNMP サーバーを編集する 既存の SNMP サーバー エントリを編集します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [登録済みサーバー] の順にクリックします。 2 登録済みのサーバーのリストから SNMP サーバーを選択し、[アクション] 、 [編集] の順にクリックします。 3 必要に応じてサーバー情報を編集し、[保存] をクリックします。 SNMP サーバーを削除する [登録済みのサーバー] リストから SNMP サーバーを削除します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [登録済みサーバー] の順にクリックします。 2 登録済みのサーバーのリストから SNMP サーバーを選択し、[アクション] 、 [削除] の順にクリックします。 3 プロンプトが表示されたら、[はい] をクリックします。 選択した SNMP サーバーが [登録済みのサーバー] リストから削除されます。 .MIB ファイルをインポートする SNMP トラップを使用して SNMP サーバーに通知メッセージを送信するルールを設定する前に、.mib ファイルをイ ンポートします。 \Program Files\McAfee\ePolicy Orchestrator\MIB から 3 つの .mib ファイルをインポートする必要が あります。インポートは次の順序に従ってください。 1 NAI-MIB.mib 2 TVD-MIB.mib 3 EPO-MIB.mib これらのファイルは、SNMP トラップのデータをネットワーク管理プログラムがデコードする際に使用されます。 EPO-MIB.mib ファイルは、次のトラップを定義する他の 2 つのファイルに依存します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 223 19 イベントと応答 サーバーに転送されるイベントを確認する • epoThreatEvent - McAfee ePO 脅威イベントに対する自動応答がトリガーされると、このトラップが送信さ れます。脅威イベントのプロパティに一致する変数が含まれます。 • epoStatusEvent - McAfee ePO ステータス イベントに対する自動応答がトリガーされると、このトラップ が送信されます。サーバーのステータス イベントのプロパティに一致する変数が含まれます。 • epoClientStatusEvent - McAfee ePO クライアント ステータス イベントに対する自動応答がトリガーさ れると、このトラップが送信されます。クライアント ステータス イベントのプロパティに一致する変数が含まれ ます。 • epoTestEvent - [新しい SNMP サーバー] ページまたは [SNMP サーバーを編集] ページで [テスト トラッ プを送信] をクリックすると、このテスト トラップが送信されます。 .mib ファイルのインポートと実装については、使用しているネットワーク管理プログラムのマニュアルを参照して ください。 サーバーに転送されるイベントを確認する サーバーの設定とイベント フィルタリングを使用すると、サーバーに転送されるイベントを確認できます。 開始する前に これらの設定は、環境で使用される帯域幅とイベント ベースのクエリの結果に影響を及ぼします。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[イベント フィルタリング] を選択し、ページ下部 の [編集] を選択します。[イベント フィルタリングを編集] ページが表示されます。 2 エージェントがサーバーに送信するイベントを選択し、[保存] をクリックします。 すべてのエージェントが McAfee ePO サーバーと通信を行った後で、これらの変更が有効になります。 通知ベントの間隔を選択する この設定では、ePO 通知イベントが自動応答システムに送信される頻度を設定します。 通知イベントには次の 3 種類があります。 • クライアント イベント - 管理対象システムで発生したイベント。例: 「製品の更新に成功しました」 • 脅威イベント - 脅威の検出に関係するイベント。例: 「ウイルスを検出しました」 • サーバー イベント - サーバーで発生したイベント。例: 「リポジトリのプルに失敗しました」 自動応答は、自動応答システムが通知を受信した場合にのみトリガーできます。この通知イベントの送信間隔には短 めの間隔を指定してください。自動応答でイベントに対する応答が遅延なく送信される間隔を選択する必要がありま すが、帯域幅を過度に消費しないように注意してください。 オプションの定義の場合、インターフェースで [?] をクリックします。 224 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド イベントと応答 自動応答ルールを作成または編集する 19 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [イベント通知] を選択して [編集] をクリックします。 2 [評価間隔] に 1 分から 9,999 分までの値を指定し、[保存] をクリックします (デフォルトは 1 分です)。 自動応答ルールを作成または編集する サーバーまたは管理対象システムで発生するイベントに対して応答するタイミングと方法を定義します。 自動応答ルールに優先順位はありません。 タスク • 225 ページの「ルールを記述する」 新しいルールを作成すときに、説明を追加したり、言語を指定することができます。また、応答を開始 するイベントの種類やグループを指定したり、ルールの有効化または無効化を行うこともできます。 • 225 ページの「ルールにフィルターを設定する」 [応答ビルダー] ウィザードの [フィルター] ページで、応答ルールのフィルターを設定します。 • 226 ページの「ルールにしきい値を設定する」 [応答ビルダー] ウィザードの [集計] ページで、ルールの開始条件を定義できます。 • 226 ページの「自動応答ルールのアクションを設定する」 応答ビルダー ウィザードの [応答] ページでは、ルールによって開始する応答を設定できます。 ルールを記述する 新しいルールを作成すときに、説明を追加したり、言語を指定することができます。また、応答を開始するイベント の種類やグループを指定したり、ルールの有効化または無効化を行うこともできます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [自動処理] 、 [自動応答] の順にクリックし、[アクション] 、 [新しい応答] の順にクリックする か、既存のルールの横にある [編集] をクリックします。 2 [説明] ページで、ルールの一意の名前と説明を入力します。 各サーバーで一意のルール名を指定してください。たとえば、あるユーザーが「緊急アラート」という名前のルー ルを作成した場合、他のユーザーは同じ名前のルールを作成することはできません。 3 [言語] メニューから、ルールに使用する言語を選択します。 4 この応答をトリガーする [イベント グループ] と [イベント タイプ] を選択します。 5 [ステータス] の横にある [有効] または [無効] を選択します。 6 [次へ] をクリックします。 ルールにフィルターを設定する [応答ビルダー] ウィザードの [フィルター] ページで、応答ルールのフィルターを設定します。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 225 19 イベントと応答 自動応答ルールを作成または編集する タスク 1 [使用可能なプロパティ] リストからプロパティを選択して、応答結果をフィルタリングする値を指定します。 使用可能なプロパティは、ウィザードの [説明] ページで選択したイベント タイプおよびイベント グループによっ て異なります。 2 [次へ] をクリックします。 ルールにしきい値を設定する [応答ビルダー] ウィザードの [集計] ページで、ルールの開始条件を定義できます。 ルールのしきい値は、集計、スロットルおよびグループ化の組み合わせです。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [集約] の横にある [各イベントに対してこの応答をトリガーします。] または [次の数のイベントをまとめて応 答をトリガーする] のいずれかを選択します。後者を選択した場合は、時間を分、時間、日単位で指定します。 2 [次の数のイベントをまとめて応答をトリガーする] を選択した場合、指定した条件に一致した場合に応答がトリ ガーされます。これらの条件は、次の組み合わせで構成されます。 • [イベント プロパティの独立した値の数が一定の値を超えている場合]。この条件は、イベント プロパティの 発生に独立した値が選択されたときに使用されます。 • [イベント数が次の値以上の場合]。イベントの定義数を入力します。 1 つまたは両方のオプションを選択することができます。たとえば、イベント プロパティの発生の独立した値が 300 を超えた場合、またはイベント数が 3000 を超えた場合のいずれかのしきい値を最初に超えた場合に、この 応答をトリガーするルールを設定できます。 3 [グループ化] の横で、集約されたイベントをグループ化するかどうかを選択します。集約されたイベントをグル ープ化するよう選択する場合は、グループ化されるイベントのプロパティを指定します。 4 必要に応じて、[スロットル] の横で、[この応答を次の間隔でトリガー] を選択し、このルールで通知メッセージ が再度送信されるまでの数を定義します。 間隔は、分、時間、日単位で指定します。 5 [次へ] をクリックします。 自動応答ルールのアクションを設定する 応答ビルダー ウィザードの [応答] ページでは、ルールによって開始する応答を設定できます。 通知の種類のドロップダウン リストの横にある [+] と [-] ボタンを使用して、複数のアクションをトリガーするル ールを設定できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 226 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド イベントと応答 自動応答ルールを作成または編集する 19 タスク 1 2 電子メールまたはテキスト ページャーで通知メッセージを送信する場合、ドロップダウン リストから [電子メー ルの送信] を選択します。 a [受信者] の横にある [...] をクリックし、メッセージの受信者を選択します。このリストには、[連絡先] で利 用可能な受信者が表示されます ([メニュー] 、 [ユーザー管理] 、 [連絡先] の順にクリック)。または、電子 メール アドレスをカンマで区切って手動で入力することもできます。 b 通知メールの重要度を選択します。 c [件名] にメッセージの件名を入力します。利用可能な変数を直接件名に挿入することもできます。 d [本文] にメッセージのテキストを入力します。利用可能な変数を直接本文に挿入することもできます。 e 終了したら、[次へ] をクリックするか、[+] をクリックして別の通知を追加します。 SNMP トラップとして通知メッセージを送信する場合は、ドロップダウン リストから [SNMP トラップを送信] を選択します。 a ドロップダウン リストから SNMP サーバーを選択します。 b SNMP トラップで送信する値の種類を選択します。 • [値] • [独立した値の数] • [独立した値のリスト] • [すべての値のリスト] 指定した情報が含まれていない場合があります。選択した情報が表示されない場合、その情報はイベント ファ イルに含まれていません。 c 3 4 5 6 終了したら、[次へ] をクリックするか、[+] をクリックして別の通知を追加します。 外部コマンドを実行する通知を作成する場合、ドロップダウン リストから [外部コマンドの実行] を選択します。 a 登録済みの実行ファイルを選択し、コマンドの引数を入力します。 b 終了したら、[次へ] をクリックするか、[+] をクリックして別の通知を追加します。 問題を作成する通知を作成する場合は、ドロップダウン リストから [問題の作成] を選択します。 a 作成する問題のタイプを選択します。 b 問題の一意の名前と説明を入力します。利用可能な変数を直接名前と説明に挿入することもできます。 c 問題の状態、優先度、重大度、解決策を各ドロップダウン リストから選択します d テキスト ボックスに割り当て先の名前を入力します。 e 終了したら、[次へ] をクリックするか、[+] をクリックして別の通知を追加します。 スケジュール済みのタスクを実行する通知を作成する場合、ドロップダウン リストから [サーバー タスクの実 行] を選択します。 a [実行するタスク] ドロップダウン リストから実行するタスクを選択します。 b 終了したら、[次へ] をクリックするか、[+] をクリックして別の通知を追加します。 [サマリー] ページで情報を確認し、[保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 227 19 イベントと応答 自動応答ルールを作成または編集する 新しい応答ルールが [応答] リストに表示されます。 228 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ネットワーク セキュリティの監視と 状況の報告 カスタマイズ可能なダッシュボードを使用すると、重要なセキュリティの状況を瞬時に 把握し、カスタマイズ可能な事前設定クエリとレポートで関係者と意思決定者に状況を 報告することができます。 第 20 章 第 21 章 第 22 章 第 23 章 第 24 章 ダッシュボード クエリとレポート 問題 ePolicy Orchestrator ログ ファイル 障害時復旧 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 229 ネットワーク セキュリティの監視と状況の報告 230 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 20 ダッシュボード 環境を常に同じ方法で監視するのは容易ではありません。ダッシュボードを利用すると、このような問題を解決でき ます。 ダッシュボードは複数のモニターから構成され、クエリの結果がグラフなどで表示されます。 モニターの機能と表示形式は、モニターごとに設定します。 ダッシュボードを使用、作成、編集および削除する権限が必要です。 目次 ダッシュボードを初めて設定する場合 ダッシュボードの操作 ダッシュボード モニターの操作 デフォルトのダッシュボードとモニター デフォルトのダッシュボードとダッシュボードの更新間隔を指定する ダッシュボードを初めて設定する場合 以下では、ダッシュボードを初めて設定する場合に発生するプロセスについて説明します。 1 McAfee ePO サーバーにはデフォルトのダッシュボードが用意されています。以前に読み込まれたダッシュボー ドがない場合、デフォルトのダッシュボードが表示されます。 2 必要に応じて、ダッシュボードとモニターを作成します。 3 ePolicy Orchestrator を開始すると、前回使用したダッシュボードが表示されます。 ダッシュボードの操作 環境の状態を一目で確認できるように、ダッシュボードの作成、変更、複製、エクスポートなどを行うことができま す。 ダッシュボードを使用する場合には、次のタスクを実行します。 ePolicy Orchestrator に付属のデフォルト ダッシュボードと事前定義クエリは変更または削除できません。これら のダッシュボードやクエリを変更するには、ダッシュボードまたはクエリを複製して名前を変更し、必要な変更を行っ てください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 231 20 ダッシュボード ダッシュボードの操作 タスク • 232 ページの「ダッシュボードを管理する」 ダッシュボードの作成、編集、複製を行うことができます。また、ダッシュボードに権限を割り当てる こともできます。 • 233 ページの「ダッシュボードのエクスポートとインポートを行う」 ダッシュボードとモニターを完全に定義している場合、これらのダッシュボードとモニターをエクスポ ートして他のサーバーにインポートとすると、別の McAfee ePO サーバーに簡単に移行することができ ます。 ダッシュボードを管理する ダッシュボードの作成、編集、複製を行うことができます。また、ダッシュボードに権限を割り当てることもできま す。 開始する前に ダッシュボードを変更するには、ダッシュボードに対する書き込み権限が必要です。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [レポート] 、 [ダッシュボード] の順にクリックし、[ダッシュボード] ページに移動します。 2 以下のいずれかのアクションを選択します。 アクション 手順 ダッシュボ 環境の異なるビューを作成するには、新しいダッシュボードを作成します。 ードを作成 1 [ダッシュボード アクション] 、 [新規] の順にクリックします。 する 2 名前を入力して、ダッシュボードの表示オプションを選択し、[OK] をクリックします。 新しい空のダッシュボードが表示されます。必要に応じて、新しいダッシュボードにモニターを追 加できます。 ダッシュボ ダッシュボードは、適切な権限のあるユーザーにのみ表示されます。クエリまたはレポートと同様 ードを編集 に、ダッシュボードにも権限が割り当てられます。ダッシュボード全体を個人用にすることも、公 して権限を 開することもできます。また、1 つ以上の権限セットで共有することもできます。 割り当てる 1 [ダッシュボード アクション] 、 [編集] の順にクリックします。 2 次の権限を選択します。 • [このダッシュボードを共有しない] • [このダッシュボードを全員と共有する] • [このダッシュボードを以下の権限セットで共有する ] このオプションを使用する場合には、1 つ以上の権限セットを選択する必要があります。 3 [OK] をクリックして、ダッシュボードを変更します。 ダッシュボードに関連する複数のクエリよりも多くの権限をダッシュボードに付与することもで きます。この場合、元になるデータにアクセス権のあるユーザーがダッシュボードを開くと、クエ リが表示されます。データに対するアクセス権がないユーザーが開くと、クエリに対する権限がな いことを通知するメッセージが表示されます。クエリがダッシュボード作成者の個人用に設定さ れている場合、ダッシュボードの作成者以外はクエリを変更したり、ダッシュボードから削除する ことはできません。 232 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ダッシュボード ダッシュボードの操作 20 アクション 手順 ダッシュボ 類似したダッシュボードをコピーすると、新しいダッシュボードを簡単に作成できる場合がありま ードを複製 す。 する 1 [ダッシュボード アクション] 、 [複製] の順にクリックします。 2 複製すると、元の名前の先頭に ePolicy Orchestrator という文字列が付きます。必要であれば、 この名前を変更して [OK] をクリックします。 複製されたダッシュボードが開きます。 複製は元のダッシュボードの完全なコピーです。権限もすべて引き継ぎます。変更されたのは名 前だけです。 ダッシュボ 1 [ダッシュボード アクション] 、 [削除] の順にクリックします。 ードを削除 2 [OK] をクリックして、ダッシュボードを削除します。 する ダッシュボードが削除され、システムのデフォルト ダッシュボードが表示されます。削除したダッ シュボードを最後に表示したユーザーが次にログオンすると、システムのデフォルト ダッシュボー ドが表示されます。 ダッシュボードのエクスポートとインポートを行う ダッシュボードとモニターを完全に定義している場合、これらのダッシュボードとモニターをエクスポートして他の サーバーにインポートとすると、別の McAfee ePO サーバーに簡単に移行することができます。 開始する前に ダッシュボードをインポートするには、XML ファイル内のエクスポート済みダッシュボードに対するア クセス権が必要です。 ダッシュボードを XML ファイルにエクスポートすると、同じシステムまたは別のシステムにダッシュボードをイン ポートできます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [ダッシュボード] の順にクリックします。 2 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 233 20 ダッシュボード ダッシュボード モニターの操作 アクション 手順 [ダッシュボード をエクスポート する ] 1 [ダッシュボード アクション] 、 [エクスポート] の順にクリックします。 ブラウザーの設定に従って、ブラウザーが XML ファイルをダウンロードします。 2 エクスポートした XML ファイルを適切な場所に保存します。 [ダッシュボード をインポートす る] 1 [ダッシュボード アクション] 、 [インポート] の順にクリックします。 [ダッシュボードのインポート] ダイアログ ボックスが表示されます。 2 [参照] をクリックして、エクスポートされたダッシュボードの XML ファイルを選択しま す。[開く] をクリックします。 3 [保存] をクリックします。 ダッシュボードのインポート の確認ダイアログ ボックスが表示されます。ファイルのダ ッシュボードの名前とシステム内での名前が表示されます。デフォルトでは、エクスポー ト済みのダッシュボードと同様に、(imported) という接頭辞が付きます。 4 [OK] をクリックします。ダッシュボードをインストールしない場合には、[閉じる] をク リックしてください。 インポートしたダッシュボードが表示されます。エクスポート時点の権限セットに関わら ず、インポート済みのダッシュボードには個人用権限が付与されます。インポート後に権限 セットを明示的に設定する必要があります。 ダッシュボード モニターの操作 ダッシュボード モニターをカスタマイズして操作することができます。 ダッシュボード モニターを操作するには、このタスクを実行します。 タスク • 234 ページの「ダッシュボード モニターを管理する」 ダッシュボードのモニターを作成、追加、削除することができます。 • 235 ページの「ダッシュボード モニターの移動とサイズの変更を行う」 画面を効率よく利用するために、モニターを移動したり、サイズを変更することができます。 ダッシュボード モニターを管理する ダッシュボードのモニターを作成、追加、削除することができます。 開始する前に 変更するダッシュボードに対する書き込み権限が必要です。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 234 1 [メニュー] 、 [レポート] 、 [ダッシュボード] の順にクリックします。[ダッシュボード] ドロップダウン リス トからダッシュボードを選択します。 2 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ダッシュボード ダッシュボード モニターの操作 アクショ ン 手順 モニター を追加す る。 1 [モニターの追加] をクリックします。 20 画面の上部に [モニター ギャラリー] が表示されます。 2 [表示] ドロップダウン リストからモニターのカテゴリを選択します。 選択したカテゴリで使用可能なモニターがギャラリーに表示されます。 3 モニターをダッシュボードにドラッグします。ダッシュボードの上にカーソルを置くと、ドロップ できる場所が強調表示されます。モニターを必要な場所にドロップします。 [新しいモニター] ダイアログ ボックスが表示されます。 4 必要に応じてモニターを設定します。各モニターには固有の設定オプションがあります。設定が 完了したら [OK] をクリックします。 5 このダッシュボードにモニターを追加したら、[変更を保存] をクリックして新しく設定したダッ シュボードを保存します。 6 変更が完了したら、[閉じる] をクリックします。 Adobe Flash コンテンツまたは ActiveX コントロールを含む [カスタム URL ビューアー] モニター をダッシュボードに追加すると、コンテンツで ePolicy Orchestrator のメニューが隠れてしまい、 メニューの一部にアクセスできなくなる場合があります。 モニター を編集す る。 モニターの種類によって設定オプションが異なります。たとえば、クエリ モニターでは、クエリ、 データベース、更新間隔を変更できます。 1 管理するモニターを選択して、左上隅にある矢印をクリックし、[モニターの編集] を選択します。 モニターの設定ダイアログが表示されます。 2 モニターの設定を変更したら [OK] をクリックします。変更を取り消す場合には [キャンセル] をクリックします。 3 ダッシュボードに対する変更を保存するには、[保存] をクリックします。そうでない場合には [破棄] をクリックします。 モニター を削除す る。 1 削除するモニターを選択して、左上隅にある矢印をクリックし、[モニターの削除] を選択します。 モニターの設定ダイアログが表示されます。 2 ダッシュボードの変更が完了したら、[変更を保存] をクリックします。ダッシュボードを元の状 態に戻すには、[変更を破棄] をクリックします。 ダッシュボード モニターの移動とサイズの変更を行う 画面を効率よく利用するために、モニターを移動したり、サイズを変更することができます。 開始する前に 変更するダッシュボードに対する書き込み権限が必要です。 多くのダッシュボード モニターでは、モニターのサイズを変更できます。モニターの右下隅に斜線があれば、サイズ の変更が可能です。現在のダッシュボード内でドラッグ アンド ドロップして、モニターを移動したり、サイズの変 更を行います。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 235 20 ダッシュボード デフォルトのダッシュボードとモニター タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 モニターの位置またはサイズを変更します。 • ダッシュボード モニターを移動するには、次の手順に従います。 1 モニターのタイトル バーをドラッグして、必要な場所に移動します。 カーソルを動かすと、現在のモニターの位置に合わせて最適な場所にモニターの外枠が移動します。 2 必要な場所に外枠が移動したら、モニターをドロップします。 無効な場所にモニターをドロップすると、前の位置に戻ります。 • ダッシュボード モニターのサイズを変更するには、次の手順に従います。 1 モニターの右下隅にあるサイズ変更アイコンをドラッグし、必要な位置に移動します。 カーソルを動かすと、現在のカーソル位置に合わせてモニターの外枠が最適なサイズに変更されます。モ ニターが最小化されたり、最大化される場合もあります。 2 外枠が必要なサイズになったら、モニターをドロップします。 モニターの現在の位置では表示できないサイズに変更すると、元のサイズに戻ります。 2 [変更を保存] をクリックします。元の設定に戻すには、[変更を破棄] をクリックします。 デフォルトのダッシュボードとモニター ePolicy Orchestrator には、いくつかのデフォルト モニターと固有のデフォルト モニターが含まれています。 デフォルト (通常は [McAfee ePO] サマリー) 以外のすべてのダッシュボードは、ePolicy Orchestrator をインスト ールした管理者が所有しています。インストールを実行した管理者は、他の McAfee ePO ユーザーに参照を許可する 前に、追加のダッシュボードの権限を変更する必要があります。 [監査] ダッシュボード [監査]ダッシュボードには、McAfee ePO サーバーで発生したアクセス関連のアクティビティの概要が表示されま す。このダッシュボードを構成するモニターは次のとおりです。 236 • [過去 30 日間の失敗したログオン試行] - 過去 30 日間のすべての失敗したログオン試行のリストをユーザー ごとに表示します。 • [過去 30 日間の成功したログオン試行] - 過去 30 日間のすべての成功したログオン試行のリストをユーザー ごとに表示します。 • [ユーザーごとのポリシー割り当ての変更履歴] - 監査ログに記録された過去 30 日間のすべてのポリシー割り 当てのレポートをユーザーごとに表示します。 • [ユーザーによる設定の変更] - 監査ログに記録された過去 30 日間の機密情報とみなされたすべてのアクショ ンのレポートをユーザーごとに表示します。 • [ユーザーによるサーバーの設定] - 監査ログに記録された過去 30 日間のすべてのサーバー設定アクションの レポートをユーザーごとに表示します。 • [システムの高速検索] - システム名、IP アドレス、MAC アドレス、ユーザー名またはエージェント GUID ご とにシステムを検索できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ダッシュボード デフォルトのダッシュボードとモニター 20 [McAfee ePO サマリー] ダッシュボード [McAfee ePO サマリー] ダッシュボードは、概要情報を表示するモニターから構成されています。McAfee から提供 される詳細情報のリンクも表示されます。このダッシュボードを構成するモニターは次のとおりです。 • [最上位のグループごとのシステム] - 上位レベルのシステム ツリー グループ別に管理対象システムを棒グラフ で表示します。 • [システムの高速検索] - システム名、IP アドレス、MAC アドレス、ユーザー名またはエージェント GUID ご とにシステムを検索できます。 • [McAfee へのリンク] - McAfee テクニカル サポートへのリンク、エスカレーション ツール、ウイルス情報ラ イブラリなどへのリンクを表示します。 • [McAfee Agent と VirusScan Enterprise (Windows 用) の対応状況のサマリー] - VirusScan Enterprise (Windows 用) のバージョン、McAfee Agent、DAT ファイルごとに、環境内の対応、未対応の管理対象システ ムをブール円グラフで表示します。 • [マルウェア検出履歴] - 四半期内の内部ウイルス検出数を折れ線グラフで表示します。 エグゼクティブ ダッシュボード [エグゼクティブ] ダッシュボードは、特定の製品や McAfee 固有の情報へのリンクなど、セキュリティ脅威や対応 状況に関する概要レポートを表示する一連のモニターです。このダッシュボードを構成するモニターは次のとおりで す。 • [マルウェア検出履歴] - 四半期内の内部ウイルス検出数を折れ線グラフで表示します。 • [過去 24 時間に発生した製品の配備] - 過去 24 時間のすべての製品の配備をブール円グラフで表示します。 成功した配備は緑色で表示されます。 • [過去 24 時間に発生した製品更新] - 過去 24 時間のすべての製品更新をブール円グラフで表示します。成功 した更新は緑色で表示されます。 [製品の配備] ダッシュボード [製品の配備]ダッシュボードは、ネットワーク内で発生した製品の配備と更新の概要を表示します。このダッシュボ ードを構成するモニターは次のとおりです。 • [過去 24 時間に発生した製品の配備] - 過去 24 時間のすべての製品の配備をブール円グラフで表示します。 成功した配備は緑色で表示されます。 • [過去 24 時間に発生した製品更新] - 過去 24 時間のすべての製品更新をブール円グラフで表示します。成功 した更新は緑色で表示されます。 • [過去 24 時間で失敗した製品の配備] - 過去 24 時間内に失敗したすべての製品の配備を製品コードごとに、単 一グループの棒グラフで表示します。 • [システムの高速検索] - システム名、IP アドレス、MAC アドレス、ユーザー名またはエージェント GUID ご とにシステムを検索できます。 • [過去 24 時間以内に失敗した製品更新] - 過去 24 時間内に失敗したすべての製品更新を製品コードごとに、単 一グループの棒グラフで表示します。 • [過去 7 日以内に試行されたエージェント アンインストール] - 過去 7 日のすべてのエージェント アンインス トール クライアント イベントを日別で、単一の棒グラフで表示します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 237 20 ダッシュボード デフォルトのダッシュボードとダッシュボードの更新間隔を指定する デフォルトのダッシュボードとダッシュボードの更新間隔を指定する サーバーのダッシュボード設定では、サーバーのログイン時に表示されるデフォルトのダッシュボードを指定します。 また、ダッシュボードの更新間隔も設定します。 ユーザーの権限セットとダッシュボードを関連付けると、ユーザーが McAfee ePO サーバーに初めてログオンした ときに表示されるダッシュボードを指定できます。ダッシュボードと権限セットを関連付けると、特定の役割が与え られたユーザーに必要な情報が自動的に表示されます。デフォルト以外にダッシュボードの表示権限がある場合、[ダ ッシュボード] ページに移動するたびに最新のダッシュボードが表示されます。 サーバー設定の [ダッシュボード] では、次のアクションを実行できます。 • デフォルトのダッシュボードに割り当てられていない権限セットを所有するユーザーに表示するダッシュボード を設定できます。 • ダッシュボードの自動更新間隔を設定できます。 ダッシュボードは自動的に更新されます。更新が実行されると、割り当て済みのクエリが実行され、ダッシュボー ドに結果が表示されます。クエリによって大量のデータが戻される場合、更新間隔が短いと使用可能な帯域幅に影 響を及ぼす可能性があります。ネットワーク リソースを過度に消費せずに情報が適切に表示されるように更新間 隔を設定してください (デフォルトは 5 分です)。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [ダッシュボード] を選択し て [編集] をクリックします。 2 メニューから権限セットとデフォルトのダッシュボードを選択します。 と を使用して、権限セットに複数のダッシュボードを追加したり、権限セットからダッシュボードを 削除します。また、複数の権限セットの割り当てを行います。 3 238 ダッシュボードの更新間隔に 1 分から 60 時間までの値を指定し、[保存] をクリックします (デフォルトは 5 分 です)。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 21 クエリとレポート ePolicy Orchestrator には、固有のクエリ機能とレポート機能が用意されています。これらの機能は使いやすく、柔 軟にカスタマイズできます。 [クエリ ビルダー] と [レポート ビルダー] を使用すると、設定したデータでクエリを作成して実行し、指定したグ ラフやテーブルにクエリの結果を表示できます。これらのクエリとレポートのデータは、ePolicy Orchestrator に登 録済みの内部または外部データベースから取得できます。 クエリとレポートの機能だけではなく、次のログを使用すると、McAfee ePO サーバーとネットワーク全体で発生し たアクティビティの情報を収集できます。 • 監査ログ • サーバー タスク ログ • 脅威イベント ログ デフォルトのクエリを使用すると、前のバージョンのデフォルト レポートと同じ情報を取得できます。 目次 クエリとレポートの権限 クエリ クエリ ビルダー クエリとレポートを初めて設定する場合 クエリの操作 マルチサーバー ロールアップ クエリ レポート レポートの構造 レポートの操作 データベース サーバーの使用 データベース サーバーの操作 [クエリ グループの編集] ページ [新規クエリ グループ] ページ [クエリを保存] ページ (クエリ ウィザード) クエリとレポートの権限 クエリとレポートに対するアクセスは、いくつかの方法で制限できます。 クエリまたはレポートを実行するには、クエリまたはレポートに対する権限だけでなく、結果タイプの機能セットに 対する権限も必要です。クエリの結果ページでは、権限セットで許可されれているアクションだけを実行できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 239 21 クエリとレポート クエリ クエリとレポートに対するアクセスはグループと権限セットで制御します。クエリとレポートはグループに所属し、 クエリまたはレポートに対するアクセス権はグループの権限レベルによって制御されます。クエリとレポートのグル ープには以下の権限レベルが設定できます。 • [プライベート] - グループを作成したユーザー以外は使用できません。 • [公開] - グループは全体で共有されます。 • [権限セット別] - 選択した権限セットを付与されたユーザーだけがグループを使用できます。 権限セットを使用すると、クエリまたはレポートに 4 つのアクセス レベルを設定できます。権限は次のとおりです。 • [権限なし] - 権限のないユーザーは [クエリ] タブまたは [レポート] タブを使用できません。 • [公開クエリの使用] - [公開グループ]に配置されたクエリまたはレポートの使用権限を付与します。 • [公開クエリの使用; 個人用クエリの作成と編集] - [公開グループ] に配置されたクエリまたはレポートの使用 権限を付与します。[クエリ ビルダー] で、[プライベート グループ] にクエリまたはレポートを作成し、編集で きます。 • [公開クエリの編集; 個人用クエリの作成と編集; 個人用クエリの公開] - [公開グループ] に配置したクエリま たはレポートの使用権限と編集権限を付与します。[プライベート グループ] でクエリまたはレポートを作成し て編集できます。[プライベート グループ] から [公開グループ] または [共有グループ] にクエリまたはレポー トを移動できます。 クエリ クエリを使用すると、ePolicy Orchestrator にデータを照会し、戻された結果を様々なグラフまたは表形式で表示す ることができます。 クエリを個別に使用すると、すぐに結果を取得することができます。クエリの結果は様々な形式でエクスポートでき ます。クエリの結果はダウンロードすることも、電子メールに添付して送信することもできます。多くのクエリはダ ッシュボード モニターとして使用され、リアルタイムのシステム監視を可能にしています。また、クエリを組み合わ せてレポートを作成すると、ePolicy Orchestrator をより詳しく体系的に監視できます。 ePolicy Orchestrator に付属のデフォルト ダッシュボードと事前定義クエリは変更または削除できません。これら のダッシュボードやクエリを変更するには、ダッシュボードまたはクエリを複製して名前を変更し、必要な変更を行っ てください。 アクション可能なクエリの結果 クエリの結果からアクションを実行できるようになりました。テーブルまたはドリルダウン テーブルに表示された クエリ結果の項目を選択し、アクションを実行できます。たとえば、クエリの結果表に表示されるシステムにエージ ェントを配備できます。実行可能なアクションは、結果ページの下部に表示されます。 ダッシュボード モニターとしてのクエリ クエリの多くはダッシュボード モニターとして使用できます (テーブルを使用して初期結果を表示するクエリは除 きます)。ダッシュボード モニターは、ユーザーが指定した間隔で自動的に更新されます (デフォルトでは 5 分で す)。 結果のエクスポート クエリ結果は 4 つの形式でエクスポートできます。エクスポートされた結果は履歴データです。ダッシュボード モ ニターとして使用する場合とは異なり、自動的には更新されません。コンソールに表示されるクエリ結果やクエリ ベ ースのモニターと同様に、HTML 形式にエクスポートした結果をドリルダウンし、詳細情報を表示できます。 コンソールのクエリ結果とは異なり、エクスポートされたデータにアクションを実行できません。 240 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート クエリ ビルダー 21 レポートで使用可能な形式は次のとおりです。 • CSV - Microsoft Excel などの表計算アプリケーションで使用します。 • XML - 他の目的で使用できるように、データを変換できます。 • HTML - エクスポートされた結果を Web ページとして表示できます。 • PDF - 結果を印刷できます。 レポートでのクエリの統合 レポートは、複数のクエリ、画像、静的テキストなどの項目から構成できます。レポートは必要なときに実行するこ とも、スケジュールを設定して定期的に実行することもできます。また、ePolicy Orchestrator 以外で表示できるよ うに PDF ファイルで出力されます。 サーバー間でのクエリの共有 クエリをインポートおよびエクスポートして、サーバー間でクエリを共有することができます。マルチサーバー環境 では、クエリを 1 回作成するだけで済みます。 ソースが異なるデータの取得 クエリでは、登録済みサーバーからデータを取得できます。ePolicy Orchestrator の外部あるデータベースからもデ ータを取得できます。 クエリ ビルダー ePolicy Orchestrator では、4 つのステップで簡単にカスタム クエリを作成および編集できます。また、ウィザー ドを使用すると、取得するデータとデータの表示方法を設定できます。 結果タイプ [クエリ ビルダー] ウィザードでは、最初に機能グループからスキーマと結果タイプを選択します。この選択でクエ リが取得するデータのタイプが決まり、ウィザードの残りで選択できる項目が変わります。 グラフ タイプ ePolicy Orchestrator では、取得したデータを様々なグラフとテーブルで表示できます。ドリルダウン テーブルを 含め、これらは詳細に構成できます。 テーブルにはドリルダウン テーブルは含まれません。 グラフ タイプは次のとおりです。 表 21-1 グラフ タイプ グループ 種類 グラフまたはテーブル 棒グラフ • 棒グラフ • グループ化された棒グラフ • 積み上げ棒グラフ 円グラフ • ブール円グラフ • 円グラフ McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 241 21 クエリとレポート クエリとレポートを初めて設定する場合 表 21-1 グラフ タイプ グループ (続き) 種類 グラフまたはテーブル バブル • バブル チャート サマリー • 複数グループのサマリー テーブル • 単一グループのサマリー テーブル 折れ線グラフ • 複数線の折れ線グラフ • 単線の折れ線グラフ リスト • テーブル テーブルの列 テーブルの列を指定します。データの基本表示形式に [テーブル] を選択した場合、このテーブルの列になります。 データの基本表示形式にグラフを選択した場合には、ドリルダウン テーブルの列になります。 テーブルに表示されるクエリ結果はアクション可能です。たとえば、テーブルにシステム名が表示されている場合、 この表からシステムに直接エージェントを配備したり、ウェークアップを送信することができます。 フィルター プロパティと演算子を選択し、クエリによって取得されるデータを制限することにより、条件を指定します。 クエリとレポートを初めて設定する場合 クエリとレポートを初めて設定する場合には、以下の手順に従ってください。 1 クエリ、レポート、クエリ ビルダーの機能を理解します。 2 デフォルトのクエリとレポートを確認して、必要に応じて編集します。 3 デフォルトのクエリでは要件に合わない場合には、必要に応じてクエリとレポートを作成します。 クエリの操作 組織の要件に合わせて複数のクエリを作成し、実行、エクスポート、複製を行うことができます。 242 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート クエリの操作 21 タスク • 243 ページの「カスタム クエリを管理する」 必要に応じてクエリを作成、複製、編集または削除することができます。 • 245 ページの「既存のクエリを実行する」 保存したクエリは必要なときに実行できます。 • 245 ページの「スケジュールでクエリを実行する」 サーバー タスクを使用すると、クエリを定期的に実行できます。クエリにはサブアクションを設定でき ます。これにより、クエリ結果を電子メールで送信したり、タグを操作するなど、様々なタスクを実行 できます。 • 249 ページの「タグに基づいてシステム リストを作成するクエリを作成する」 スケジュールでクエリを実行して、選択したタグに応じてシステムのタグを表示、適用またはクリアす るリストを作成できます。 • 250 ページの「クエリ グループを作成する」 クエリ グループを作成すると、他のユーザーがアクセスできないクエリまたはレポートを保存できま す。 • 251 ページの「異なるグループにクエリを移動する」 クエリを別のグループに移動して、クエリの権限を変更します。 • 251 ページの「クエリのエクスポートとインポートを行う」 クエリをエクスポートしてインポートすると、別の McAfee ePO サーバーでも同じ方法でデータを取得 できます。 • 252 ページの「クエリの結果を他の形式でエクスポートする」 クエリの結果は、HTML、PDF、CSV、XML などの様々な形式にエクスポートできます。 カスタム クエリを管理する 必要に応じてクエリを作成、複製、編集または削除することができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックします。[クエリとレポート] ページが表示され ます。 2 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 243 21 クエリとレポート クエリの操作 アクショ ン 手順 カスタム 1 [アクション] 、 [新規] の順にクリックします。[クエリ ビルダー] ページが表示されます。 クエリを 作成する。 2 [結果タイプ] ページで、このクエリの機能グループと結果タイプを選択して [次へ] をクリック します。 3 クエリの最初の結果を表示するグラフまたはテーブルの種類を選択し、[次へ] をクリックします。 [ブール円グラフ] を選択した場合、処理を続行する前に、クエリに含める条件を設定する必要があ ります。 4 クエリに含める列を選択し、[次へ] をクリックします。 [グラフ] ページで [テーブル] を選択した場合、ここで選択した列が表の列になります。テーブル を選択しなかった場合は、これらの列でクエリ詳細テーブルが構成されます。 5 検索結果を絞り込むプロパティを選択し、[実行] をクリックします。[未保存のクエリ] ページに クエリの結果が表示されます。この結果はアクション可能であるため、テーブルやドリルダウン テーブルの項目に対して可能なアクションを実行できます。 コンテンツ ペインに選択したプロパティと演算子が表示されます。この演算子で、プロパティに ついて返されるデータの絞り込みに使用する条件を指定できます。 • クエリの結果が予想していたものと異なる場合は、[クエリを編集] をクリックして、[クエリ ビルダー] に戻り、このクエリの詳細を編集します。 • クエリを保存する必要がない場合は、[閉じる] をクリックします。 • このクエリを再使用する場合は、[保存] をクリックして、次の手順に進みます。 6 [クエリを保存] ページが表示されます。クエリの名前を入力し、注記を追加し、以下のいずれか を選択します。 • [新しいグループ] - 新しいグループ名を入力して次のいずれかを選択します。 • [個人用グループ (マイグループ)] • [公開グループ (共有グループ)] • [既存のグループ] - [共有グループ] リストからグループを選択します。 7 [保存] をクリックします。 新しいクエリが [クエリ] リストに表示されます。 クエリを 1 複製するクエリをリストから選択して、[アクション] 、 [複製] の順にクリックします。 複製する。 2 [複製] ダイアログ ボックスで、複製するクエリの名前を入力し、クエリのコピーを送信するグル ープを選択して [OK] をクリックします。 複製されたクエリが [クエリ] リストに表示されます。 244 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート クエリの操作 アクショ ン 21 手順 クエリを 1 編集するクエリをリストから選択して、[アクション] 、 [編集] の順にクリックします。 編集する。 [クエリ ビルダー] ページが開き、[グラフ タイプ] ページが表示されます。 2 クエリの設定を編集します。編集が完了したら [保存] をクリックします。 変更したクエリが [クエリ] リストに表示されます。 クエリを 1 削除するクエリをリストから選択して、[アクション] 、 [削除] の順にクリックします。 削除する。 2 確認のダイアログ ボックスで [はい] をクリックします。 クエリが [クエリ] リストから削除されます。このクエリをレポートまたはサーバー タスクで使用 している場合、削除したクエリの参照を削除するまで、このレポートまたはサーバー タスクは無効 になります。 既存のクエリを実行する 保存したクエリは必要なときに実行できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックして、[クエリ] リストからクエリを選択しま す。 2 [アクション] 、 [実行] の順にクリックします。クエリ結果が表示されます。レポートにドリルダウンし、必要な アクションを実行します。 使用可能なアクションはユーザーの権限によって異なります。 3 完了が終了したら [閉じる] をクリックします。 スケジュールでクエリを実行する サーバー タスクを使用すると、クエリを定期的に実行できます。クエリにはサブアクションを設定できます。これに より、クエリ結果を電子メールで送信したり、タグを操作するなど、様々なタスクを実行できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。 2 説明 ページで、タスクの名前と説明を入力して [次へ] をクリックします。 3 [アクション] ドロップダウン メニューから [クエリを実行] を選択します。 4 [クエリ] フィールドで、実行するクエリを選択します。 5 結果の表示に使用する言語を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 245 21 クエリとレポート クエリの操作 6 [サブアクション] リストで、結果に従って実行するサブアクションを選択します。使用可能なサブアクションは、 ユーザーの権限と McAfee ePO サーバーで管理されている製品によって異なります。これらの組み込みクエリ とサブアクションは [グループ] で使用できます。 カテゴ リ クエリ [エージ [エージェント通信のクエリ] ェント の管理] サブアクション [ファイルを電子メールで送信] [エージェント バージョンのサマリ ー] [ファイルを電子メールで送信] [アクティブでないエージェント] [タグを適用] [ポリシーの割り当て] [ソート ステータスを変更] [エージェント GUID のシーケンス エラー数をクリア] [タグを消去] [システムを削除] [ファイルを電子メールで送信] [タグを除外] [ファイル送信 DC コマンド] [エージェントの GUID を重複リストに移動してシステムを 削除] [システムを移動] [システムを再ソート] [サンプル DC コマンド] [ユーザー プロパティの設定] [検出] 246 [ポイント製品のポリシー施行に失敗 した管理対象ホスト] [ファイルを電子メールで送信] [ポイント製品のポリシー収集に失敗 した管理対象ホスト] [ファイルを電子メールで送信] [リポジトリと使用率] [ファイルを電子メールで送信] [DAT およびエンジンのプル操作に基 づくリポジトリの使用率] [ファイルを電子メールで送信] [マルウェアの検出履歴] [ファイルを電子メールで送信] [製品ごとの 24 時間内の検出] [ファイルを電子メールで送信] [ポリシ [適用済みのクライアント タスク] ー割り 当て] [ファイルを電子メールで送信] [適用済みのポリシー (製品名別)] [ファイルを電子メールで送信] [McAfee Agent に適用済みのポリシ ー] [ファイルを電子メールで送信] [クライアント タスクの割り当てで無 効な継承] [ファイルを電子メールで送信] [ユーザーによるポリシー割り当ての 変更履歴 (30 日間)] [ファイルを電子メールで送信] McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート クエリの操作 カテゴ リ クエリ [製品の [過去 7 日間に試行されたエージェン 配備] トのアンインストール] サブアクション [ファイルを電子メールで送信] [過去 24 時間で失敗した製品配備] [ファイルを電子メールで送信] [過去 24 時間以内に失敗した製品更 新] [ファイルを電子メールで送信] [ePO に追加された新しいエージェン ト (週単位)] [ファイルを電子メールで送信] [過去 2 か月間の製品配備の成功 (2401) と失敗 (2402) の傾向] [ファイルを電子メールで送信] [過去 24 時間に発生した製品更新] [ファイルを電子メールで送信] [システ [重複するシステム名] ム管理] 21 [タグを適用] [ポリシーの割り当て] [ソート ステータスを変更] [エージェント GUID のシーケンス エラー数をクリア] [タグを消去] [システムを削除] [ファイルを電子メールで送信] [タグを除外] [ファイル送信 DC コマンド] [エージェントの GUID を重複リストに移動してシステムを 削除] [システムを移動] [システムを再ソート] [サンプル DC コマンド] [ユーザー プロパティの設定] [最上位のグループごとのシステム] [ファイルを電子メールで送信] [シーケンス エラーが多いシステム] [タグを適用] [ポリシーの割り当て] [ソート ステータスを変更] [エージェント GUID のシーケンス エラー数をクリア] [タグを消去] [システムを削除] [ファイルを電子メールで送信] [タグを除外] [ファイル送信 DC コマンド] [エージェントの GUID を重複リストに移動してシステムを 削除] [システムを移動] [システムを再ソート] McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 247 21 クエリとレポート クエリの操作 カテゴ リ クエリ サブアクション [サンプル DC コマンド] [ユーザー プロパティの設定] [最近シーケンス エラーが報告されて いないシステム] [タグを適用] [ポリシーの割り当て] [ソート ステータスを変更] [エージェント GUID のシーケンス エラー数をクリア] [タグを消去] [システムを削除] [ファイルを電子メールで送信] [タグを除外] [ファイル送信 DC コマンド] [エージェントの GUID を重複リストに移動してシステムを 削除] [システムを移動] [システムを再ソート] [サンプル DC コマンド] [ユーザー プロパティの設定] [管理対象外のシステム] [タグを適用] [ポリシーの割り当て] [ソート ステータスを変更] [エージェント GUID のシーケンス エラー数をクリア] [タグを消去] [システムを削除] [ファイルを電子メールで送信] [タグを除外] [ファイル送信 DC コマンド] [エージェントの GUID を重複リストに移動してシステムを 削除] [システムを移動] [システムを再ソート] [サンプル DC コマンド] [ユーザー プロパティの設定] 248 [脅威イ [すべての脅威イベント (システム ツ ベント] リー グループ別)] [ファイルを電子メールで送信] [過去 24 時間に最も多く検出された 脅威イベントの説明] [ファイルを電子メールで送信] [過去 2 週間の脅威イベント] [ファイルを電子メールで送信] McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート クエリの操作 カテゴ リ クエリ [ユーザ [ユーザーによる設定の変更 (30 日 ー監査] 間)] [過去 30 日間に失敗したログイン試 行] 21 サブアクション [ファイルを電子メールで送信] [ファイルを電子メールで送信] [過去 30 日内に ePO コンソールで失 [ファイルを電子メールで送信] 敗したユーザーのアクション] [ユーザーによるサーバーの設定 (30 日間)] [ファイルを電子メールで送信] [過去 30 日間に成功したログイン試 行] [ファイルを電子メールで送信] クエリ結果に対して実行するアクションは 1 つとは限りません。[+] をクリックして、クエリ結果対するアクショ ンを追加します。クエリ結果に対して実行するアクションの順番に注意してください。 7 [次へ] をクリックします。 8 必要に応じてタスクのスケジュールを設定し、[次へ] をクリックします。 9 タスクの詳細を確認し、[保存] をクリックします。 サーバー タスク ページのリストで選択したタスクが追加されます。タスクが有効になっている場合 (デフォルト)、 次のスケジュール時に実行されます。タスクが無効になっている場合は、[サーバー タスク] ページのタスクの横に ある 実行 をクリックすると、タスクが実行されます。 タグに基づいてシステム リストを作成するクエリを作成する スケジュールでクエリを実行して、選択したタグに応じてシステムのタグを表示、適用またはクリアするリストを作 成できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。 2 [説明] ページで、タスクの名前と説明を入力して [次へ] をクリックします。 3 [アクション] ドロップダウン メニューから [クエリを実行] を選択します。 4 [クエリ] フィールドで [McAfee グループ] タブからクエリを選択し、[OK] をクリックします。 5 • [アクティブでないエージェント] • [重複するシステム名] • [シーケンス エラーが多いシステム] • [最近シーケンス エラーが報告されていないシステム] • [管理対象外のシステム] 結果の表示に使用する言語を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 249 21 クエリとレポート クエリの操作 6 7 [サブアクション] リストで、結果に従って実行するサブアクションを選択します。 • [タグを適用] - タグを選択して、クエリで戻されたシステムに適用します。 • [タグを消去] - タグを選択して、クエリで戻されたシステムからタグを消去します。[すべて消去] を選択す ると、クエリ結果にあるシステムからすべてのタグが削除されます。 • [タグを除外] - 選択したタグが適用されているシステムをクエリ結果から除外します。 [タグの選択] ウィンドウで、[タグ グループ ツリー] からタグ グループを選択します。[タグ] テキスト ボック スでタグ リストをフィルタリングすることもできます。 クエリ結果に対して実行するアクションは 1 つとは限りません。[+] をクリックして、クエリ結果に対するアクシ ョンを追加します。クエリ結果に対して実行するアクションの順番に注意してください。たとえば、Server タグ を適用して Workstation タグを削除できます。システムへのポリシーの割り当てなど、他のサブアクションを追 加することもできます。 8 [次へ] をクリックします。 9 必要に応じてタスクをスケジュール設定し、[次へ] をクリックします。 10 タスクの詳細を確認し、[保存] をクリックします。 [サーバー タスク] ページのリストに選択したタスクが追加されます。タスクが有効化されている場合 (デフォル ト)、次のスケジュール時に実行されます。タスクが無効になっている場合は、[サーバー タスク] ページのタスクの 横にある [実行] をクリックすると、タスクが実行されます。 クエリ グループを作成する クエリ グループを作成すると、他のユーザーがアクセスできないクエリまたはレポートを保存できます。 グループを作成すると、クエリとレポートを機能別に分類し、アクセスを制御することができます。ePolicy Orchestrator で表示されるグループの リストには、自身が作成したグループだけでなく、表示が許可されたグルー プも表示されます。 カスタム クエリを保存して、個人用クエリのグループを作成できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[グループ アクション] 、 [新規グループ] の順にクリックします。 2 [新規グループ] ページで、グループ名を入力します。 3 [グループの表示状態] で、次のいずれかを選択します。 • [プライベート グループ] - [マイグループ] の下に新しいグループを追加します。 • [公開グループ] - [共有グループ] の下に新しいグループを追加します。公開クエリと公開レポートに対す るアクセス権があれば、このグループ内のクエリとレポートを表示できます。 • [権限セット別に共有] - [共有グループ] の下に新しいグループを追加します。このグループのレポートま たはクエリにアクセスできるのは、選択した権限セットが付与されたユーザーだけです。 管理者には、すべての権限別クエリと公開クエリに対するフルアクセスが許可されます。 4 250 [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート クエリの操作 21 異なるグループにクエリを移動する クエリを別のグループに移動して、クエリの権限を変更します。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックします。[クエリ] リストで、移動するクエリを 選択します。 2 [アクション] をクリックして、次のいずれかを選択します。 3 • [別のグループに移動] - [ターゲット グループを選択] メニューからグループを選択します。 • [複製] - 新しい名前を指定し、[コピーを受信するグループ] メニューからグループを選択します。 [OK] をクリックします。 クエリのエクスポートとインポートを行う クエリをエクスポートしてインポートすると、別の McAfee ePO サーバーでも同じ方法でデータを取得できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[クエリ] タブを選択して、[クエリ] ペー ジを開きます。 2 以下のいずれかのアクションを選択します。 アクショ 手順 ン クエリを 1 エクスポートするクエリのあるグループを [グループ] リストから選択します。次に、エクスポー エクスポ トするクエリを選択します。 ートする 2 [アクション] 、 [定義のエクスポート] の順にクリックします。 McAfee ePO サーバーが XML ファイルをブラウザーに送信します。ブラウザーの設定によって 次の処理が変わります。デフォルトでは、ファイルの保存が確認されます。 エクスポートされた XML には、エクスポートされたクエリの複製に必要なすべての設定が記述され ています。 クエリを 1 [アクション] 、 [定義のインポート] の順にクリックします。 インポー 2 [参照] をクリックして、インポートするダッシュボードを含む XML ファイルを選択します。 トする 3 クエリに新しいグループまたは既存のグループを選択します。新しいグループの場合、グループの 名前を入力して、個人用グループか公開グループかを指定します。既存のグループの場合には、イ ンポートするクエリを追加するグループを選択します。 4 [保存] をクリックします。 確認の画面の表示され、XML ファイルにあるクエリとインポート後のクエリ名に関する情報が表 示されます。選択したファイルに有効なクエリがない場合、エラー メッセージが表示されます。 5 [OK] をクリックして、インポート処理を完了します。 新しくインポートされたクエリに、インポート先のグループの権限が付与されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 251 21 クエリとレポート クエリの操作 クエリの結果を他の形式でエクスポートする クエリの結果は、HTML、PDF、CSV、XML などの様々な形式にエクスポートできます。 クエリ結果のエクスポートは、いくつかの点でレポートの作成とは異なります。まず、レポートと異なり、出力に別 の情報は追加されません。結果データのみが含まれます。また、より多くの形式がサポートされています。エクスポ ートされたクエリ結果は、別の処理で使用できるように、XML や CSV などの形式でエクスポートされます。レポー トの場合、人が読みやすい形式にするため、出力形式は PDF のみになります。 コンソールのクエリ結果とは異なり、エクスポートされたデータにアクションを実行できません。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、1 つ以上のクエリを選択します。 [クエリ] ページでクエリを実行し、クエリの結果ページから [オプション] 、 [データのエクスポート] の順にク リックすると、[エクスポート] ページにアクセスできます。 2 [アクション] 、 [データのエクスポート] の順にクリックします。 [エクスポート] ページが開きます。 3 エクスポートの対象を選択します。グラフベースのクエリの場合、[グラフ データのみ] または [グラフおよびド リルダウン テーブル] を選択します。 4 データ ファイルを個別にエクスポートするか、1 つのアーカイブ ファイル (zip) にエクスポートするかを選択し ます。 5 エクスポート ファイルの形式を選択します。 6 7 • [CSV] - Microsoft Excel などの表計算アプリケーションで使用する場合に、この形式を使用します。 • [XML] - 他の目的で使用できるようにデータを変換する場合に、この形式を使用します。 • [HTML] - エクスポートした結果を Web ページとして表示する場合に、このレポート形式を使用します。 • [PDF] - 結果を印刷する場合に、このレポート形式を使用します。 PDF ファイルにエクスポートする場合には、次の項目を設定します。 • [ページ サイズ] と [用紙の向き] を選択します。 • (オプション) [フィルター条件を表示] • (オプション) [このテキストにカバー ページを付ける] と必要なテキスト 電子メールに添付してファイルを送信するか、保存先を指定してファイルをサーバー上に保存するのかを選択し ます。ファイルを右クリックすると、ファイルを開いたり、別の場所に保存することができます。 複数の送信先アドレスを入力する場合には、電子メール アドレスをカンマまたはセミコロンで区切ってください。 8 [エクスポート] をクリックします。 ファイルが作成され、電子メールに添付されて受信者に送信されます。あるいは、ファイルへのリンクを含むページ が表示されます。 252 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート マルチサーバー ロールアップ クエリ 21 マルチサーバー ロールアップ クエリ ePolicy Orchestrator では、クエリを実行して複数のデータベースからサマリ データを収集し、レポートを作成す ることができます。 [クエリ ビルダー] ウィザードで次の結果タイプを使用すると、このタイプのクエリが実行できます。 • ロールアップされた脅威イベント • ロールアップされた管理対象システム • ロールアップされたクライアント イベント • ロールアップされた適用済みのポリシー • ロールアップされた対応状況履歴 ロールアップの結果からアクション コマンドを生成することはできません。 機能 ロールアップ クエリで使用するデータをロールアップするには、クエリに使用するサーバー (ローカル サーバーを 含む) を登録する必要があります。 サーバーを登録したら、レポーティング サーバー (マルチサーバー レポーティングを実行するサーバー) で [データ をロールアップ] サーバー タスクを設定する必要があります。[データをロールアップ] サーバー タスクを実行する と、レポート対象のすべてのデータベースから情報が取得され、レポーティング サーバーの EPORollup_ 表に追加 されます。ロールアップ クエリは、レポーティング サーバーのデータベース表を対象にします。 ロールアップされた対応状況履歴クエリを実行するには、データを収集する各サーバーで次の 2 つの操作を事前に行 う必要があります。 • クエリを作成して対応状況を定義する • 対応状況イベントを生成する データ ロールアップ サーバー タスクを作成する データ ロールアップ サーバー タスクは、複数のサーバーから同時にデータを取得します。 開始する前に まず最初に、ロールアップ レポートに追加する ePolicy Orchestrator レポート サーバーを登録する必 要があります。各サーバーからサマリー データを収集し、ロールアップ レポーティング サーバーの EPORollup_ 表に表示するには、ePO サーバーを登録する必要があります。 サマリー データをロールアップ レポートに追加するには、レポーティング サーバーが登録されていな ければなりません。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。 2 [説明] ページで、タスクの名前と説明を入力して、タスクを有効にするかどうかを選択し、[次へ] をクリックし ます。 3 [アクション] をクリックして、[データをロールアップ] を選択します。 4 [データのロールアップ元:] ドロップダウン メニューから [すべての登録済みサーバー] または [登録済みサー バーを選択] を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 253 21 クエリとレポート マルチサーバー ロールアップ クエリ 5 前の手順で [登録済みサーバーを選択] を選択した場合には、[選択] をクリックして、データを収集するサーバー を [登録済みサーバーを選択] ダイアログ ボックスで選択します。[OK] をクリックします。 6 ロールアップするデータのタイプを選択します。複数のデータ タイプを選択するには、テーブル見出しの最後に ある [+] をクリックします。 データ タイプが脅威イベント、クライアント イベント、適用済みポリシーの場合、パージ、フィルター、ロール アップ方法などのプロパティを追加することができます。この操作を行うには、使用可能なプロパティの行で [設 定] をクリックします。 7 [次へ] をクリックします。 [スケジュール] ページが表示されます。 8 タスクのスケジュールを設定し、[次へ] をクリックします。 [サマリー] ページが表示されます。 ロールアップされた対応状況履歴データのレポートを生成する場合には、ロールアップされた対応状況履歴クエリ の時間単位と、登録済みサーバーの [対応状況イベントを生成] サーバー タスクのスケジュール タイプを一致させ る必要があります。 9 設定を確認し、[保存] をクリックします。 クエリを作成して対応状況を定義する ロールアップ クエリでデータが使用される McAfee ePO サーバーには、対応状況のクエリが必要です。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[アクション] 、 [新規] の順にクリックし ます。 2 [結果タイプ] ページで、機能グループに [システム管理] を選択し、結果タイプに [管理対象システム] を選択し て [次へ] をクリックします。 3 [結果を表示する形式] リストから [ブール円グラフ] を選択して、[条件を設定] をクリックします。 4 クエリに追加するプロパティを選択して、各プロパティに演算子と値を設定します。[OK] をクリックします。 [グラフ] ページが表示されたら、[次へ] をクリックします。 これらのプロパティにより、この McAfee ePO サーバーが管理するシステムの対応状況が定義されます。 5 クエリに追加する列を選択して、[次へ] をクリックします。 6 クエリに適用するフィルターを選択して [実行] をクリックして [保存] をクリックします。 対応状況イベントを生成する 対応状況イベントは、ロールアップ クエリで使用され、1 つのレポート用にデータが集計されます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 254 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。 2 [説明] ページで、新しいタスクの名前を入力し、[次へ] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート レポート 21 3 [アクション] ドロップダウン メニューから [クエリを実行] を選択します。 4 [クエリ] フィールドの横にある参照ボタン ([...]) をクリックして、クエリを選択します。[リストからクエリを 選択] ダイアログ ボックスが開き、[マイグループ] タブが表示されます。 5 対応状況を定義するクエリを選択します。[McAfee グループ] セクションの「[McAfee Agent 対応状況のサマリ ー]」などのデフォルトのクエリを選択することも、ユーザーが作成したクエリ (「対応状況を定義するクエリの 作成」を参照) を選択することもできます。 6 [サブアクション] ドロップダウン メニューで [順守状況イベントを生成] を選択し、ターゲット システムの比率 または数を指定して [次へ] をクリックします。 設定した比率またはシステム数以上のシステムが非対応の場合、[順守状況イベントを生成] タスクによってイベン トが生成されます。 7 対応状況履歴レポートが生成できるようにタスクのスケジュールを設定します。たとえば、対応状況データを週 単位で収集している場合には、毎週実行されるようにタスクのスケジュールを設定します。[次へ] をクリックし ます。 8 詳細を確認し、[保存] をクリックします。 レポート レポートは、クエリの結果と他の要素を含む PDF 文書です。レポートを使用すると、詳しい分析を行うことができ ます。 レポートを使用すると、脆弱性、使用状況、イベントなど、環境の状態を確認できます。これにより、環境を保護す るために必要な変更を行うことができます。 クエリによって、類似した情報が戻されますが、クエリを使用できるのは、McAfee ePO サーバーに直接接続してい る場合だけです。レポートは複数のクエリ結果を 1 つの PDF 文書にまとめたもので、オフラインでの分析作業で利 用できます。 レポートは設定可能な文書で、複数のデータベースにあるデータを使用することができます。どのレポートも、前回 の実行結果がシステムに保存されます。このレポートはいつでも表示することができます。 グループまたは権限セットを使用すると、クエリと同じ方法でレポートに対するアクセスを制限できます。レポート とクエリは同じグループを使用できます。レポートは主にクエリから構成されるので、一貫したアクセス制御を行う ことができます。 レポートの構造 レポートの基本形式には様々な要素が含まれています。 レポートは非常に柔軟にカスタマイズできますが。可変要素をすべて含む基本的な構造があります。 ページのサイズと向き ePolicy Orchestrator は現在、ページ サイズと向きについて、次のような 6 つの組み合わせをサポートしていま す。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 255 21 クエリとレポート レポートの操作 ページ サイズ: • US Letter (8.5" x 11") • US Legal (8.5" x 14") • A4 (210mm x 297mm) 向き: • 横 • 縦 ヘッダーとフッター システム デフォルトのヘッダーとフッターを使用することも、ロゴなどの要素を変更することもできます。ヘッダー とフッターで使用できる要素は次のとおりです。 • ロゴ • ユーザー名 • 日時 • カスタム テキスト • ページ番号 ページ要素 ページ要素はレポートのコンテンツと構成します。要素は任意の順序で使用できます。また、必要に応じて複製でき ます。ePolicy Orchestrator で用意されているページ要素は次のとおりです。 • 画像 • クエリ テーブル • 静的テキスト • クエリ チャート • ページ区切り レポートの操作 クエリと他の要素を組み合わせて、PDF 形式の詳しいレポートを作成できます。また、レポートを編集したり、管理 することもできます。 これらの文書を使用すると、有益なデータを数多く取得することができます。要件に合ったレポートを作成するには、 いくつかの作業を行う必要があります。 256 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート レポートの操作 21 タスク • 257 ページの「新しいレポートを作成する」 ePolicy Orchestrator では、新しいレポートを作成して保存することができます。 • 257 ページの「既存のレポートを編集する」 既存のレポートのコンテンツや表示順序を変更できます。 • 262 ページの「レポート出力を表示する」 前回実行したレポートを表示します。 • 262 ページの「レポートをグループ化する」 レポートはグループに割り当てる必要があります。 • 263 ページの「レポートを実行する」 結果を調査する前にレポートを実行する必要があります。 • 263 ページの「サーバー タスクでレポートを実行する」 サーバー タスクを使用すると、レポートを自動的に実行できます。 • 264 ページの「レポートのエクスポートとインポートを行う」 レポートには高度に構造化された情報が含まれています。サーバー間でレポートのエクスポートとイン ポートを行うと、すべての McAfee ePO サーバーで同じ形式のデータを取得し、報告することができま す。 • 264 ページの「エクスポートしたレポートのテンプレートと場所を設定する」 文書としてエクスポートするテーブルとダッシュボードの表示方法と保存場所を定義できます。 • 265 ページの「レポートを削除する」 使用していないレポートは削除できます。 • 265 ページの「McAfee ePO によるダウンロードを自動的に承認するように Internet Explorer 8 を 設定する」 セキュリティ上の理由から、Microsoft Internet Explorer が ePolicy Orchestrator によるダウンロー ドを自動的にブロックする場合があります。Internet Explorer の設定を変更すると、この動作を変更 できます。 新しいレポートを作成する ePolicy Orchestrator では、新しいレポートを作成して保存することができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 [アクション] 、 [新規] の順にクリックします。 空白の [レポートのレイアウト] ページが表示されます。 3 [名前、説明、グループ] をクリックします。レポートの名前を入力します。レポートの説明を入力することもで きます。レポートに適切なグループを選択します。[OK] をクリックします。 4 要素を追加、削除、再配置できます。ヘッダーとフッターをカスタマイズしたり、ページ レイアウトを変更でき ます。この時点で、[実行] をクリックしてレポートを実行し、結果を確認することもできます。 5 完了したら、[保存] をクリックします。 既存のレポートを編集する 既存のレポートのコンテンツや表示順序を変更できます。 新しいレポートを作成する場合、[新しいレポート] をクリックした後にこの画面が表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 257 21 クエリとレポート レポートの操作 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 名前の横にあるチェックボックスを選択し、リストからレポートを選択します。 3 [編集] をクリックします。 [レポートのレイアウト] ページが表示されます。 レポートで以下のタスクが実行できます。 タスク • 258 ページの「レポートに要素を追加する」 既存のレポートに新しい要素を追加できます。 • 259 ページの「レポートの画像要素を設定する」 レポートに使用する新しい画像をアップロードしたり、画像を変更することができます。 • 259 ページの「レポートのテキスト要素を設定する」 コンテンツを説明する静的テキストをレポートに挿入できます。 • 260 ページの「レポートのクエリ テーブル要素を設定する」 レポートでクエリを使用する場合、クエリをテーブル形式で表示したほうが見やすくなる場合がありま す。 • 260 ページの「レポートのクエリ グラフ要素を設定する」 レポートでクエリを使用する場合、クエリをグラフ形式で表示したほうが見やすくなる場合があります。 • 261 ページの「レポートのヘッダーとフッターをカスタマイズする」 ヘッダーとフッターにレポートに関する情報を表示できます。 • 261 ページの「レポートから要素を削除する」 不要になった要素をレポートから削除できます。 • 262 ページの「レポート要素を再配置する」 レポート内の要素の配置を変更できます。 レポートに要素を追加する 既存のレポートに新しい要素を追加できます。 開始する前に このタスクを実行するには、[レポートのレイアウト] ページでレポートを表示する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [ツールボックス] から要素を選択して、[レポートのレイアウト] にドラッグします。 2 必要な場所に要素をドロップします。 [ページ区切り] 以外のレポート要素は設定が必要です。要素の設定ページが表示されます。 3 258 要素を設定したら [OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート レポートの操作 21 レポートの画像要素を設定する レポートに使用する新しい画像をアップロードしたり、画像を変更することができます。 開始する前に [レポートのレイアウト] ページでレポートを表示する必要があります。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 レポートですでに使用している画像を編集するには、画像の左上隅にある矢印をクリックします。[設定] をクリ ックします。 [画像の設定] ページが表示されます。レポートに画像を追加すると、レポートに画像要素をドロップした直後に [画像の設定] ページが表示されます。 2 既存の画像を使用する場合には、ギャラリーから画像を選択します。 3 新しい画像を使用する場合には、[参照] をクリックして、コンピューター上にある画像を選択します。[OK] を クリックします。 4 画像の幅を指定する場合には、[イメージの幅] フィールドにサイズを入力します。 デフォルトでは、画像の幅がページで使用可能な幅を超えていなければ、既存の幅で画像が表示されます。超え ている場合には、縦横の比率は変えず、使用可能な幅にサイズが変更されます。 5 画像の位置合わせ (左寄せ、中央揃え、右寄せ) を選択します。 6 [OK] をクリックします。 レポートのテキスト要素を設定する コンテンツを説明する静的テキストをレポートに挿入できます。 開始する前に [レポートのレイアウト] ページでレポートを表示する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 レポートですでに使用しているテキストを編集するには、テキスト要素の左上隅にある矢印をクリックします。 [設定] をクリックします。 [テキストの設定] ページが表示されます。レポートに新しいテキストを追加すると、レポートにテキスト要素を ドロップした直後に [テキストの設定] ページが表示されます。 2 [テキスト] 編集ボックスで既存のテキストを編集するか、新しいテキストを追加します。 3 必要に応じてフォント サイズを変更します。 デフォルトは 12pt です。 4 テキストの位置 (左寄せ、中央揃え、右寄せ) を選択します。 5 [OK] をクリックします。 入力したテキストが、レポート レイアウトのテキスト要素に表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 259 21 クエリとレポート レポートの操作 レポートのクエリ テーブル要素を設定する レポートでクエリを使用する場合、クエリをテーブル形式で表示したほうが見やすくなる場合があります。 開始する前に [レポートのレイアウト] ページでレポートを表示する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 レポートですでに使用しているテーブルを編集するには、テーブルの左上隅にある矢印をクリックします。[設 定] をクリックします。 [クエリ テーブルの設定] ページが表示されます。レポートにクエリ テーブルを追加すると、レポートにクエリ テーブル要素をドロップした直後に [クエリ テーブルの設定] ページが表示されます。 2 [クエリ] ドロップダウン リストからクエリを選択します。 3 クエリを実行するダッシュボードを [データベース] ドロップダウン リストから選択します。 4 テーブル データを表示するフォント サイズを選択します。 デフォルトは 8pt です。 5 [OK] をクリックします。 レポートのクエリ グラフ要素を設定する レポートでクエリを使用する場合、クエリをグラフ形式で表示したほうが見やすくなる場合があります。 開始する前に [レポートのレイアウト] ページでレポートを表示する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 レポートですでに使用しているグラフを編集するには、グラフの左上隅にある矢印をクリックします。[設定] を クリックします。 [クエリ グラフの設定] ページが表示されます。レポートにクエリ グラフを追加すると、レポートにクエリ テー ブル要素をドロップした直後に [クエリ グラフの設定] ページが表示されます。 2 [クエリ] ドロップダウン リストからクエリを選択します。 3 グラフのみを表示するのか、凡例だけを表示するのか、この両方を表示するのかを選択します。 4 グラフと凡例の両方を表示する場合には、グラフと凡例の表示位置を選択します。 5 凡例を表示するフォント サイズを選択します。 デフォルトは 8pt です。 6 グラフ イメージの高さを pixel 単位で選択します。 デフォルトは、ページの 1/3 の高さです。 7 260 [OK] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート レポートの操作 21 レポートのヘッダーとフッターをカスタマイズする ヘッダーとフッターにレポートに関する情報を表示できます。 ヘッダーとフッターには異なるデータ フィールドを挿入できます。フィールドを追加できる場所は 6 個所あります (ヘッダーに 3 個所、フッターに 3 個所)。 ヘッダーでは、左寄せのロゴと右寄せの 2 つのフィールドを使用できます。これらのフィールドには、次のいずれか の値を使用できます。 • なし • 日時 • ページ番号 • レポートを実行したユーザーの名前 フッターには 3 つのフィールドを挿入できます。1 つは左寄せ、1 つは中央、もう 1 つは右寄せです。この 3 つの フィールドには、前述の値だけでなく、カスタム テキストも使用できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリ] の順にクリックします。[レポート] タブを選択します。 2 レポートを選択して、[アクション] 、 [編集] の順にクリックします。 3 [ヘッダーとフッター] をクリックします。 4 デフォルトでは、ヘッダーとフッターにはシステム設定が使用されます。別の値を使用するには、[デフォルトの サーバー設定の使用] の選択を解除します。 ヘッダーとフッターのシステム設定を変更するには、[メニュー] 、 [設定] 、 [サーバー設定] の順にクリック し、[印刷とエクスポート] を選択して [編集] をクリックします。 5 ロゴを変更するには、[ロゴを編集] をクリックします。 a ロゴをテキストにするには、[テキスト] を選択して、編集ボックスにテキストを入力します。 b 新しいロゴをアップロードするには、[画像] を選択して、コンピューター上にある画像を検索して選択し、 [OK] をクリックします。 c すでにアップロード済みのロゴを使用する場合には、そのロゴを選択します。 d [保存] をクリックします。 6 必要なデータに一致するようにヘッダーとフッターのフィールドを変更して [OK] をクリックします。 7 [保存] をクリックして、レポートに行った変更を保存します。 レポートから要素を削除する 不要になった要素をレポートから削除できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 レポートを選択して、[アクション] 、 [編集] の順にクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 261 21 クエリとレポート レポートの操作 3 削除する要素の左上隅の矢印をクリックして、[削除] をクリックします。 要素がレポートから削除されます。 4 レポートに対する変更を保存するには、[保存] をクリックします。 レポート要素を再配置する レポート内の要素の配置を変更できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 リストからレポートを選択して、[アクション] 、 [編集] の順にクリックします。 3 要素を移動するには、要素のタイトル バーをクリックして新しい場所にドラッグします。 レポート内でカーソルを移動すると、ドラッグした要素の位置が移動します。不正な場所の上にカーソルを置く と、レポートの上に赤い棒が表示されます。 4 必要な場所に要素が移動したら、要素をドロップします。 5 [保存] をクリックして、レポートに行った変更を保存します。 レポート出力を表示する 前回実行したレポートを表示します。 レポートを実行するたびに、サーバーに結果が保存され、レポート リストに表示されます。 レポートを実行すると、前の結果は消去され、取得できなくなります。同じレポートの結果を比較する場合には、出力 を別の場所に保管しておくことをお勧めします。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 レポート リストに [前回の実行結果] 列があります。この列には、前回正常に作成されたレポート (PDF 形式) へ のリンクが表示されます。この列のリンクをクリックすると、レポートを取得できます。 PDF ファイルが、ブラウザーに設定された PDF ファイルの処理方法に従って表示されます。 レポートをグループ化する レポートはグループに割り当てる必要があります。 レポートは作成時にグループに割り当てられます。この割り当ては後で変更できます。レポートをグループ化する と、類似したレポートを一つにまとめて、特定のレポートの権限を管理できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 262 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 レポートを選択して、[アクション] 、 [編集] の順にクリックします。 3 [名前、説明、グループ] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート レポートの操作 4 [レポート グループ] ドロップダウン リストからグループを選択して、[OK] をクリックします。 5 [保存] をクリックして、レポートに行った変更を保存します。 21 レポート ウィンドウの左ペインにある [グループ] リストからグループを選択すると、レポートがレポート リストに 表示されます。 レポートを実行する 結果を調査する前にレポートを実行する必要があります。 ePolicy Orchestrator では、次の 3 個所でレポートを実行できます。 • レポート リスト • サーバー タスク • [レポートのレイアウト] ページ。新しいレポートを作成している場合か、既存のレポートを編集している場合。 このトピックでは、レポート リストからレポートを実行する場合について説明します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 レポート リストからレポートを選択し、[アクション] 、 [実行] の順にクリックします。 レポートが完了すると、結果の PDF がブラウザーに送信されます。このファイルは、ブラウザーの設定に従って ブラウザーに表示されるか、ダウンロードされます。 レポートの生成には時間がかかる場合があります。複数のレポートを同時に実行することもできますが、インターフ ェースから複数のレポートを同時に開始することはできません。レポートが完了すると、レポート リストの [前回の 実行結果] 列が更新され、結果を含む PDF へのリンクが表示されます。 サーバー タスクでレポートを実行する サーバー タスクを使用すると、レポートを自動的に実行できます。 手動による操作を行わずにレポートを実行するには、サーバー タスクが最適な方法です。このタスクでは、スケジュ ールを設定して特定のレポートを自動的に実行する新しいサーバー タスクを作成します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。 2 タスクの名前を付けます。オプションで、メモを入力することもできます。タスクのスケジュール ステータスを 設定できます。[次へ] をクリックします。 タスクを自動的に実行するには、[スケジュール ステータス] を [有効] に設定します。 3 [アクション] ドロップダウン リストから [レポートを実行] を選択します。実行するレポートと対象言語を選択 します。[次へ] をクリックします。 4 スケジュールの種類 (頻度)、レポートを実行する開始日、終了日、スケジュールを選択します。[次へ] をクリッ クします。 スケジュール情報は、[スケジュール ステータス] を有効にした場合にのみ使用されます。 5 [保存] をクリックしてサーバー タスクを保存します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 263 21 クエリとレポート レポートの操作 タスクが [サーバー タスク] リストに表示されます。 レポートのエクスポートとインポートを行う レポートには高度に構造化された情報が含まれています。サーバー間でレポートのエクスポートとインポートを行う と、すべての McAfee ePO サーバーで同じ形式のデータを取得し、報告することができます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択して、[クエリ] ペ ージを開きます。 2 以下のいずれかのアクションを選択します。 アクショ ン 手順 レポート をエクス ポートす る 1 エクスポートするレポートのあるグループを [グループ] リストから選択します。 2 エクスポートするレポートを選択して、[アクション] 、 [エクスポート] の順にクリックします。 McAfee ePO サーバーが XML ファイルをブラウザーに送信します。ブラウザーの設定によって 処理が変わります。デフォルトでは、ファイルの保存が確認されます。 エクスポートしたレポートには、レポートを構成する項目の定義が含まれています。外部データベー スの定義、クエリ、グラフィックなどが含まれています。 レポート をインポ ートする 1 [レポート] ページで、[アクション] 、 [インポート] の順にクリックします。 2 [参照] をクリックして、インポートするレポートを含む XML ファイルを選択します。 3 レポートに新しいグループまたは既存のグループを選択します。新しいグループの場合、グループ の名前を入力して、個人用グループか公開グループかを指定します。既存のグループの場合には、 インポートするレポートを追加するグループを選択します。 4 [OK] をクリックします。 5 [インポート] をクリックして、インポート処理を完了します。 新しくインポートしたレポートに、インポート先のグループの権限が付与されます。 エクスポートしたレポートのテンプレートと場所を設定する 文書としてエクスポートするテーブルとダッシュボードの表示方法と保存場所を定義できます。 [印刷とエクスポート] サーバー設定で、次の設定を行うことができます。 • ヘッダーとフッター (カスタム ロゴ、名前、ページ番号など) • 印刷時のページ サイズと方向 • エクスポートされたテーブルとダッシュボードの格納先ディレクトリ タスク オプションの定義については、インターフェースの [?] をクリックしてください。 264 1 [メニュー] 、 [設定] 、 [サーバーの設定] の順にクリックし、[設定] リストの [印刷とエクスポート] を選択し ます。 2 [編集] をクリックします。[印刷とエクスポートの編集] ページが表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート レポートの操作 3 21 [エクスポートされる文書のヘッダーとフッター] セクションで [ロゴを編集] をクリックし、[ロゴの編集] ペー ジを開きます。 [テキスト] を選択し、文書のヘッダーに含めるテキストを入力するか、次のいずれかを実行します。 a • [イメージ] を選択して、会社のロゴなどを含む画像ファイルを検索します。 • デフォルトの McAfee ロゴを選択します。 [OK] をクリックして、[印刷とエクスポートの編集] ページに戻ります。 b 4 ヘッダーとフッターに表示するメタデータをドロップダウン リストから選択します。 5 ページ サイズと用紙の向きを選択します。 6 エクスポートする文書の保存先として新しい場所を入力するか、デフォルトの場所を使用します。 7 [保存] をクリックします。 レポートを削除する 使用していないレポートは削除できます。 開始する前に レポートを削除するには、該当するレポートの編集権限が必要です。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [クエリとレポート] の順にクリックし、[レポート] タブを選択します。 2 削除するレポートをレポートのリストから選択します。複数のレポートを選択できます。 3 [アクション] 、 [削除] の順にクリックします。操作を続行してよければ、[はい] をクリックします。 レポートが削除されます。削除されたレポートに関連するサーバー タスクはすべて無効になります。 McAfee ePO によるダウンロードを自動的に承認するように Internet Explorer 8 を設定する セキュリティ上の理由から、Microsoft Internet Explorer が ePolicy Orchestrator によるダウンロードを自動的 にブロックする場合があります。Internet Explorer の設定を変更すると、この動作を変更できます。 レポートの実行や、XML ファイルへのエクスポートなど、ePolicy Orchestrator で特定の操作を実行すると、 Internet Explorer 8 がダウンロードのブロックを通知する場合があります。 Internet Explorer は、タブバーのすぐ下にある黄色のバーに「セキュリティ上の理由から、Internet Explorer はこのサイトからのファイルのダウンロードをブロックしました。ここをクリックしてオプションを選択してくださ い。」という内容の通知を表示します。メッセージをクリックすると、ブロックされたファイルをダウンロードするオ プションが表示されます。ただし、ePolicy Orchestrator がファイルの送信を試みると、同じメッセージが表示され ます。このメッセージを表示しないようにするには、次の操作を行います。 オプションの定義の場合、インターフェースで [?] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 265 21 クエリとレポート データベース サーバーの使用 タスク 1 Internet Explorer 8 で、[ツール] 、 [インターネット オプション] の順に選択します。 2 [セキュリティ] タブで、[ローカル イントラネット] をクリックします。 McAfee ePO サーバーを信頼サイトに追加している場合には、[ローカル イントラネット] ではなく、[信頼済み サイト] をクリックします。 3 [レベルのカスタマイズ...] をクリックします。 4 下にスクロールして [ファイルのダウンロード時に自動的にダイアログを表示] オプションを [有効] に設定しま す。[OK] をクリックして内容を確認し、[はい] をクリックします。 5 [OK] をクリックして [インターネット オプション] ダイアログ ボックスを閉じます。 最初の操作を再度行うと、黄色の警告バーが表示されず必要なファイルがダウンロードされます。 データベース サーバーの使用 ePolicy Orchestrator は、固有のデータベースだけでなく、拡張ファイルからもデータを取得します。 ePolicy Orchestrator でタスクを実行するために、異なる種類のサーバーの登録が必要になる場合があります。たと えば、認証サーバー、Active Directory カタログ、McAfee ePO サーバー、インストールしている特定の拡張ファ イルと連動するデータベース サーバーなどを登録します。 データベース タイプ 拡張ファイルがデータベース タイプ(スキーマまたは構造)を ePolicy Orchestrator に登録する場合があります。 この拡張ファイルは、クエリ、レポート、ダッシュボード モニター、サーバー タスクで使用するデータを提供しま す。このデータを使用するには、サーバーを ePolicy Orchestrator で登録する必要があります。 データベース サーバー データベース サーバー は、サーバーとそのサーバーにインストールされているデータベース タイプの組み合わせで す。サーバーには複数のデータベース タイプが定義されている場合があります。また、1 つのデータベース タイプ が複数のサーバーにインストールされている場合もあります。この 2 つの組み合わせが個別に登録され、データベー ス サーバーとして定義されます。 データベース サーバーの登録後、クエリ、レポート、ダッシュボード モニター、サーバー タスクでデータベースの データを取得できます。同じデータベース タイプを使用する複数のデータベースが登録されている場合には、データ ベース タイプでデフォルトとして使用されるデータベースを選択する必要があります。 データベース サーバーの操作 データベース サーバーは登録、変更、表示または削除できます。 タスク • 267 ページの「データベースの登録を変更する」 データベース サーバーとの接続状態またはログイン認証情報が変更された場合には、最新の状態を反映 させるため、登録方法を変更してください。 • 267 ページの「登録済みデータベースを削除する」 不要になったデータベースをシステムから削除できます。 266 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド クエリとレポート [クエリ グループの編集] ページ 21 データベースの登録を変更する データベース サーバーとの接続状態またはログイン認証情報が変更された場合には、最新の状態を反映させるため、 登録方法を変更してください。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [登録済みサーバー] ページを開き、[メニュー] 、 [設定] 、 [登録済みサーバー] の順に選択します。 2 削除するデータベースを選択して、[アクション] 、 [編集] の順にクリックします。 3 サーバーの名前またはメモを変更し、[次へ] をクリックします。 4 必要に応じて情報を変更します。データベース接続を確認する必要がある場合には、[テスト接続] をクリックし ます。 5 [保存] をクリックして、変更を保存します。 登録済みデータベースを削除する 不要になったデータベースをシステムから削除できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [登録済みのサーバー] ページを開きます。[メニュー] 、 [設定] 、 [登録済みサーバー] の順に選択します。 2 削除するデータベースを選択して、[アクション] 、 [削除] の順にクリックします。 3 確認のダイアログで [はい] をクリックし、データベースを削除します。 データベースが削除されました。削除されたデータベースを使用していた ePolicy Orchestrator のクエリ、レポー トなどの項目は、別のデータベースを使用するように更新するまで無効とマークされます。 [クエリ グループの編集] ページ このページでは、クエリ グループの設定を編集します。 表 21-2 オプションの定義 オプション 定義 [グループ名] クエリ グループの名前を指定します。 [グループの表示状 ユーザーに対するクエリ グループの表示状態を指定します。 態] • [プライベート クエリ (マイグループ)] - ログオンしたユーザーにのみ表示されるクエリ グループ。 • [公開グループ (共有グループ)] - すべてのユーザーに表示されるクエリ グループ。 • [権限セット別 (共有クエリ)] - 特定の権限のあるユーザーに表示されるクエリ グループ 関連トピック: 255 ページの「レポート」 255 ページの「レポートの構造」 256 ページの「レポートの操作」 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 267 21 クエリとレポート [新規クエリ グループ] ページ [新規クエリ グループ] ページ このページでは、新しいクエリ グループを作成します。 表 21-3 オプションの定義 オプション 定義 [グループ名] クエリ グループの名前を指定します。 [グループの表示状 ユーザーに対するクエリ グループの表示状態を指定します。 態] • [プライベート クエリ (マイグループ)] - ログオンしたユーザーにのみ表示されるクエリ グループ。 • [公開グループ (共有グループ)] - すべてのユーザーに表示されるクエリ グループ。 • [権限セット別 (共有クエリ)] - 特定の権限のあるユーザーに表示されるクエリ グループ 関連トピック: 242 ページの「クエリとレポートを初めて設定する場合」 243 ページの「カスタム クエリを管理する」 256 ページの「レポートの操作」 [クエリを保存] ページ (クエリ ウィザード) このページでは、新規作成したクエリや編集したクエリを保存します。 表 21-4 オプションの定義 オプション 定義 [名前] クエリの名前を入力します。 [メモ] クエリの説明や補足情報を入力します。 [グループ] 使用可能な設定は次のとおりです。 • [新規グループ] - 新規グループの名前を入力します。 • [プライベート クエリ (マイグループ)] - ログオンしたユーザーにのみ表示されるクエリ グルー プ。 • [公開グループ (共有グループ)] - すべてのユーザーに表示されるクエリ グループ。 • [既存のグループ] - 使用可能な共有グループの 1 つをリストから選択します。 関連トピック: 242 ページの「クエリとレポートを初めて設定する場合」 243 ページの「カスタム クエリを管理する」 268 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 22 問題 問題は、優先順位の設定、割り当て、追跡が可能なアクション項目です。 目次 問題とその機能 問題の操作 クローズされた問題を削除する McAfee ePO でのチケット作成 問題とその機能 問題の管理方法は、適切な権限を持つユーザーがインストール済みの管理対象製品の拡張ファイルを使用して定義し ます。 問題の状態、優先度、解決方法、締切、割り当て先はすべてユーザーが定義します。これらの設定はいつでも変更で きます。[自動応答] ページで、デフォルトの問題対応を指定することもできます。問題を作成すると、ユーザーの設 定した応答に従って、デフォルトの設定が自動的に適用されます。応答を使用すると、大量の問題が発生したときに McAfee ePO サーバーの処理に影響を及ぼさないように、複数のイベントを一つの問題に集計できます。 問題は手動で削除できます。解決された問題は、経過時間に従って削除することも、ユーザーが設定したサーバー タ スクで自動的に削除することもできます。 問題の操作 問題の作成、割り当て、詳細表示、編集、削除、パージを行うことができます。 タスク • 269 ページの「基本的な問題を手動で作成する」 基本的な問題は手動で作成できます。基本以外の問題は自動的に作成する必要があります。 • 270 ページの「問題を自動的に作成するように応答を設定する」 応答を使用すると、特定のイベントが発生したときに問題を自動的に作成できます。 • 271 ページの「問題を管理する」 コメントの追加、割り当て、削除、編集、問題の詳細表示を行うことができます。 基本的な問題を手動で作成する 基本的な問題は手動で作成できます。基本以外の問題は自動的に作成する必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 269 22 問題 問題の操作 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [問題] の順にクリックして、[アクション] 、 [新しい問題] の順にクリックします。 2 [新しい問題] ダイアログ ボックスで、[問題のタイプの作成] ドロップダウン リストから [基本] を選択して [OK] をクリックします。 3 新しい問題を設定します。 処理... 操作... [名前] 問題の名前を入力します。 [説明] 問題の説明を入力します。 [状態] 問題に状態を割り当てます。 • 不明 • 解決済み • 新規 • クローズ • 割り当て [優先度] [重大度] [解決策] 問題に優先度を割り当てます。 • 不明 • 中 • 最低 • 高 • 低 • 最高 問題に重大度を割り当てます。 • 不明 • 中 • 最低 • 高 • 低 • 最高 問題に解決策を割り当てます。問題を処理すると、問題の解決策を割り当てることができます。 • なし • 修正済み • 撤回済み • 撤回予定 [割り当て先] 問題に割り当てられたユーザーの名前を入力するか、[...] をクリックしてユーザーを選択しま す。 [期日] 4 問題に期日を設定するかどうか選択します。設定する場合には、日時を割り当てます。過去の日 付は指定できません。 [保存] をクリックします。 問題を自動的に作成するように応答を設定する 応答を使用すると、特定のイベントが発生したときに問題を自動的に作成できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 270 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 問題 問題の操作 22 タスク 1 [メニュー] 、 [自動処理] 、 [自動応答] の順にクリックし、[アクション] をクリックし、[新しい応答] を選択 します。 [応答ビルダー] の [説明] ページが表示されます。 2 フィールドに情報を入力して、[次へ] をクリックします。 3 プロパティを選択して、応答を開始するイベントを制限します。[次へ] をクリックします。 4 応答の生成に必要なイベントの頻度、イベントの分類方法、この応答を発生させる最大期間を選択して、[次へ] をクリックします。 5 ドロップダウン リストから [問題の作成] を選択して、作成する問題の種類を選択します。 この選択により、このページに表示されるオプションが変わります。 6 問題の名前と説明を入力します。名前と説明に 1 つ以上の変数を選択できます。 この機能により、多くの変数を使用して問題解決に役立つ情報を提供できます。 7 応答の追加オプションを入力または選択して、[次へ] をクリックします。 8 応答の詳細を確認し、[保存] をクリックします。 問題を管理する コメントの追加、割り当て、削除、編集、問題の詳細表示を行うことができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [問題] の順にクリックします。 2 必要なタスクを実行します。 タスク 手順... 問題へのコメ ントの追加 1 コメントを追加する問題の横にあるチェックボックスを選択して、[アクション] 、 [コメン トの追加] の順にクリックします。 2 [コメントの追加] パネルで、選択した問題に追加するコメントを入力します。 3 [OK] をクリックして、コメントを追加します。 問題の割り当 て 割り当てる問題の横にあるチェックボックスを選択して、[ユーザーに割り当て] をクリックし ます。 [問題] ページ に必要な列を 表示します。 [アクション] 、 [列を選択] をクリックします。[問題] ページに表示するデータの列を選択し ます。 問題の削除 1 削除する問題の横にあるチェックボックスを選択して、[削除] をクリックします。 2 [アクション] で [OK] をクリックして、選択した問題を削除します。 問題の編集 1 編集する問題の横にあるチェックボックスを選択し、[編集] をクリックします。 2 必要に応じて、問題を編集します。 3 [保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 271 22 問題 クローズされた問題を削除する タスク 手順... 問題リストの エクスポート [アクション] 、 [テーブルのエクスポート] の順にクリックします。[エクスポート] ページを 開きます。[エクスポート] ページで、エクスポートするファイルの形式、パッケージの方法 (ZIP ファイルなど)、ファイルの処理方法 (電子メールに添付して送信など) を指定します。 問題の詳細の 表示 問題をクリックします。 [問題の詳細] ページが表示されます。このページには、問題アクティブ ログと同様に、問題に 関する設定がすべて表示されます。 クローズされた問題を削除する クローズされた問題をデータベースから完全に削除することができます。 タスク • 272 ページの「クローズされた問題を手動で削除する」 データベースがいっぱいにならないように、クローズされた問題をデータベースから定期的に削除しま す。 • 272 ページの「クローズされた問題をスケジュールで削除する」 クローズされた問題をデータベースから定期的に削除するタスクを作成し、スケジュールを設定できま す。これにより、データベースのサイズを小さくすることができます。 クローズされた問題を手動で削除する データベースがいっぱいにならないように、クローズされた問題をデータベースから定期的に削除します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [問題] の順にクリックして、[アクション] 、 [削除] の順にクリックします。 2 [削除] ダイアログ ボックスで、数時を入力し、時間単位を設定します。 3 [OK] をクリックして、指定された日付よりも古く、クローズされた問題をパージします。 この機能を実行すると、現在表示されている項目だけでなく、クローズしているすべての問題に影響を及ぼしま す。 クローズされた問題をスケジュールで削除する クローズされた問題をデータベースから定期的に削除するタスクを作成し、スケジュールを設定できます。これによ り、データベースのサイズを小さくすることができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。 2 サーバー タスクの名前と説明を入力します。 3 サーバー タスクのスケジュールを有効または無効にします。 有効にするまで、サーバー タスクは実行されません。 272 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 問題 McAfee ePO でのチケット作成 4 22 [次へ] をクリックします。 [アクション] ページが表示されます。 5 ドロップダウン リストから [終了済みの問題のパージ] を選択します。 6 数字を入力し、単位を選択します。 7 [次へ] をクリックします。 8 サーバー タスクのスケジュールを設定し、[次へ] をクリックします。 9 サーバー タスクの詳細を確認し、[保存] をクリックします。 次のスケジュール タスクの実行時に、クローズしている問題がパージされます。 McAfee ePO でのチケット作成 チケットの自動作成機能と McAfee ePO を統合すると、ユーザーまたは マカフィー プロフェッショナル サービス は問題 API を使用してリモート サーバーを設定できます。 Web API の詳細とサンプルについては、『McAfee ePolicy Orchestrator 5.1.0 スクリプト ガイド』を参照してく ださい。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 273 22 問題 McAfee ePO でのチケット作成 274 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 23 ePolicy Orchestrator ログ ファイル McAfee ePO では、システム内で発生した様々なイベントとアクションをログ ファイルに記録しています。 目次 監査ログ サーバー タスク ログ 脅威イベント ログ 監査ログ すべての McAfee ePO ユーザー アクションのレコードを保持したり、これにアクセスするには、監査ログを使用し ます。監査ログ エントリは、ソート可能な表に表示されます。より柔軟な機能にするため、ログのフィルタリングが 可能となりました。失敗したアクションのみ表示したり、特定の日数内のエントリのみを表示することができます。 監査ログには、次の 7 つの列が表示されます。 • [アクション] - McAfee ePO ユーザーが試行し たアクションの名前。 • [開始時間] - アクションが開始した時間。 • [完了時間] - アクションの完了した時間。 • [成功] - アクションが成功したかどうか。 • [詳細] - アクションの詳細情報。 • [ユーザー名] - アクションを実行したログオン 済みユーザー アカウントのユーザー名。 • [優先度] - アクションの重要度。 監査ログ エントリに対してクエリを実行することができます。[クエリ ビルダー] ウィザードを使用してこのデータ を対象とするクエリを作成したり、このデータを対象とするデフォルト クエリを使用することができます。たとえ ば、失敗したログオン試行のクエリでは、失敗したすべてのログオン試行の表が取得されます。 監査ログを表示して削除する 管理者アクションの履歴を表示して削除することができます。 監査ログを表示したときに使用可能なデータは、監査ログを削除する頻度や削除の条件によって異なります。 監査ログを削除すると、レコードが完全に削除されます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [ユーザー管理] 、 [監査ログ] の順にクリックします。監査ログが表示されます。 2 以下のいずれかのアクションを選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 275 23 ePolicy Orchestrator ログ ファイル サーバー タスク ログ アクショ ン 手順 監査ログ を表示す る 1 列タイトルをクリックすると、その列で表がソートされます (アルファベット順)。 2 [フィルター] ドロップダウン リストから、表示可能なデータ量を制限するオプションを選択しま す。失敗したアクション以外のすべてを削除するか、選択した期間内に発生したアクションのみ を表示することができます。 3 詳細を表示する項目をクリックします。 監査ログ を削除す る 1 [アクション] 、 [削除] の順にクリックします。 2 [削除] ダイアログ ボックスの [次の日付よりも古いレコードを削除] に数値を入力し、時間単位 を選択します。 3 [OK] をクリックします。 監査ログのすべてのレコードが完全に削除されます。 監査ログの削除スケジュールを設定する サーバー タスクのスケジュールを設定して、監査ログを自動的に削除することができます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。[サーバー タスク ビルダー] ウィザードが開き、[説明] ページが開きます。 2 タスクの名前と説明を入力し、[スケジュールのステータス] で [有効] をクリックします。 3 [次へ] をクリックします。[アクション] ページが表示されます。 4 ドロップダウン リストから [監査ログを削除] を選択します。 5 監査ログのエントリを削除する前に、[次の日付よりも古いレコードを削除] に数字を入力し、時間単位を選択し ます。 6 [次へ] をクリックします。[スケジュール] ページが表示されます。 7 必要に応じてタスクをスケジュール設定し、[次へ] をクリックします。[サマリー] ページが表示されます。 8 タスクの詳細を確認し、[保存] をクリックします。 サーバー タスク ログ サーバー タスク ログには、McAfee ePO サーバーで発生したイベントが記録されます。 サーバー タスク ログでは、サーバーで実行中または実行されたスケジュール タスクの詳しい結果を確認できます。 ログには次の詳細が記録されます。 • タスクの成功または失敗 • スケジュール タスクの実行中に実行されたサブタスク 現在実行中のタスクを終了することもできます。 276 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator ログ ファイル サーバー タスク ログ 23 サーバー タスク ログを管理する サーバー タスク ログを開くと、タスク ログを表示したり、フィルタリングすることができます。また、必要に応じ て削除できます。 サーバー タスクのステータスは [ステータス] 列に表示されます。 • [待機中] - タスクは別のタスクが終了するまで 待機しています。 • [失敗] - タスクが開始しましたが、正常に完了し ませんでした。 • [進行中] - タスクが開始しましたが、終了してい ません。 • [完了] - タスクは正常に完了しました。 • [一時停止] - サーバー タスク アクションによ り、タスクが一時停止しています。 • [保留中の終了] - 終了要求が送信されています。 • [停止] - サーバー タスク アクションにより、タ スクが停止しています。 • [終了] - タスクは手動により終了しました。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [自動処理] 、 [サーバー タスク ログ] の順にクリックします。サーバー タスク ログの画面が表示 されます。 2 以下のアクションを選択します。 アクション 手順 [サーバー タスク ログの表示] 1 列タイトルをクリックすると、イベントがソートされます。 2 タスク ログを選択し、[アクション] をクリックして、サーバー タスク ログに対する操 作を次の中から選択します。 • [列を選択] - [表示する列を選択] ページが表示されます。 • [テーブルをエクスポート] - [エクスポート] ページが表示されます。 • [削除] - [削除] ダイアログ ボックスが表示されます。番号と時間単位を入力して、 削除するタスク ログ エントリの番号を指定し、[OK] をクリックします。 • [タスクを終了] - 進行中のタスクを停止します。 [サーバー タスク ログのフィルタリ ング] [フィルター] ドロップダウン リストからフィルターを選択します。 [サーバー タスク ログの削除] 1 [アクション] 、 [削除] の順にクリックします。 2 [削除] ダイアログ ボックスで日数、週数、月数、年数を入力します。指定した期間が経 過した項目は削除されます。 3 [OK] をクリックします。 3 列タイトルをクリックすると、イベントがソートされます。 4 タスク ログを選択し、[アクション] をクリックして、サーバー タスク ログに対する操作を次の中から選択しま す。 • [列を選択] - [表示する列を選択] ページが表示されます。 • [テーブルをエクスポート] - [エクスポート] ページが表示されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 277 23 ePolicy Orchestrator ログ ファイル 脅威イベント ログ • [削除] - [削除] ダイアログ ボックスが表示されます。番号と時間単位を入力して、削除するタスク ログ エ ントリの番号を指定し、[OK] をクリックします。 • [タスクを終了] - 進行中のタスクを停止します。 脅威イベント ログ 脅威イベント ログを使用して、データベース内のイベントをすばやく表示およびソートします。ログは経過日数に基 づいてのみ削除されます。 ソート可能な表で表示される列を選択することができます。さまざまなイベント データから列として使用するデー タを選択できます。 管理している製品に応じて、イベントに対して特定のアクションを実行できます。アクションは、ページ上部の [ア クション] メニューに表示されます。 共通のイベント形式 ほとんどの管理対象製品で、共通のイベント形式が使用されています。この形式のフィールドは、脅威イベント ログ 内の列として使用することができます。次のものがあります。 278 • [実行されたアクション] - 脅威への応答として製品が実行したアクション。 • [エージェント GUID] - イベントが送信されるエージェントの一意の ID。 • [DAT バージョン] - イベントを送信するシステムの DAT バージョン。 • [検出する製品のホスト名] - 検出する製品をホストするシステムの名前。 • [製品 ID の検出] - 検出する製品の ID。 • [検出する製品の IPv4 アドレス] - 検出する製品をホストするシステムの IPv4 アドレス (該当する場合)。 • [検出する製品の IPv6 アドレス] - 検出する製品をホストするシステムの IPv6 アドレス (該当する場合)。 • [検出する製品の MAC アドレス] - 検出する製品をホストするシステムの MAC アドレス。 • [検出する製品名] - 検出する管理対象製品の名前。 • [検出する製品のバージョン] - 検出する製品のバージョン番号。 • [エンジン バージョン] - 検出する製品のエンジンのバージョン番号 (該当する場合)。 • [イベント カテゴリ] - イベントのカテゴリ。使用可能なカテゴリは製品によって異なります。 • [イベントの生成時間 (UTC)] - イベントが検出されたときの協定世界時。 • [イベント ID] - イベントの一意の ID。 • [イベントの受信時間 (UTC)] - McAfee ePO サーバーがイベントを受信したときの協定世界時。 • [ファイル パス] - イベントを送信したシステムのファイル パス。 • [ホスト名] - イベントを送信したシステムの名前。 • [IPv4 アドレス] - イベントを送信したシステムの IPv4 アドレス。 • [IPv6 アドレス] - イベントを送信したシステムの IPv6 アドレス。 • [MAC アドレス] - イベントを送信したシステムの MAC アドレス。 • [ネットワーク プロトコル] - ネットワーク内の脅威クラスの脅威ターゲットのプロトコル。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator ログ ファイル 脅威イベント ログ • [ポート番号] - ネットワーク内の脅威クラスの脅威ターゲットのポート。 • [プロセス名] - ターゲットのプロセス名 (該当する場合)。 • [サーバー ID] - イベントを送信したサーバーの ID。 • [脅威名] - 脅威の名前。 • [脅威源のホスト名] - 脅威の発生源のシステム名。 • [脅威源の IPv4 アドレス] - 脅威の発生源のシステムの IPv4 アドレス。 • [脅威源の IPv6 アドレス] - 脅威の発生源のシステムの IPv6 アドレス。 • [脅威源の MAC アドレス] - 脅威の発生源のシステムの MAC アドレス。 • [脅威源の URL] - 脅威の発生源の URL。 • [脅威源のユーザー名] - 脅威の発生源のユーザー名。 • [脅威タイプ] - 脅威のクラス。 • [ユーザー名] - 脅威源のユーザー名または電子メール アドレス。 23 脅威イベント ログを表示して削除する 脅威イベントは定期的に確認し、削除する必要があります。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [脅威イベント ログ] の順にクリックします。 2 以下のいずれかのアクションを選択します。 アクション 手順 脅威イベン ト ログを表 示する 1 列タイトルをクリックすると、イベントがソートされます。また、[アクション] 、 [列を選 択] の順にクリックすると、[表示する列を選択] ページが表示されます。 2 [使用可能な列] リストから、ユーザーのニーズに一致する表の列を選択し、[保存] をクリック します。 3 表内のイベントを選択し、[アクション] をクリックして、[関連するシステムを表示] を選択す ると、選択したイベントを送信するシステムの詳細が表示されます。 脅威イベン トを削除す る 1 [アクション] 、 [削除] の順にクリックします。 2 [削除] ダイアログ ボックスの [次の日付よりも古いレコードを削除] に数値を入力し、時間単 位を選択します。 3 [OK] をクリックします。 指定した期間より古いレコードが完全に削除されます。 脅威イベント ログの削除スケジュールを設定する サーバー タスクを作成して、脅威イベント ログを自動的に削除できます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 279 23 ePolicy Orchestrator ログ ファイル 脅威イベント ログ タスク オプションの定義については、インターフェースの [?] をクリックしてください。 280 1 [メニュー] 、 [自動処理] 、 [サーバー タスク] の順にクリックし、[アクション] 、 [新規タスク] の順にクリッ クします。[サーバー タスク ビルダー] ウィザードが開き、[説明] ページが開きます。 2 タスクの名前と説明を入力し、[スケジュールのステータス] で [有効] をクリックします。 3 [次へ] をクリックします。[アクション] ページが表示されます。 4 ドロップダウン リストから [脅威イベント ログをパージ] を選択します。 5 期間を指定して削除するか、クエリ結果から削除するのかを選択します。クエリで削除する場合には、クエリの 結果からイベントのテーブルを作成する必要があります。 6 [次へ] をクリックします。[スケジュール] ページが表示されます。 7 必要に応じてタスクをスケジュール設定し、[次へ] をクリックします。[サマリー] ページが表示されます。 8 タスクの詳細を確認し、[保存] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 24 障害時復旧 障害時復旧機能を使用すると、ePolicy Orchestrator の復元または再インストールを短時間で行うことができます。 障害時復旧はスナップショット機能を使用します。この機能は、ePolicy Orchestrator の設定、拡張ファイル、キー などを ePolicy Orchestrator データベースのスナップショット レコードに定期的に保存します。 目次 障害時復旧とは 障害時復旧のコンポーネント 障害時復旧の機能 スナップショットを設定して SQL データベースを復元する 障害時復旧サーバーを設定する 障害時復旧とは ePolicy Orchestrator 障害時復旧機能は、スナップショット プロセスを使用して特定の McAfee ePO サーバー デ ータベース レコードを ePolicy Orchestrator の Microsoft SQL データベースに保存します。 スナップショットで保存されたレコードには、スナップショットが取得された時点での ePolicy Orchestrator 全体 の設定が含まれます。スナップショット レコードがデータベースに保存されると、Microsoft SQL バックアップ機 能を使用して ePolicy Orchestrator データベース全体を保存し、別の SQL サーバーに復元できます。これにより、 ePolicy Orchestrator を復元できます。 SQL データベース接続の復元例 復元された ePolicy Orchestrator SQL データベース サーバー (障害時復旧スナップショットを含む) を使用する 場合、次のようなケースが考えられます。 • 復元された McAfee ePO サーバー ハードウェアに元のサーバーの名前と IP アドレスが設定されている場合 - ePolicy Orchestrator のアップグレード エラーから回復した場合など。 • 新しい McAfee ePO サーバー ハードウェアに元のサーバーの名前と IP アドレスが設定されている場合 - サ ーバー ハードウェアのアップグレードや復元を行った場合。ネットワーク システムの管理を短時間で再開でき ます。 • 新しい McAfee ePO サーバー ハードウェアに新しいサーバー名と IP アドレスが設定されている場合 - ドメ イン間でサーバーを移動する場合など。 この場合、McAfee ePO サーバー ハードウェアを再構築し、ソフトウェアを再インストールして元のドメインの 状態に戻すまで、一時的なネットワーク管理ソリューションを使用することもできます。 • 復元後または新しい McAfee ePO サーバー ハードウェアに複数のネットワーク インターフェース カード (NIC) を装着している場合 - McAfee ePO サーバーの NIC に正しい IP アドレスが設定されていることを確 認する必要があります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 281 24 障害時復旧 障害時復旧のコンポーネント SQL データベースのバージョンによっては、スナップショットを毎日自動的に実行されるように設定できます。SQL バックアップを自動的に実行し、SQL バックアップ ファイルを復元用の SQL データベース サーバーにコピーする ようにスクリプトを設定すると、McAfee ePO サーバーをより簡単に復元することができます。また、ePolicy Orchestrator に複雑な変更や重要な変更が行われた場合には、スナップショットを手動で取得したり、スクリプト を使用して保存とバックアップを迅速に行うこともできます。 ePolicy Orchestrator ダッシュボードの障害時復旧スナップショット モニターを使用すると、スナップショットの管 理と監視を 1 つの場所で行うことができます。 関連トピック: 285 ページの「リモート コマンドを使用して Microsoft SQL データベース サーバーと名前を確認する」 285 ページの「Microsoft SQL Server Management Studio で McAfee ePO サーバー情報を検索する」 286 ページの「障害時復旧スナップショットとバックアップの概要」 287 ページの「McAfee ePO サーバーの復元インストールの概要」 289 ページの「障害時復旧サーバー タスクを設定する」 障害時復旧のコンポーネント 障害時復旧で ePolicy Orchestrator を復元するには、特定のハードウェアとソフトウェア、アクセス権限、情報が 必要になります。 次の 2 つのハードウェア サーバー プラットフォームが必要です。 • 既存の McAfee ePO サーバーのハードウェア。これはプライマリ McAfee ePO サーバーになります。 • 複製用 SQL サーバーのハードウェア。これは復元用のサーバーで、プライマリ McAfee ePO サーバーのデータ ベースと同じ Microsoft SQL が実行されます。スナップショットと Microsoft SQL バックアップ プロセスを 使用して、この復元サーバーを最新のプライマリ McAfee ePO SQL データベース サーバーの設定で更新し、最 新の状態にしておく必要があります。 バックアップと復元の問題を回避するため、プライマリ サーバーと復元用のサーバーでハードウェアと SQL のバ ージョンを一致させてください。 282 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 障害時復旧 障害時復旧のコンポーネント 24 スナップショット ダッシュボード モニター ePolicy Orchestrator ダッシュボードのサーバー スナップショット モニターを使用すると、スナップショットの管 理と監視を 1 つの場所で行うことができます。 スナップショット モニターがダッシュボードに表示されない場合には、新しいダッシュボードを作成して障害時復旧 モニターを追加してください。 図 24-1 障害時復旧ダッシュボードのスナップショット モニター サーバー スナップショット モニターでは、次の操作を行うことができます。 • [スナップショットの取得] をクリックして、McAfee ePO サーバー スナップショットの保存を手動で開始しま す。 • [前回の実行結果を確認してください] をクリックして、[サーバー タスク ログの詳細] ページを開きます。この ページには、最後に保存されたスナップショットに関する情報とログ メッセージが表示されます。 • 前回の実行時間 で、SQL データベースに[スナップショット]が最後に保存された日時を確認します。 • [障害時復旧] リンクをクリックして、ヘルプ ページを開きます。障害時復旧の情報が表示されます。 スナップショット モニターの色とタイトルで、最新のスナップショットの状況が分かります。例: • 青、「データベースにスナップショットを保存中」 - スナップショット処理の実行中です。 • 緑色、「データベースにスナップショットを保存しました」 - スナップショット処理が正常に完了し、最新の状 態になっています。 • 赤、「スナップショットに失敗しました」 - スナップショットの処理中にエラーが発生しました。 • グレー、「スナップショットが使用できません」 - 障害時復旧スナップショットが保存されていません。 • オレンジ、「スナップショットが最新の状態ではありません」 - 設定が変更されましたが、最新のスナップショ ットが保存されていません。次のような変更が発生すると、スナップショットは古くなります。 • 拡張ファイルが変更された。たとえば、更新、削除、アップグレード、ダウングレードなどが実行されていま す。 • Keystore フォルダーが変更された。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 283 24 障害時復旧 障害時復旧のコンポーネント • conf フォルダーが変更された。 • [サーバー設定] で障害時復旧パスフレーズが変更された。 障害時復旧スナップショット サーバー タスク 障害時復旧スナップショット サーバー タスクを使用すると、スナップショット サーバー タスクのスケジュールを有 効または無効にすることができます。 Microsoft SQL Server データベースを使用している場合、スナップショット サーバー タスクのスケジュールはデフ ォルトで有効になっています。Microsoft SQL Server Express Edition データベースを使用している場合には、デフ ォルトで無効になっています。 障害時復旧の要件 障害時復旧を使用するには、以下の表にあるハードウェア、ソフトウェア、情報が必要です。 要件 説明 ハードウェア要件 プライマリ McAfee ePO サ ーバー ハードウェア サーバー ハードウェアの要件は、管理するシステムの数よって異なります。 McAfee ePO サーバーと SQL Server データベースは同じサーバー ハードウェ アにインストールすることも、別々のハードウェアにインストールすることもでき ます。ハードウェア要件の詳細については、『ePolicy Orchestrator 5.1.0 インス トール ガイド』を参照してください。 復元用の McAfee ePO サー バー ハードウェア このサーバー ハードウェアは、プライマリー McAfee ePO サーバー ハードウェア のミラーリングにする必要があります。 プライマリ McAfee ePO サ ーバー このプライマリ サーバーは正常に動作し、SQL データベースに保存されている最 新のスナップショットで実行されている必要があります。 プライマリ SQL データベー ス プライマリ SQL データベースには、McAfee ePO サーバー設定、クライアント情 報、障害時復旧スナップショット レコードが保存されます。 ソフトウェア要件 プライマリ SQL データベー スのバックアップ ファイル Microsoft SQL Server Management Studio を使用するか、コマンドラインで BACKUP (Transact-SQL) を実行すると、スナップショット レコードを含むプラ イマリ データベースのバックアップ ファイルを作成することができます。 復元用の SQL データベース ソフトウェア Microsoft SQL Server Management Studio を使用するか、コマンドラインで RESTORE (Transact-SQL) を実行すると、スナップショット レコードを含むプラ イマリ データベースを復元用の SQL データベース サーバーに復元し、プライマ リ SQL データベースの設定を複製することができます。 ePolicy Orchestrator 復元用の McAfee サーバーにインストールし、設定します。このソフトウェアは McAfee ePO Web サイトからダウンロードします。 必要な情報 284 障害時復旧キーストア暗号化 パスフレーズ このパスフレーズは、ePolicy Orchestrator の初期インストール時に追加され、障 害時復旧スナップショットに保存された重要な情報を復号するときに使用されま す。 管理者権限 プライマリ サーバー、復元用サーバー、SQL データベースへのアクセス権限が必 要です (DBOwner、DBCreator など)。 前回確認したプライマリ McAfee ePO サーバーの IP アドレス、DNS 名または NetBIOS 名。 これらの情報を McAfee ePO サーバーの復元時に変更する場合、McAfee Agent がこのサーバーを検索できるようにしてください。最も簡単な方法は、プライマリ McAfee ePO サーバーの IP アドレス、DNS 名または NetBIOS 名からの要求が復 元先の McAfee ePO サーバーの情報を参照するように、DNS に CNAME (標準名) レコードを作成する方法です。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 障害時復旧 障害時復旧のコンポーネント 24 関連トピック: 285 ページの「リモート コマンドを使用して Microsoft SQL データベース サーバーと名前を確認する」 285 ページの「Microsoft SQL Server Management Studio で McAfee ePO サーバー情報を検索する」 286 ページの「障害時復旧スナップショットとバックアップの概要」 287 ページの「McAfee ePO サーバーの復元インストールの概要」 289 ページの「障害時復旧サーバー タスクを設定する」 リモート コマンドを使用して Microsoft SQL データベース サーバーと名前 を確認する 以下の ePolicy Orchestrator リモート コマンドを使用すると、Microsoft SQL データベース サーバーとデータベ ースの名前を確認できます。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 ブラウザーのアドレス バーに次のリモート コマンドを入力します。 https://localhost:8443/core/config このコマンドで: 2 • localhost - McAfee ePO サーバーの名前 • :8443 - McAfee ePO サーバーのデフォルト ポート番号。サーバーで別のポート番号が設定されている場 合もあります。 [データベースを設定] ページに表示された次の情報を保存します。 • ホスト名または IP アドレス • データベース名 Microsoft SQL Server Management Studio で McAfee ePO サーバー 情報を検索する Microsoft SQL Server Management Studio で、既存の McAfee ePO サーバー情報を確認します。 タスク 1 リモート デスクトップ接続で Microsoft SQL データベース サーバーのホスト名または IP アドレスにログイン します。 2 Microsoft SQL Server Management Studio を開き、SQL Server に接続します。 3 [オブジェクト エクスプローラー] リストで、[<データベース サーバー名>] 、 [データベース] 、 [<データベ ース名>] 、 [テーブル] の順にクリックします。 4 下にスクロールして [EPOServerInfo] テーブルを右クリックし、リストから [上位 200 行の編集] を選択しま す。 5 次のデータベース レコードの情報を検索して保存します。 • [ePOVersion] - 5.1.0 など • [LastKnownTCPIP] - 172.10.10.10 など • [DNSName] - epo-2k8-epo51.server.com な ど • [RmdSecureHttpPort] - 8443 など • [ComputerName] - EPO-2K8-EPO51 など ePolicy Orchestrator の復元が必要な場合、この情報が必要になります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 285 24 障害時復旧 障害時復旧の機能 障害時復旧の機能 ePolicy Orchestrator を短時間で再インストールするには、ePolicy Orchestrator 設定のスナップショットを定期 的に作成する必要があります。また、バックアップしたデータベースを復元用のサーバーに復元し、[復元] オプショ ンを使用して ePolicy Orchestrator を再インストールする必要があります。 関連トピック: 289 ページの「障害時復旧サーバー タスクを設定する」 290 ページの「ダッシュボードからスナップショットを作成する」 291 ページの「Web API からスナップショットを作成する」 293 ページの「Microsoft SQL を使用してデータベースのバックアップと復元を行う」 障害時復旧スナップショットとバックアップの概要 障害時復旧スナップショット、SQL データベースのバックアップ、コピー プロセスにより、復元用の SQL データベ ース サーバー上に ePolicy Orchestrator データベースの複製が作成されます。 ここでは、障害時復旧スナップショット、SQL データベースのバックアップ、コピー プロセスの概要について説明 します。詳細については、以下の項目を参照してください。 • 『スナップショットを作成する』 • 『Microsoft SQL を使用してデータベースのバックアップと復元を行う』 以下の図は、ePolicy Orchestrator の障害時復旧プロセスと関連するハードウェアの概要を表しています。 この図で、SQL データベースは McAfee ePO サーバーと同じハードウェア上にインストールされています。McAfee ePO サーバーと SQL データベースは別々のサーバー ハードウェアにインストールすることもできます。 図 24-2 McAfee ePO サーバーの障害時復旧スナップショットとバックアップ ePolicy Orchestrator の障害時復旧では、McAfee ePO プライマリ サーバーで実行される全般的な手順を設定しま す。 1 286 McAfee ePO サーバー設定のスナップショットを取得し、プライマリ SQL データベースに保存します。この操 作は手動で実行することも、この操作を実行するデフォルトのサーバー タスクを使用することもできます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 障害時復旧 障害時復旧の機能 24 スナップショットが取得されると、次のファイルがデータベースに保存されます。 • C:\Program Files\McAfee\ePolicy Orchestrator\Server\extensions - ePolicy Orchestrator 拡張ファ イル情報のデフォルト パス • C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf - ePolicy Orchestrator 拡張ファイルで 必要になるファイルのデフォルト パス • C:\Program Files\McAfee\ePolicy Orchestrator\Server\keystore - ePolicy Orchestrator エージェン ト/サーバー間通信とリポジトリで使用されるキー • C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Keystore - McAfee 製品のインストール で使用されるサーバー証明書のデフォルト パス • C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Software - McAfee 製品のインストール ファイルのデフォルト パス 保存された障害時復旧スナップショット レコードには、登録済み実行ファイルのパスが含まれます。ただし、 登録済み実行ファイルはバックアップされません。これらの実行ファイルは、McAfee ePO サーバーの復元時 に置換する必要があります。McAfee ePO サーバーの復元後、[登録済み実行ファイル] ページで登録済み実 行ファイルとパスが赤色で表示されます。これは、パスが正しくないことを表しています。 McAfee ePO サーバーを復元したら、登録済み実行ファイルのパスをテストしてください。赤色で表示されな い場合でも、依存関係の問題で登録済み実行ファイルが機能しない場合があります。 2 Microsoft SQL Server Management Studio を使用するか、コマンドラインで BACKUP (Transact-SQL) を 実行して、SQL データベースをバックアップします。 3 手順 2 で作成した SQL データベースのバックアップ ファイルを復元用の SQL サーバーに複製します。 障害時復旧機能を使用するには、手順 2 と 3 を完了し、プライマリ SQL サーバーから復元用の SQL サーバーに スナップショットをコピーする必要があります。 これで McAfee ePO サーバーの障害時復旧スナップショットとバックアップが完了します。McAfee ePO を再イン ストールする場合を除いて、以降の ePolicy Orchestrator サーバーの復元インストールを行う必要はありません。 McAfee ePO サーバーの復元インストールの概要 ePolicy Orchestrator サーバーを短時間で復元するための最後の手順が McAfee ePO の再インストールです。 ここでは、復元用の McAfee ePO サーバーに ePolicy Orchestrator を再インストールする手順を簡単に説明しま す。詳細については、『インストール ガイド』を参照してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 287 24 障害時復旧 障害時復旧の機能 以下の図は、McAfee ePO サーバーの再インストールの概要を表しています。 この図で、SQL データベースは McAfee ePO サーバーと同じハードウェア上にインストールされています。McAfee ePO サーバーと SQL データベースは別々のサーバー ハードウェアにインストールすることもできます。 図 24-3 McAfee ePO サーバーの復元インストール 障害時復旧スナップショット ファイルを使用して ePolicy Orchestrator をインストールする場合、McAfee ePO 復 元サーバーで行う全般的な手順を実行します。 1 前のセクションの手順 3 でコピーした SQL データベースのバックアップ ファイルを検索します。Microsoft SQL Server Management Studio を使用するか、コマンドラインで RESTORE (Transact-SQL) を実行して、 プライマリ SQL サーバーの設定を復元用の SQL サーバーに復元します。 2 ePolicy Orchestrator データベース ソフトウェアのインストール時に次の操作を実行します。 a ソフトウェアの [ようこそ] ダイアログ ボックスで、[既存の障害時復旧データベース スナップショットから ePO を復元する] をクリックします。 b [Microsoft SQL Server] を選択して、手順 1 でプライマリ ePolicy Orchestrator サーバーの設定を復元し た復元用の SQL データベースと McAfee ePO を関連付けます。 ePolicy Orchestrator のインストールが開始すると、ソフトウェアの設定でデータベースに新しいレコードが作 成されず、スナップショット処理で保存されたデータベース レコードが使用されます。 3 最後に確認したプライマリ McAfee ePO サーバーの IP アドレス、DNS 名、NetBIOS 名を変更した場合には、 復元用の McAfee ePO サーバーを作成するときに、McAfee Agent は復元した McAfee ePO サーバーに接続で きません。最も簡単な方法は、プライマリ McAfee ePO サーバーの IP アドレス、DNS 名または NetBIOS 名 からの要求が復元先の McAfee ePO サーバーの情報を参照するように、DNS に CNAME レコードを作成する方 法です。 SQL データベースと McAfee ePO サーバーとの接続を復元する方法については、「障害時復旧とは」を参照して ください。 これで、McAfee ePO 復元サーバーがプライマリ サーバーと同一の設定で実行されます。クライアントは復元サー バーに接続できます。プライマリ McAfee ePO サーバーを削除する前とまったく同じ方法でクライアントを管理で きます。 288 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 障害時復旧 スナップショットを設定して SQL データベースを復元する 24 スナップショットを設定して SQL データベースを復元する McAfee ePO サーバーを迅速に再インストールするには、保存する障害時復旧スナップショットを設定するか、スナ ップショットが SQL データベースに保存されるように設定します。次に、スナップショットを含む SQL データベー スをバックアップし、復元する SQL サーバーにデータベースのバックアップ ファイルをコピーします。 McAfee ePO サーバーを迅速に再インストールするには、次のタスクを実行する必要があります。 タスク • 289 ページの「障害時復旧サーバー タスクを設定する」 障害時復旧スナップショット サーバー タスクを使用して、スケジュールに従って SQL データベースに 自動的に保存される McAfee ePO サーバー設定のスナップショットを変更します。 • 290 ページの「スナップショットを作成する」 McAfee ePO サーバーを迅速に復旧するには、プライマリ McAfee ePO サーバーの障害時復旧スナッ プショットを頻繁に作成する必要があります。 • 293 ページの「Microsoft SQL を使用してデータベースのバックアップと復元を行う」 McAfee ePO サーバーの設定情報と一緒に障害時復旧スナップショットを保存するには、Microsoft SQL Server の手順を使用します。 関連トピック: 289 ページの「障害時復旧サーバー タスクを設定する」 290 ページの「ダッシュボードからスナップショットを作成する」 291 ページの「Web API からスナップショットを作成する」 293 ページの「Microsoft SQL を使用してデータベースのバックアップと復元を行う」 障害時復旧サーバー タスクを設定する 障害時復旧スナップショット サーバー タスクを使用して、スケジュールに従って SQL データベースに自動的に保存 される McAfee ePO サーバー設定のスナップショットを変更します。 障害時復旧スナップショット サーバー タスクに事前に設定されるステータスは、McAfee ePO サーバーが使用する SQL データベースによって異なります。デフォルトでは、Express Edition を除くすべての Microsoft SQL Server で障害時復旧スナップショットが有効になっています。 データ ファイルのサイズに制限があるため、Microsoft SQL Server Express Edition では障害時復旧スナップショ ットのスケジュールを有効にしないでください。Microsoft SQL Server 2005 Express Edition のデータ ファイル の最大サイズは 4 GB です。Microsoft SQL Server 2008 と 2012 Express Edition の最大サイズは 10 GB です。 同時に複数の障害時復旧スナップショットを実行することはできません。複数のスナップショットを実行すると、最 後のスナップショットの出力だけが保存され、前のスナップショットは上書きされます。 デフォルトの障害時復旧サーバー タスクは必要に応じて変更できます。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [サーバー タスク] の順にクリックし、[サーバー タスク] リストから [障害時復旧スナップショッ ト サーバー] を選択して [編集] をクリックします。 障害時復旧サーバー タスクのウィザードが表示されます。 2 必要に応じて、[説明] タブの [スケジュール ステータス] で [有効] または [無効] をクリックします。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 289 24 障害時復旧 スナップショットを設定して SQL データベースを復元する 3 [スケジュール] タブで、以下の設定を変更します。 • [スケジュールの種類] - スナップショットの保存頻度を設定します。 • [開始日] と [終了日] - スナップショットを保存する開始日と終了日を設定します。タスクを連続して実行 する場合には、[終了日を指定しない] をクリックします。 • [スケジュール] - スナップショットを保存する時間を設定します。デフォルトでは、スナップショット タス クは毎日午前 1 時 59 分に実行されます。 スナップショット作成プロセス時に発生するデータベースの変更を最小限にするため、障害時復旧サーバー タ スクはピーク時以外に実行してください。 4 [サマリー] タブで、サーバー タスクが正しく設定されていることを確認して、[保存] をクリックします。 スナップショットを作成する McAfee ePO サーバーを迅速に復旧するには、プライマリ McAfee ePO サーバーの障害時復旧スナップショットを 頻繁に作成する必要があります。 McAfee ソフトウェアに多くの変更を行った場合、以下のタスクを実行して障害時復旧スナップショットを手動で作 成する必要があります。 サーバー スナップショットを自動化するには、障害時復旧スナップショット サーバー タスクを作成します。 タスク • 290 ページの「ダッシュボードからスナップショットを作成する」 ePolicy Orchestrator ダッシュボードを使用して、プライマリ McAfee ePO サーバーの障害時復旧ス ナップショットを作成します。また、ダッシュボードでスナップショット プロセスのステータスを監視 します。 • 291 ページの「Web API からスナップショットを作成する」 ePolicy Orchestrator Web API を使用して、プライマリ McAfee ePO サーバーの障害時復旧スナップ ショットを作成します。この操作を行うと、1 つのコマンド文字列でプロセスを完了できます。 ダッシュボードからスナップショットを作成する ePolicy Orchestrator ダッシュボードを使用して、プライマリ McAfee ePO サーバーの障害時復旧スナップショッ トを作成します。また、ダッシュボードでスナップショット プロセスのステータスを監視します。 タスク オプションの定義については、インターフェースの [?] をクリックしてください。 1 [メニュー] 、 [レポート] 、 [ダッシュボード] の順にクリックして、[ePO サーバー スナップショット] モニタ ーを表示します。 必要であれば、[モニターの追加] をクリックし、リストから [ePO サーバー スナップショット] を選択してダッ シュボードにドラッグします。 2 [スナップショットの取得] をクリックして、McAfee ePO サーバーの設定を保存します。 スナップショット プロセスの実行中、プロセスのステータスに合わせて [スナップショット モニター] のタイト ルが変わります。スナップショット モニターのステータス インジケーターについては、 「スナップショット ダッ シュボード モニター」を参照してください。 スナップショット プロセスの所要時間は ePolicy Orchestrator が管理するネットワークの複雑さと規模によっ て異なります (10 分から 1 時間ほど)。このプロセスは、McAfee ePO サーバーのパフォーマンスに影響を及ぼ しません。 290 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 障害時復旧 スナップショットを設定して SQL データベースを復元する 3 24 必要であれば、[現在の実行状況を確認してください] をクリックし、最後に保存されたスナップショットの [サ ーバー タスク ログの詳細] を表示します。 スナップショット プロセスが完了したら、[現在の実行状況を確認してください] をクリックし、最後に保存され たスナップショットの [サーバー タスク ログの詳細] を表示します。 最新の障害時復旧スナップショットが McAfee ePO サーバーのプライマリ SQL データベースに保存されます。こ れで、データベースをバックアップして 復元先の SQL データベース サーバーにコピーする準備ができました。 Web API からスナップショットを作成する ePolicy Orchestrator Web API を使用して、プライマリ McAfee ePO サーバーの障害時復旧スナップショットを 作成します。この操作を行うと、1 つのコマンド文字列でプロセスを完了できます。 このタスクで説明するコマンドを Web ブラウザーのアドレス バーに入力して McAfee ePO サーバーにリモートか らアクセスします。 出力が表示される前に、管理者のユーザー名とパスワードの入力が要求されます。 Web API の詳細と例については、 『McAfee ePolicy Orchestrator 5.1.0 スクリプト ガイド』を参照してください。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 以下の ePolicy Orchestrator Web API ヘルプ コマンドを使用して、スナップショットの実行に必要なパラメー ターを確認します。 https://localhost:8443/remote/core.help?command=scheduler.runServerTask 上のコマンドの意味は次のとおりです。 • localhost: - McAfee ePO サーバーの名前 • 8443 - 宛先ポート。この例では 8443 (デフォルト) です。 • /remote/core.help?command= - Web API ヘルプを呼び出します。 • scheduler.runServerTask - 特定のサーバー タスクのヘルプを呼び出します。 runServerTask コマンドでは大文字と小文字が区別されます。 上のコマンドを実行すると、次のヘルプが表示されます。 OK:scheduler.runServerTask taskName サーバー タスクを実行し、タスク ログ ID を戻します。タスク ログ ID を指定して 'tasklog.listTaskHistory' コマンドを実行すると、実行中のタスクのステータスが確認できます。 タスク ログ ID または例外 (エラーの場合) を戻します。サーバー タスクの実行権限が必要です。パラメーター: [taskName (param 1) | taskId] - タスクの固有の ID または名前 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 291 24 障害時復旧 スナップショットを設定して SQL データベースを復元する 2 以下のコマンドを実行して、サーバー タスクの一覧を表示し、スナップショット サーバー タスクの実行に必要 な taskName パラメーターを確認します。 https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse 上の例のコマンドを実行すると、次のようなリストが戻されます。実際に表示されるリストは、ユーザーの権限 とインストール済みの拡張ファイルによって異なります。 3 前の手順で表示された Disaster Recovery Snapshot Server というタスク名を指定して次のコマンドを 実行し、スナップショット サーバー タスクを実行します。 https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery %20Snapshot%20Server タスクが成功すると、次のような出力が表示されます。 OK: 102 スナップショット プロセスの所要時間は ePolicy Orchestrator が管理するネットワークの複雑さと規模によっ て異なります (10 分から 1 時間ほど)。このプロセスは、McAfee ePO サーバーのパフォーマンスに影響を及ぼ しません。 4 Web API サーバー タスクでスナップショットが正常に実行されたことを確認します。 a 以下のコマンドを実行して、障害時復旧スナップショット サーバー タスクのログ ID を確認します。 https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster %20Recovery%20Snapshot%20Server このコマンドを実行すると、すべての障害時復旧スナップショット サーバー タスクが表示されます。一番最 後に実行されたタスクの ID をメモします。たとえば、次の例では ID: 102 になります。 ID:102 名前: Disaster Recovery Snapshot Server 開始日: 8/7/12 11:00:34 AM 終了日: 8/7/12 11:01:18 AM ユーザー名: admin ステータス: 完了。 ソース: スケジューラー。 所要時間: 1 分未満 292 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 障害時復旧 スナップショットを設定して SQL データベースを復元する 24 タスク ID 102 を指定して以下のコマンドを実行し、すべてのタスク ログ メッセージを表示します。 b https://localhost:8443/remote/tasklog.listMessages?taskLogId=102 メッセージの最後までスクロールすると、次の文字列が表示されます。 OK: 日付: 8/7/12 11:00:34 AM メッセージ: データベースに保存するスナップショット サーバー 日付: 8/7/12 11:00:34 AM メッセージ: データベースへのサーバーのスナップショットの保存を開始しています... . . . 日付: 8/7/12 11:01:18 AM メッセージ: サーバーのスナップショットがデータベースに正常に保存されました。 日付: 8/7/12 11:01:18 AM メッセージ: データベースに保存するスナップショット サーバー Microsoft SQL を使用してデータベースのバックアップと復元を行う McAfee ePO サーバーの設定情報と一緒に障害時復旧スナップショットを保存するには、Microsoft SQL Server の 手順を使用します。 開始する前に このタスクを完了するには、プライマリと復元用の McAfee ePO SQL サーバー間で接続が確立され、 サーバー間でファイルをコピーする権限が必要です。詳細については、「付録 A: ePolicy Orchestrator データベースの保守」を参照してください。 McAfee ePO サーバー設定のスナップショットを作成したら、次の操作を行う必要があります。 タスク 1 次のツールを使用して、Microsoft SQL Server データベースのバックアップを作成します。 • Microsoft SQL Server Management Studio • Microsoft Transact-SQL これらのプロセスの詳細については、Microsoft SQL Server のマニュアルを参照してください。 2 作成したバックアップ ファイルを復元用の SQL サーバーにコピーします。 3 次のツールを使用して、障害時復旧スナップショット レコードを含むプライマリ SQL データベースのバックア ップを復元します。 • Microsoft SQL Server Management Studio • Microsoft Transact-SQL これらのプロセスの詳細については、Microsoft SQL Server のマニュアルを参照してください。 これにより、復元用の SQL サーバーの複製が作成されます。必要であれば、[復元] オプションを使用して新しい ePolicy Orchestrator のインストール先に接続します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 293 24 障害時復旧 障害時復旧サーバーを設定する 障害時復旧サーバーを設定する ePolicy Orchestrator のインストール時に使用したキーストア暗号化パスフレーズを変更し、障害時復旧スナップシ ョット レコードで復元した SQL データベースに関連付けることができます。 開始する前に キーストア暗号化パスフレーズを変更するには、管理者権限が必要です。 障害時復旧を使用して McAfee ePO サーバーのスナップショットを作成すると、McAfee ePO サーバーを迅速に復 旧することができます。 ePolicy Orchestrator のインストール時に設定したキーストア暗号化パスフレーズを忘れたり、紛失した場合、この 設定は非常に便利です。前に設定したパスフレーズが分からなくても、既存のパスフレーズを変更できます。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 [メニュー] 、 [設定] 、 [サーバー設定] の順にクリックし、[カテゴリの設定] から [障害時復旧] を選択して [編集] をクリックします。 2 [キーストア暗号化パスフレーズ] で [パスフレーズの変更] をクリックし、新しいパスフレーズを入力します。確 認のため、同じパスフレーズを再度入力します。 キーストア暗号化パスフレーズは、サーバーのスナップショットに保存された重要な情報の暗号化と復号に使用さ れます。このパスフレーズは、McAfee ePO サーバーの復元プロセスで必要になります。このパスフレーズは記録 しておいてください。 ePolicy Orchestrator データベースは、復元する Microsoft SQL データベース サーバーに定期的にコピーし、バッ クアップ データベースを作成する必要があります。データベース サーバーのバックアップと復元プロセスについて は、「スナップショットを設定して SQL データベースを復元する」を参照してください。 294 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド A ポートの概要 McAfee ePO サーバーが使用するポートを変更する場合には、以下のガイドラインに従ってください。 目次 コンソール/アプリケーション サーバー間通信ポートを変更する エージェント/サーバー間通信ポートを変更する ファイアウォール経由の通信で必要なポート トラフィックのクイック リファレンス コンソール/アプリケーション サーバー間通信ポートを変更する McAfee ePO のコンソール/アプリケーション サーバー間通信ポートが別のアプリケーションで使用されている場 合には、次の手順に従って別のポートを指定してください。 開始する前に このトピックには、レジストリの操作や変更に関する情報が含まれています。この情報は、ネットワー ク管理者またはシステム管理者向けの情報です。それ以外のユーザーは使用しないでください。 • レジストリの変更は元に戻せません。操作に失敗すると、システム障害が発生する可能性がありま す。 • 操作を行う前に、レジストリのバックアップを作成し、復元方法を確認しください。詳細について は、Microsoft のマニュアルを参照してください。 • 本物のレジストリ インポート ファイルと確認されている .REG ファイル以外は使用しないでくだ さい。 タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 McAfee ePO サービスを停止します。 a すべての McAfee ePO コンソールを終了します。 b [スタート] 、 [ファイル名を指定して実行] の順にクリックし、services.msc と入力して [OK] をクリッ クします。 c 次のサービスを右クリックして、[停止] を選択します。 • [ McAfee ePolicy Orchestrator アプリケーション サーバー ] • [ McAfee ePolicy Orchestrator イベント パーサー] • [ McAfee ePolicy Orchestrator サーバー] McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 295 A ポートの概要 エージェント/サーバー間通信ポートを変更する 2 レジストリ エディターで次のキーを選択します。 McAfee ePO 5.1.0 (64 ビット) — [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft \Windows\CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}] 3 右ペインで [TomcatSecurePort.SQL] をダブルクリックし、必要なポート番号を表すように値データを変更し ます (デフォルトは 8443 です)。 4 [スタート] 、 [ファイル名を指定して実行] の順にクリックし、Notepad と入力して [OK] をクリックします。 5 空のメモ帳文書に次の行を貼り付け、[8443] を新しいポート番号に変更します。 UPDATE EPOServerInfo SET rmdSecureHttpPort =8443 6 このファイルを TomcatSecurePort.sql という名前で SQL Server の一時フォルダーに保存します。 7 Microsoft SQL Server Management Studio を使用して、作成した TomcatSecurePort.SQL ファイルをイ ンストールします。 a [スタート] 、 [すべてのプログラム] 、 [Microsoft SQL Server Management Studio] の順にクリックし ます。 b [サーバーへの接続] ダイアログ ボックスで [接続] をクリックします。 c [データベース] を展開し、[ePO データベース] を選択します。 d ツールバーで、[新しいクエリ] を選択します。 e [ファイル] 、 [開く] 、 [ファイル...] の順にクリックし、TomcatSecurePort.sql ファイルを検索します。 f ファイルを選択して、[開く] 、 [実行] の順にクリックします。 8 [スタート] 、 [ファイル名を指定して実行] の順にクリックし、explorer と入力して [OK] をクリックします。 9 Windows エクスプローラーで、次のディレクトリに移動します。 \Program Files (x86)\マカフィー\ePolicy Orchestrator\Server\conf\ 10 メモ帳で Server.XML を開き、ポート 8443 のエントリをすべて新しいポート番号で置換します。 11 [スタート] 、 [ファイル名を指定して実行] の順にクリックし、services.msc と入力して [OK] をクリックし ます。 12 次のサービスを右クリックして、[開始] を選択します。 • [ McAfee ePolicy Orchestrator アプリケーション サーバー ] • [ McAfee ePolicy Orchestrator イベント パーサー] • [ McAfee ePolicy Orchestrator サーバー] エージェント/サーバー間通信ポートを変更する エージェント/サーバー間通信ポートを変更するには、次の手順に従います。 開始する前に このトピックには、レジストリの操作や変更に関する情報が含まれています。この情報は、ネットワー ク管理者またはシステム管理者向けの情報です。 296 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポートの概要 エージェント/サーバー間通信ポートを変更する • レジストリの変更は元に戻せません。操作に失敗すると、システム障害が発生する可能性がありま す。 • 操作を行う前に、レジストリのバックアップを作成し、復元方法を確認しください。詳細について は、Microsoft のマニュアルを参照してください。 • 本物のレジストリ インポート ファイルと確認されている .REG ファイル以外は使用しないでくだ さい。 A タスク オプションの定義の場合、インターフェースで [?] をクリックします。 1 2 McAfee ePO サービスを停止します。 a すべての McAfee ePO コンソールを終了します。 b [スタート] 、 [ファイル名を指定して実行] の順にクリックし、services.msc と入力して [OK] をクリッ クします。 c 次のサービスを右クリックして、[停止] を選択します。 • [McAfee ePolicy Orchestrator アプリケーション サーバー ] • [McAfee ePolicy Orchestrator イベント パーサー ] • [McAfee ePolicy Orchestrator サーバー ] レジストリでポートの値を変更します。 a [スタート] 、 [ファイル名を指定して実行] の順にクリックし、regedit と入力して [OK] をクリックしま す。 b 使用している McAfee ePO バージョンに対応するキーに移動します。 McAfee ePO 5.1 — [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows \CurrentVersion\Uninstall\{806ACE6E-C694-43FE-A470-160A332D7AF9}] 3 AgentPort という文字列値に適切なポート番号を設定します。このポートのデフォルト値は 80 です。設定を 行ったらレジストリ エディターを終了します。 4 McAfee ePO データベースの値を変更します。 a [スタート] 、 [ファイル名を指定して実行] の順にクリックし、notepad と入力して [OK] をクリックしま す。 b 空のメモ帳文書に次の行を追加します。 UPDATE EPOServerInfo SET ServerHTTPPort=80 c このファイルを DefaultAgentPort.SQL という名前で SQL Server の一時フォルダーに保存します。 d Microsoft SQL Server Management Studio で DefaultAgentPort.sql ファイルをインストールしま す。[スタート] 、 [すべてのプログラム] 、 [Microsoft SQL Server Management Studio] の順にクリッ クします。 e [サーバーへの接続] ダイアログ ボックスで [接続] をクリックします。 f [データベース] を展開し、[ePO データベース] を選択します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 297 A ポートの概要 エージェント/サーバー間通信ポートを変更する 5 g ツールバーで、[新しいクエリ] を選択します。 h [ファイル] 、 [開く] 、 [ファイル...] の順にクリックし、DefaultAgent.SQL ファイルを検索します。 i ファイルを選択して、[開く] 、 [実行] の順にクリックします。 空のメモ帳文書に次の行を貼り付け、[8443] を新しいポート番号に変更します。 UPDATE EPOServerInfo SET rmdSecureHttpPort =8443 6 このファイルを TomcatSecurePort.SQL という名前で SQL Server の一時フォルダーに保存します。 7 Microsoft SQL Server Management Studio を使用して、TomcatSecurePort.SQL ファイルをインストール します。 8 a [スタート] 、 [すべてのプログラム] 、 [Microsoft SQL Server Management Studio] の順にクリックし ます。 b [サーバーへの接続] ダイアログ ボックスで [接続] をクリックします。 c [データベース] を展開し、[ePO データベース] を選択します。 d ツールバーで、[新しいクエリ] を選択します。 e [ファイル] 、 [開く] 、 [ファイル...] の順にクリックし、TomcatSecurePort.SQL ファイルを検索します。 f ファイルを選択して、[開く] 、 [実行] の順にクリックします。 McAfee ePO の設定ファイルでポートの値を変更します。 a [スタート] 、 [ファイル名を指定して実行] の順にクリックし、explorer と入力して [OK] をクリックしま す。 b [C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\...] に移動します。 c メモ帳で Server.ini を開き、HTTPPort=80 の値を新しい番号に変更し、ファイルを保存します。 d テキスト エディターで Siteinfo.ini を開き、HTTPPort=80 の値を新しい番号に変更し、ファイルを保存し ます。 e [C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\...] に移動し、httpd.conf を開 き、次の行に新しいポート番号を設定します。 Listen 80 ServerName<YourServerName>:80 9 VirtualHosts を使用している場合には、次のように変更します。 NameVirtualHost *:80 <VirtualHost *:80> 10 ファイルを保存して、テキスト エディターを終了します。 298 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ポートの概要 エージェント/サーバー間通信ポートを変更する A 11 McAfee ePO サービスを再起動します。 a [スタート] 、 [ファイル名を指定して実行] の順にクリックし、services.msc と入力して [OK] をクリッ クします。 b 次のサービスを右クリックして、[停止] を選択します。 • [McAfee ePolicy Orchestrator イベント パーサー] • [McAfee ePolicy Orchestrator サーバー] 12 (オプション) リモート エージェント ハンドラーで設定を変更します。 a すべての McAfee ePO コンソールを終了してから [スタート] 、 [ファイル名を指定して実行] の順にクリッ クし、services.msc と入力して [OK] をクリックします。 b 次のサービスを右クリックして、[停止] を選択します。 • [McAfee ePolicy Orchestrator イベント パーサー] • [McAfee ePolicy Orchestrator サーバー] エージェント ハンドラーのインストール後にサーバーを再起動していない場合、サーバーが MCAFEEAPACHESRV と表示される場合があります。 13 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\... に移動します。テキスト エディ ターで httpd.conf を開き、次の行に新しいポート番号を指定します。 Listen 80 ServerName<YourServerName>:80 VirtualHosts を使用している場合には、次のように変更します。 NameVirtualHost *:80 <VirtualHost *:80> 14 ファイルを保存して、テキスト エディターを終了します。 15 [スタート] 、 [ファイル名を指定して実行] の順にクリックし、services.msc と入力して [OK] をクリックし ます。 16 次のサービスを右クリックして、[停止] を選択します。 • [McAfee ePolicy Orchestrator イベント パーサー] • [McAfee ePolicy Orchestrator サーバー] エージェント ハンドラーのインストール後にサーバーを再起動していない場合、サーバーが MCAFEEAPACHESRV と表示される場合があります。 クライアントにエージェントを配備している場合には、/forceinstall スイッチを指定してすべてのクライアントの エージェントを再起動し、既存の Sitelist.xml ファイルを上書きしてください。特定のバージョンの McAfee Agent で /forceinstall スイッチを使用する方法については、マカフィー KnowledgeBase の記事 KB60555 を 参照してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 299 A ポートの概要 ファイアウォール経由の通信で必要なポート ファイアウォール経由の通信で必要なポート McAfee ePO サーバーとのトラフィックの送受信をファイアウォールで許可するには、次のポートを使用します。 関連用語 • 双方向 - 接続がいずれかの方向から開始します。 • 受信 - リモート サーバーが接続を開始します。 • 送信 - ローカル システムが接続を開始します。 表 A-1 McAfee ePO サーバー ポート デフォ ルト エージェント/サーバー 80 間通信ポート SSL を介したエージェ ント通信 (4.5 以降の エージェントのみ) 443 説明 トラフィックの方向 エージェントの要求を受信するために McAfee ePO サーバー サービスが開く TCP ポート エージェント ハンドラーと McAfee ePO サーバー間の双方向接続、 McAfee Agent からエージェント ハンドラーと McAfee ePO サーバ ーへの受信接続 デフォルトでは、4.5 エージェントは SSL で通信を行います (デフォルトのポ ート番号は 443)。このポートは、リモー ト エージェント ハンドラーと McAfee ePO マスター リポジトリとの通信でも使 用されます。 エージェントから McAfee ePO サ ーバーへの受信接続またはエージェ ント ハンドラーからマスター リポ ジトリへの受信接続。 受信接続: • エージェントから McAfee ePO • エージェント ハンドラーからマス ター リポジトリ • McAfee ePO からマスター リポ ジトリ • エージェントからエージェント ハ ンドラー 300 エージェントウェーク アップ通信ポートと SuperAgent リポジト リ ポート 8081 McAfee ePO からのエージェント ウェー McAfee ePO サーバーとエージェン クアップ要求を受信するためにエージェ ト ハンドラーから McAfee Agent ントが開く TCP ポートリポジトリのコン への送信接続 テンツを SuperAgent リポジトリに複製 するために開く TCP ポート エージェント ブロード キャスト通信ポート 8082 McAfee ePO サーバーとエージェント ハ SuperAgent から他のエージェント ンドラーからのメッセージを転送するた への送信接続 めに SuperAgent が開く UDP ポート コンソール/アプリケー 8443 ション サーバー間通信 ポート Web ブラウザー コンソールにアクセス するために、McAfee ePO アプリケーシ ョン サーバーが開く HTTPS ポート クライアント/サーバー 8444 認証通信ポート McAfee ePO サーバーに接続して必要な エージェント ハンドラーから 情報 (LDAP サーバーなど) を取得するた McAfee ePO サーバーへの送信接続 めにエージェント ハンドラーが使用する ポート。 SQL Server 用 TCP ポ 1433 ート SQL Server との通信に使用される TCP ポートこのポートは、セットアップ プロ セスで自動的に設定されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア McAfee ePO コンソールから McAfee ePO サーバーへの受信接続 McAfee ePO サーバーとエージェン ト ハンドラーから SQL Server へ の送信接続 製品ガイド ポートの概要 トラフィックのクイック リファレンス 表 A-1 A McAfee ePO サーバー (続き) ポート デフォ ルト SQL Server 用 TCP ポ 1434 ート 説明 トラフィックの方向 McAfee ePO データベースがホスティン McAfee ePO サーバーとエージェン グされている SQL インスタンスの TCP ト ハンドラーから SQL Server へ ポートを要求するために使用される UDP の送信接続 ポート。 デフォルトの LDAP サ ーバー ポート 389 ユーザー別ポリシーでコンピューター、ユ McAfee ePO サーバーとエージェン ーザー、グループ、組織単位を検索する ト ハンドラーから LDAP サーバー LDAP 接続。 への送信接続 デフォルトの SSL LDAP サーバー ポート 636 ユーザー別ポリシーは、LDAP 接続を使用 McAfee ePO サーバーとエージェン してユーザー、グループ、組織単位を検索 ト ハンドラーから LDAP サーバー します。 への送信接続 トラフィックのクイック リファレンス 以下のポートとトラフィックの方向情報を使用すると、McAfee ePO サーバーとのトラフィックがファイアウォール を通過するように設定できます。 関連用語 • 双方向 - 接続がいずれかの方向から開始します。 • 受信 - リモート サーバーが接続を開始します。 • 送信 - ローカル システムが接続を開始します。 表 A-2 エージェント ハンドラー デフォルト ポ プロトコル McAfee ePO サーバーでのトラフィッ ート クの方向 エージェント ハンドラーでのトラフィッ クの方向 80 TCP McAfee ePO サーバーとの双方向の接続 エージェント ハンドラーとの双方向の接 続 389 TCP McAfee ePO サーバーからの送信接続 エージェント ハンドラーからの送信接続 443 TCP McAfee ePO サーバーへの受信接続 エージェント ハンドラーへの受信接続 636 TCP McAfee ePO サーバーからの送信接続 エージェント ハンドラーからの送信接続 1433 TCP McAfee ePO サーバーからの送信接続 エージェント ハンドラーからの送信接続 1434 UDP McAfee ePO サーバーからの送信接続 エージェント ハンドラーからの送信接続 8081 TCP McAfee ePO サーバーからの送信接続 8443 TCP McAfee ePO サーバーからの送信接続 エージェント ハンドラーからの送信接続 8444 TCP McAfee ePO サーバーへの受信接続 エージェント ハンドラーからの送信接続 表 A-3 McAfee Agent デフォルト ポー プロトコル トラフィックの方向 ト 80 TCP McAfee ePO サーバーとエージェント ハンドラーへの送信接続 443 TCP McAfee ePO サーバーとエージェント ハンドラーへの送信接続 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 301 A ポートの概要 トラフィックのクイック リファレンス 表 A-3 McAfee Agent (続き) デフォルト ポー プロトコル トラフィックの方向 ト 8081 TCP McAfee ePO サーバーとエージェント ハンドラーからの受信接続 エージェントが SuperAgent リポジトリの場合、受信接続は他のエージェントから になります。 8082 UDP エージェントへの受信接続 SuperAgent との送受信接続 表 A-4 SQL Server 302 デフォルト ポート プロトコル トラフィックの方向 1433 TCP McAfee ePO サーバーとエージェント ハンドラーからの受信接続 1434 UDP McAfee ePO サーバーとエージェント ハンドラーからの受信接続 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド B ePolicy Orchestrator データベースの保守 ePolicy Orchestrator データベースは定期的に保守を行い、パフォーマンスを最適に維持してデータを保護する必要 があります。 使用している SQL のバージョンに適切な Microsoft 管理ツールを使用します。 SQL バージョン 管理ツール SQL 2008、2012 SQL Server Management Studio SQL Express SQL Server Management Studio Express 配備されている ePolicy Orchestrator に応じて、週に数時間ほど、データベースのバックアップと保守を定期的に 行ってください。このタスクは定期的に (毎週または毎日) 行う必要があります。ただし、以下のタスク以外にも実 行可能な保守タスクがあります。データベースのその他の保守方法については、SQL のマニュアルを参照してくださ い。 目次 インストールに必要な SQL 権限 McAfee ePO データベース ユーザーの役割の設定 SQL 保守計画の考慮事項 SQL データベースの復旧モデルの選択 テーブル データの最適化 SQL 保守計画を作成する SQL Server 接続情報を変更する McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 303 B ePolicy Orchestrator データベースの保守 インストールに必要な SQL 権限 McAfee ePO インストールに必要な SQL 権限 McAfee ePO 既存の SQL Server を使用する場合、あるいは新しい SQL Server を手動でインストールする場合には、特定の SQL Server 役割が必要です。 McAfee ePO の新規 使用するサーバー役割 インストール... インストール時 Windows 認証または SQL 認証で使用するユーザー アカウントには、対象の SQL Server で dbcreator サーバー役割が付与されている必要があります。 • public • dbcreator dbcreator サーバー役割は、インストール時にセットアップ プログラムが必要なコア McAfee ePO データベース オブジェクトを作成し、対象の SQL Server に追加するために 必要です。 この McAfee ePO SQL ユーザー アカウントには、McAfee ePO データベースのデータベ ース役割権限 db_owner が付与されます。 データベースのインス dbcreator サーバー役割を McAfee ePO SQL ユーザーから削除できます。 トール後 dbcreator サーバー役割を取り消すと、ユーザー アカウントの権限は McAfee ePO データ ベースで db_owner データベース役割が付与された権限に限定されます。 アップグレードまたはパッチのイ 使用する役割 ンストール... インストール時 Windows 認証または SQL 認証で使用するユーザー アカウントには、対象の SQL Server で dbcreator サーバー役割が付与されている必要があります。 • public • db_owner データベース ユーザーの役割の設定 db_owner データベース役割を使用しない場合には、次の手順に従って新しいデータベース役割を作成します。 db_owner の代わりに使用するユーザー アカウントには、5 つのデータベース役割権限が必要です。 304 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator データベースの保守 データベース ユーザーの役割の設定 目的... 使用する役割 毎日の業務 (推奨) 日々の業務に使用するアカウントには次のデータベース役割が必要です。 B • public • db_owner 新しいデータベース役割の作成 McAfee ePO データベー スへのログオンに db_owner 以外のデータ ベース役割を使用する場合 には、次の手順に従います。 1 McAfee ePO データベースに新しいデータベース役割を作成します。 a 管理者権限を持つアカウントを使用して、SQL Management Studio にロ グオンします。 b McAfee ePO データベースをホスティングしている SQL Server で、[デ ータベース] を展開して McAfee ePO データベースに移動し、[セキュリテ ィ] 、 [ロール] の順に展開します。 c [データベース ロール] を右クリックして、[新しいデータベース ロール] を選択します。 d [ロール名] で db_execute と入力します。 e [OK] をクリックします。 2 新しい役割に実行権限を付与します。 a Management Studio で [新しいクエリ] をクリックします。 b [使用可能なデータベース] ドロップダウン リストから McAfee ePO デー タベースを選択します。 c クエリ ウィンドウで次のコマンドを入力します。GRANT EXECUTE TO db_execute d [実行] をクリックして、コマンドを実行します。 3 ログオン情報と必要なデータベース役割を関連付けます。 a Management Studio で、McAfee ePO データベースをホスティングして いる SQL Server を選択し、[セキュリティ] 、 [ログイン] の順に展開し ます。 b McAfee ePO がデータベース接続で使用するログオン情報を選択します。 c ログオン情報を右クリックして、[プロパティ] を選択します。 d [ページの選択] で [ユーザー マッピング] を選択します。 e [このログインにマップされたユーザー] で、McAfee ePO データベースを 選択します。 f DB 役割のメンバーシップで、必要なデータベース レベルの役割を選択し ます。 • [db_datareader] - データ ベース コンテンツのクエリを 実行する場合に必要です。 • [db_execute] • [db_datawriter] - データ ベース コンテンツの挿入また は更新を行う場合に必要です。 • [public] • [db_ddladmin] - データ定 義言語のステートメントを実 行する場合に必要です。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 305 B ePolicy Orchestrator データベースの保守 SQL 保守計画の考慮事項 目的... 使用する役割 g [このログインにマップされたユーザー] で、[tempdb] を選択します。 h DB 役割のメンバーシップで、必要なデータベース レベルの役割を選択し ます。 • [db_datareader] • [db_datawriter] • [public] i [OK] をクリックします。 SQL 保守計画の考慮事項 SQL データベースは ePolicy Orchestrator の統合部分です。データベースの情報を保守し、バックアップしていな いと、エラーが発生したときに ePolicy Orchestrator の設定がすべて失われ、ネットワークを保護することができ ません。 ePolicy Orchestrator SQL データベースの保守作業には次の 2 つの部分があります。 • [ePolicy Orchestrator 障害時復旧] • SQL データベースの保守とバックアップ 以下では、各部分について説明します。 ePolicy Orchestrator 障害時復旧 ePolicy Orchestrator の復元プロセスでは障害時復旧スナップショット機能を使用します。この機能により、 ePolicy Orchestrator の設定、拡張ファイル、キーなどが ePolicy Orchestrator データベースの障害時復旧スナッ プショット レコードに定期的に保存されます。障害時復旧スナップショットで保存されたレコードには、障害時復旧 スナップショットが取得された時点での ePolicy Orchestrator 全体の設定が含まれます。 データベース障害から迅速に復旧するには、ePolicy Orchestrator データベースの障害時復旧スナップショットを定 期的に作成して、データベース ファイルをバックアップし、このバックアップ ファイルをプライマリ SQL Server か ら復元する SQL Server にコピーする必要があります。 SQL データベースの保守とバックアップ SQL データベースは、ePolicy Orchestrator で作成および使用されるデータを一元管理するストレージです。ここ には、管理対象システムのプロパティ、ポリシー情報、ディレクトリ構造が保存されます。また、システムを最新の 状態に保つために必要な関連情報も保存されます。ePolicy Orchestrator SQL データベースの保守は最優先で行う 必要があります。SQL データベースの定期的な保守作業では次のことを行います。 • 306 データと (トランザクション) ログ ファイルの管理 - 次の作業を行います。 • データ ファイルとログ ファイルを分離する。 • 自動拡張を正しく設定する。 • ファイルの初期化を設定する。 • 自動圧縮が有効でないことを確認する。保守計画に圧縮が含まれていないことを確認する。 • インデックスの最適化 - 「テーブル データを最適化する」を参照してください。 • 破損の検出 - データベースの整合性チェック タスクまたは DBCC CHECKDB を使用する。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator データベースの保守 SQL データベースの復旧モデルの選択 • バックアップの作成とファイル管理 • これらのタスクを自動的に実行するようにスケジュールを設定する。 B SQL データベースには、メンテナンス プラン ウィザードや Transact-SQL スクリプトなどの機能があります。これ らのタスクを自動的に実行するように設定できます。 SQL データベースの復旧モデルの選択 Microsoft SQL Server (SQL Server) データベースの保守には、 「シンプル復旧モデル」と「完全復旧モデル」の 2 つのモデルがあります。ePolicy Orchestrator データベースに対しては、シンプル復旧モデルの使用を推奨します。 シンプル復旧モデルの場合、SQL Server はバックアップ レコードを「非アクティブ」として認識します。これはロ グの切り捨てともいいます。ログの切り捨てを行うと、新しい操作がトランザクション ログに記録されるときに非ア クティブな項目が上書きされます。これにより、ログ ファイルのサイズが大きくなることを防いできます。 完全復旧モデルを使用している場合、トランザクション ログのバックアップを定期的に行っていないと、ログのサイ ズが大きくなり、ディスク上の使用可能な容量がすべて使用される可能性があります。ePolicy Orchestrator データ ベースに完全復旧モデルが設定されている場合には、トランザクション ログのバックアップを定期的に行い、ログの サイズを小さくしてください。 シンプル復旧モデルの場合、CheckPoint が発生し、レコードがディスクに書き込まれると、SQL Server はトラン ザクション ログを切り捨てます。トランザクション ログの切り捨てを行うと、トランザクション ログ ファイルに使 用するスペースが解放されます。 シンプル復旧モデルの場合、トランザクション ログはバックアップされません。ePolicy Orchestrator データベー スの完全なバックアップが定期的に行われます。障害が発生した場合、最後に実行した完全バックアップの状態に戻 すことができます。最後の完全バックアップ後に行われた変更は失われます。 企業ユーザーの場合、バックアップ間に失われるデータの大半がイベント情報になるため、シンプル復旧モデルが最 適なソリューションです。完全復旧モデルを使用すると、ePolicy Orchestrator データベースのトランザクション ログを定期的にバックアップするため、余分な管理作業が発生します。 ePolicy Orchestrator データベースに対してはシンプル復旧モデルの使用を推奨します。 完全復旧モデルを使用する場合には、ePolicy Orchestrator データベースとトランザクション ログのバックアップ を綿密に計画する必要があります。このガイドでは、SQL Server データベースのバックアップ計画については説明 しません。詳細については、Microsoft SQL Server のマニュアルを参照してください。 テーブル データの最適化 データベースのパフォーマンスに関する重要な問題の一つにテーブル データの断片化があります。この問題を解決 するために、テーブル データを再編成したり、再構築することができます。 データベース テーブル データの断片化は、分厚い本の最後にある索引に似ています。このようは厚い本では、索引 項目の 1 つが本全体で複数のページを参照していることがあります。この場合、目的の情報があるかどうか 1 ペー ジずつ確認しなければなりません。 この点が電話帳と大きな違いです。電話帳の場合、項目が特定の順番で並んでいます。たとえば、Jones という名前 が連続する複数のページに掲載されていても、これらの名前は特定の順番で並んでいます。 データベースの場合、最初の段階ではテーブル データは電話帳のような状態になっていますが、時間とともに厚い本 の索引の状態に近くなります。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 307 B ePolicy Orchestrator データベースの保守 SQL 保守計画を作成する データをどきどき並べ替え、電話帳に近い状態に戻す必要があります。ここでは、インデックスの再編成または再構 築が重要になります。データベースは時間とともに断片化が進みます。特に、大規模な環境を管理している場合、毎 日数千のイベントがデータベースに書き込まれるため、この傾向が強くなります。 McAfee ePO サーバーのパフォーマンスを適切な状態に維持するには、インデックスの再編成と再構築を自動的に行 う SQL 保守タスクをセットアップする必要があります。また、通常のバックアップ スケジュールにインデックスの 再作成を追加し、すべての作業を 1 つのタスクで行うこともできます。 タスクを設定するときに、データベースの圧縮は行わないでください。これは、保守タスクを作成するときに管理者が 行いやすい誤りの一つです。 SQL 保守タスクを使用すると、テーブルの断片化の状態に関係なく、すべてのインデックスが再構築または再編成さ れます。この点が問題になります。本稼働環境の大規模なデータベースの再構築と再編成にかかる時間を最小限にす るため、 SQL Server エージェント ジョブの使用を検討してください。このジョブで、断片化の状態に応じてイン デックスの再編成または再構築を選択的に行うカスタム SQL スクリプトを実行します。 インデックスの断片化の状態は、sys.dm_db_index_physical_stats 動的管理ビュー (DMV) を照会することで確 認できます。オンライン上の SQL Server データベース保守情報に SQL サンプル スクリプトが掲載されています。 このスクリプトを使用すると、断片化の状態に合わせてインデックスの再構築または再構成を選択的に行うことがで きます。詳細については、Microsoft ライブラリの「sys.dm_db_index_physical_stats (Transact-SQL)」で使用 例 D を参照してください。 テーブル データを再編成または再構築する必要かどうかは、テーブルの断片化状態に応じて次の基準で判断します。 • 30% 未満 - テーブル データを再編成します。 • 30% 以上 - テーブル データを再構築します。 インデックスの再編成はオンライン操作です (操作の実行中もテーブルを照会できます)。この操作は実行することを お勧めします。テーブルの断片化が大きい場合、テーブルの再構築が最適なオプションです。ただし、SQL Server Enterprise Edition を使用していない場合、この操作はオフラインで実行する必要があります。 詳細については、オンラインの Microsoft ライブラリで「インデックスの再編成と再構築」を参照してください。 SQL 保守計画を作成する ePolicy Orchestrator データベースを自動的にバックアップするには、SQL Server Management Studio などを 使用して SQL データベース保守計画を作成します。 ePolicy Orchestrator 障害時復旧スナップショット機能を使用して、ePolicy Orchestrator の設定、拡張ファイル、 キーなどを SQL データベースの障害時復旧スナップショット レコードに定期的に保存する必要があります。障害時 復旧スナップショット レコードを使用し、データベースを定期的にバックアップすることにより、McAfee ePO サー バーのハードウェアに障害が発生した場合でもシステムを迅速に復旧することができます。 タスク 1 新しい保守計画を作成します。Microsoft の以下の情報を参照してください。 • メンテナンス プラン ウィザードを起動する方法 (SQL Server Management Studio) • メンテナンス プランの作成 メンテナンス プラン ウィザードが起動します。 2 308 保守計画の名前 (ePO Database Maintenance Plans など) を入力します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド ePolicy Orchestrator データベースの保守 SQL 保守計画を作成する B 3 保守計画のスケジュールを設定します。ピーク時以外の時間帯に実行されるようにタスクのスケジュールを設定 します。たとえば、繰り返し実行するタスクを設定する場合、終了日を指定せず、毎週土曜日の午後 11 時に実 行されるように設定します。 4 以下の保守タスクを定義します。 5 • データベースの整合性チェック • インデックスの再構築 • データベースのバックアップ (完全) 次のように、保守タスクの順序を定義します。 • データベースの整合性チェック • データベースのバックアップ (完全) • インデックスの再構築 これらのタスクの実行順序は変更できます。インデックスの再構築前にデータベースのバックアップを実行する ようにしてください。この順序で実行すると、再構築プロセスで問題が発生したときに、データベースのバックア ップ コピーを使用できます。 6 7 8 データベース整合性チェック タスクに次の項目を定義します。 • ePolicy Orchestrator データベース名 • インデックスの追加 データベースのバックアップ (完全) タスクに次の項目を定義します。 • ePolicy Orchestrator データベース名 • バックアップのパス インデックスの再構築タスクに次の項目を定義します。 • ePolicy Orchestrator データベース名 • オブジェクト: テーブルとビュー • 1 ページあたりの空き容量の比率を 10% に変更します。 インデックスの再構築タスクを実行すると、統計情報が更新されます (フルスキャンの場合と同じ)。インデッ クスの再構築後は統計の更新タスクを実行する必要はありません。 9 レポート選択オプションで次の項目を定義します。 • レポートをテキスト ファイルに保存する • 保存先のフォルダー これにより、ePolicy Orchestrator データベースを自動的にバックアップする保守計画が作成されます。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 309 B ePolicy Orchestrator データベースの保守 SQL Server 接続情報を変更する SQL Server 接続情報を変更する McAfee ePO の Web ページを使用すると、SQL Server 接続情報の詳細を編集できます。 SQL Server Enterprise Manager または SQL Server Management Studio で SQL Server の認証モードを変 更するときに、McAfee ePO のユーザー アカウント情報を変更する必要がある場合に接続設定の詳細を編集します。 ネットワーク セキュリティの向上のために権限の高い SQL ユーザー アカウントを使用する場合に、この操作を行い ます。 この McAfee ePO サーバーが完全に一致しない McAfee ePO データベースを参照するように設定を変更すると、製 品の拡張ファイルが削除されたり、関連するデータが消失する可能性があります。このタスクは、既存のデータベース 設定を変更するときにのみ実行してください。 https://<servername>:<port>/core/config の Web ページを使用すると、データベース設定ファイルの情 報を変更できます。データベースの接続設定を変更する場合には設定ページを使用します。たとえば、データベース のユーザー名、パスワード、サーバー名、インスタンス名、ポート、データベース名に対する変更を行います。 このページについて、次の点に注意してください。 • 認証情報 - データベースが稼働している場合、このページは通常の McAfee ePO ユーザー認証情報を使用しま す。管理者以外はアクセスできません。データベースが停止している場合には、SQL Server が稼動しているシ ステムからの接続が必要となります。 • 設定変更を反映するには、McAfee ePO サービスを再起動する必要があります。 • また、暗号化されていないパスワードを入力してサーバーを起動し、config ページで暗号化されたパスフレーズ を格納している db config を編集して、設定ファイルを編集することもできます (<ePO インストール ディレク トリ>server\conf\orion\db.properties)。 オプションの定義の場合、インターフェースで [?] をクリックします。 タスク 1 管理者の認証情報を使用して McAfee ePO にログオンします。 2 ブラウザーのアドレス フィールドに次の URL を入力します。 https://<servername>:<port>/core/config 3 [データベースを設定] ページで、認証情報または SQL Server 情報を必要に応じて変更します。 このページには次の設定も表示されます。 • [ホスト名または IP アドレス] - 使用するデータベース サーバーのホスト名または IP アドレス • [データベース サーバー インスタンス] - サーバーのインスタンス名 (クラスター構成の場合) • [データベース サーバー ポート] - McAfee ePO サーバーと SQL データベース サーバー間の通信に使用さ れるサーバー ポートです。デフォルト ポートは 8443 です。 • [データベース名] - SQL Server で使用される特別なデータベース名 • [データベース サーバーとの SSL 接続] - 接続ポートの状態 (SSL を使用しない、SSL の使用を試みる、 SSL を常に使用) [テスト接続] をクリックして、McAfee ePO サーバーと SQL データベース サーバー間の接続を確認してくださ い。 310 4 終了したら [適用] をクリックします。 5 システムまたは McAfee ePO サービスを再起動して、変更を適用します。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド C リモート コンソール接続の開始 McAfee ePO のサーバー名 (または IP アドレス) とサーバーの通信ポート番号を使用すると、対応するインターネ ット ブラウザーから ePolicy Orchestrator に接続し、設定を行うことができます。 リモート接続で ePolicy Orchestrator に接続した場合、一部の設定は変更できません。たとえば、リモート接続から 登録済みの実行ファイルは実行できません。 リモート接続を設定するには、McAfee ePO のサーバー名 (または IP アドレス) とサーバーの通信ポート番号が必 要です。ePolicy Orchestrator を起動し、物理的な McAfee ePO サーバーにログインしたときに、ブラウザーに表 示されるアドレスを確認してください。次のような形式になっています。 https://win-2k8-epo51:8443/core/orionSplashScreen.do この URL で: • win-2k8-epo51 - McAfee ePO サーバーの名前 • :8443 - ePolicy Orchestrator が使用するコンソール/アプリケーション サーバー間通信ポートの番号 変更していない限り、デフォルトのポート番号は 8443 です。 タスク 1 2 ePolicy Orchestrator が対応するインターネット ブラウザーを起動します。対応ブラウザーについては、 『McAfee ePolicy Orchestrator インストール ガイド』を参照してください。 ブラウザーのアドレス バーで以下のいずれかを入力し、[Enter] をクリックします。 https://<servername>:8443 https://<ipaddress_of_server>:8443 例: https://win-2k8-epo51:8443 3 ePolicy Orchestrator にログインし、リモート コンソール接続を確立します。 リモート コンソール接続で実行可能な拡張コマンドについては、『ePolicy Orchestrator スクリプト ガイド』を参 照してください。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 311 C リモート コンソール接続の開始 312 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド D よくある質問 ここでは、ePolicy Orchestrator に関するよくある質問とその回答を紹介します。 目次 ポリシー管理に関する質問 イベントと応答に関する質問 ポリシー管理に関する質問 ポリシーとは何ですか? ポリシーは、製品のポリシー設定をカスタマイズしたもので、いずれかのポリシーのカテゴリに対応します。ポリシ ーの各カテゴリで必要に応じて名前付きポリシーを作成、変更、または削除できます。 McAfee デフォルト ポリシーとマイ デフォルト ポリシーとは何ですか? インストール時には、各ポリシー カテゴリにポリシーが少なくとも 2 つ含まれています。これが McAfee デフォル ト ポリシーとマイ デフォルト ポリシーです。最初のインストール時に含まれているポリシーは、この 2 つのポリシ ーのみです。これらのポリシーの設定は、2 つとも最初は同じです。 McAfee デフォルト ポリシーは、編集、名前の変更、または削除することはできません。マイ デフォルト ポリシー は編集や名前の変更、または削除が可能です。 新しいポリシーを割り当てると、グループの下位レベルのグループおよびシステムにどのように影響しま すか? 特定のポリシー カテゴリを継承するよう設定されているすべての下位レベルのグループおよびシステムは、親グルー プに適用されたポリシーを継承します。 ポリシー カタログでポリシーを変更した場合、このポリシーが適用されているグループおよびシステム にはどのように影響しますか? ポリシーが変更された場合、このポリシーが適用されているすべてのグループおよびシステムは、次のエージェント/ サーバー間通信で変更を受信します。次に、ポリシーの施行間隔で、変更されたポリシーが施行されます。 ポリシーを新しく割り当てましたが、管理対象システムで施行されていません。なぜですか? 新しいポリシーは、エージェント/サーバー間通信が行われるまで施行されません。 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 313 D よくある質問 イベントと応答に関する質問 グループまたはシステム間でポリシーの割り当てを貼り付けましたが、貼り付け先の場所に割り当てられ たポリシーは、貼り付け元と同じポリシーではありません。なぜですか? この場合、ポリシーの割り当てをコピーして貼り付ける際に、割り当てのみを貼り付けている可能性があります。貼 り付け元の場所がコピーに選択したポリシーを継承している場合、貼り付け先に貼り付けられたのは継承の特長です。 そのため、貼り付け先は親からポリシーを継承し、そのポリシーは貼り付け元で継承されたポリシーとは別のもので ある可能性があります。 イベントと応答に関する質問 ウイルス検出時に応答ルールを設定した場合、アウトブレークの発生中はイベントごとに通知メッセージ を受け取ることになりますか? いいえ。 指定した時間またはイベント数ごとに 1 通の通知を受信するように設定できます。または、指定した時間 内で受信する通知を最大 1 通に設定することができます。 複数の受信者に対して通知を生成するルールを設定することはできますか? はい。 応答ビルダー ウィザードで、受信者の電子メール アドレスを複数入力することができます。 複数の種類の通知を生成するルールを設定することはできますか? はい。ePolicy Orchestrator の通知機能では、以下の通知対象と各ルールを自由に組み合わせることができます。 314 • 電子メール (標準の SMTP、SMS、テキスト ペー ジャー) • 問題 • SNMP サーバー (SNMP トラップ経由) • スケジュール済みのサーバー タスク • McAfee ePO サーバーにインストールされてい るすべての外部ツール McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 A E Active Directory ePolicy Orchestrator Windows 認証の設定 46 概要 15 権限セットの適用 44 基本的な機能 37 コンテナー、システム ツリー グループとの関連付け 116 信頼サイトに追加 265 システムのみの同期化 106 説明 17 実装方法 44 ソフトウェアの動作 18 ユーザー ログオン 42 リモート コンソール接続 311 Active Directory との同期 ログオンとログオフ 21 [今すぐ同期を実行] アクション 105 F 境界 103 システム ツリー構造 116 システムと構造 106 FTP リポジトリ 作成と設定 72 システムの削除 105, 106 説明 63 種類 106 フォルダー共有の有効化 76 タスク 105 編集 76 重複エントリの処理 105 ASCI (エージェント/サーバー間通信の間隔を参照) 134 ASSC キー、エージェント/サーバー間セキュア通信キーを参照 121 C catch-all グループ 109 CRL ファイル、証明書による認証での更新 50 G GUID (Global Unique Identifier) 109 H HTTP リポジトリ 作成と設定 72 D 説明 63 フォルダー共有の有効化 76 DAT ファイル 参照:検出定義ファイル 編集 76 評価 201 I リポジトリからの削除 214 Internet Explorer リポジトリ ブランチ 215 DAT ファイルの更新 手動チェックイン 215 ソース サイト 66 プロキシの設定 69 ブロックされたダウンロード 265 IP アドレス IPv6 30 タスク作成の考慮事項 199 IP の重複チェック 108 タスクのスケジュール 200 サブネット マスク、ソート条件 115 バージョンの確認 201 条件のグループ化 104 配備 196 ソート 108 日単位のタスク 200 ソート条件 110, 115 マスター リポジトリ 64 範囲、ソート条件 115 [IP の整合性チェック] アクション 108 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 315 索引 L LAN 接続と地理的な境界 103 LDAP サーバー SPIPE 133 SQL Server 参照:データベース 認証方法 44 情報の編集 310 LDAP サーバー、登録 85 保守計画の考慮事項 306 SQL データベース M SQL 保守タスク、テーブル データの最適化 307 McAfee Agent 管理ツール 303 統計 142 障害時復旧 282 プロパティ、表示 147 スナップショットのスケジュール 289 McAfee Agent (エージェントを参照) 17 データベースの復元 289 McAfee Default ポリシー バックアップと復元 293 よくある質問 313 バックアップの概要 286 McAfee ePO でのチケット作成 273 McAfee Product Improvement Program 復元の概要 287 保守計画、SQL データベースのバックアップ 308 設定 210 SSL 証明書 プログラムの削除 211 説明 51 SuperAgent McAfee ServicePortal、アクセス 14 McAfee 推奨事項 ウェークアップ コール 135, 137 グローバル アップデートの使用 205 エージェントの変換 138 システム ツリーの計画 103 階層 139, 140 製品配備の段階的な実施 194 キャッシュ 138 ソートに IP アドレスを使用 104 システム ツリー グループへのウェークアップ コール 136 組織の境界の検討 103 説明 137 タグに基づいたソート条件の使用 104 多数ドメインのインポート時のエージェントの配備 118 「データのロールアップ」サーバー タスクの作成 253 分散リポジトリ 63 SuperAgent の階層 139, 140 SuperAgent リポジトリ 複製タスクのスケジュール 208 グローバル アップデートの要件 205 割り当て前のポリシーの複製 173 削除 72 McAfee リンク、デフォルト モニター 236 Microsoft Internet Information Services (IIS) 63 作成 71 Microsoft Windows リソース キット 113 タスク 71 説明 63 パッケージの複製 72 N NETDOM.EXE ユーティリティ、テキスト ファイルの作成 113 NT ドメイン 手動で作成したグループにインポート 118 U UNC 共有リポジトリ 作成と設定 72 同期 107, 118 使用 同期済みグループの更新 120 推奨事項 77 説明 63 P フォルダー共有の有効化 76 Product Improvement Program 編集 76 設定 210 プログラムの削除 211 V VPN 接続と地理的な境界 103 S ServicePortal、製品マニュアルの入手方法 14 W Sitelist ファイル 93 WAN 接続と地理的な境界 103 SNMP サーバー 参照:応答 Windows 認証、設定 43, 45, 46 登録 86 316 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 Windows 認証 え 方法 44 エージェント 有効化 45 GUID とシステム ツリーの場所 109 McAfee Agent、ePolicy Orchestrator のコンポーネント 17 あ SuperAgent への変換 138 ウェークアップ コール 135 アカウント ユーザーの種類 41 アクティブでないエージェント 145 応答とイベント転送 220 グループ化 96 サーバーへの最初のコール 109 い 提供クエリ 147 移動 配備 169 ナビゲーション バー 22 プロキシの設定 69 メニュー 22 保守 133 メニューによる 22 ポリシーの設定によるリポジトリの使用 70 メンテナンス 133 イベント 対応状況イベント 254 リレー機能 141 タグ グループのシステム リスト 249 リレー機能、無効 142 通知間隔 224 リレー機能、有効 143 割り当てルールによるグループ化 96 転送 224 転送と通知 220 フィルタリング、サーバー設定 22 エージェントから SuperAgent への変換 138 エージェント/サーバー間セキュア通信 (ASSC) [今すぐソート] アクション 107 1 つのキー ペアの使用 155 インストール キーの操作 153 キー ペアを使用するシステムの表示 154 計画 29 サーバーごとに異なるキー ペアを使用 155 インターフェース お気に入りバー 21 ナビゲーション 21 メニュー 21, 22 説明 149 エージェント/サーバー間セキュア通信キー キーのエクスポートとインポート 89 システムの転送 121 インポート エージェント/サーバー間通信 応答 88, 223 基礎 88 管理 148 クエリ 88 システム ツリーのソート 108 クライアント タスク オブジェクト 88 権限セット 58, 60 セキュア通信キー (ASSC) 152 説明 133 システム 88 エージェント通信ポート 148 タグ 88 エージェント配備の認証情報 148 タスク 88 エージェント ハンドラー ダッシュボード 88 Sitelist ファイルの優先度 93 ポリシー 88 エージェントの移動 96 ポリシーの割り当て 88 エージェントの割り当て 94 リポジトリ 88 拡張性 30 レポート 264 機能 91 使用しない場合 30 使用する場合 30 う 設定と管理 93 ウェークアップ コール SuperAgent 135, 137 システム ツリー グループ 136 手動 135 説明 91 認証モード 91 複数 91 割り当ての優先度 97 説明 135 エクスポート タスク 135 応答 88, 223 クエリ 88 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 317 索引 エクスポート (続き) 拡張ファイル クライアント タスク オブジェクト 88 インストール 213 権限セット 58, 60 カスタム ログイン メッセージ 42 システム 88 間隔 説明 87 通知 224 タグ 88 監査ログ タスク 88 アクション履歴の表示と削除 275 ダッシュボード 88 自動的に削除 276 ポリシー 88 製品配備 166 ポリシーの割り当て 88 リポジトリ 88 説明 275 管理者 レポート 264 グループの作成 102 権限 57 エンジン リポジトリからの削除 214 説明 57 リポジトリ ブランチ 215 ソース サイト、設定 66 ユーザー アカウントの管理 41 エンジンの更新 手動チェックイン 215 管理者、グローバル、参照:管理者 ソース サイト 66 管理対象外のリポジトリ 63 タスクのスケジュール 200 管理対象システム 配備パッケージ 196 エージェント/サーバー間通信 133 マスター リポジトリ 64 グローバル アップデート 61 製品のインストール 198 ソート、条件に基づく 107 お タスク 197 応答 88, 223 配備タスク 197 SNMP サーバー 223 ポリシーの管理 171 イベント転送 220 ポリシーの割り当て 188 計画 219 ロールアップ クエリ 253 権限の割り当て 222 設定 220, 221, 226 トリガーされるルール 226 き 問題の自動作成の設定 270 キー、参照:セキュリティ キー よくある質問 314 キーストア暗号化パスフレーズ 連絡先 226 障害時復旧 282 応答ビルダー ウィザード 226 設定 294 機能、ePolicy Orchestrator 応答ルール 作成と編集 225 しきい値の設定 226 コンポーネント 17 旧バージョン ブランチ [説明] ページ 225 DAT とエンジン パッケージの移動 214 フィルターの設定 225 定義 64 パッケージ バージョンの保存 214 オペレーティング システム 応答ルールのフィルター 225 脅威イベント ログ グループ化 104 説明 278 レガシー システム (Windows 95、Windows 98) 104 表示と削除 279 境界、「システム ツリーの同期化」を参照 103 か く 拡張性 クエリ 88 計画 29 318 垂直方向 29 エージェント 147 水平方向 29 カスタム、管理 243 説明 29 既存の実行 245 複数のサーバーの使用 29 グラフ タイプ 241 複数のハンドラーの使用 30 グループの変更 251 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 クエリ 88 (続き) グループ 結果タイプ 253 NT ドメインを使用した手動更新 120 結果に対するアクション 240 アクセス制御 57 結果を使用してシステム上のタグを除外 128 オペレーティング システム 104 権限 239 システムの手動による移動 121 個人クエリ グループ 250 手動作成 111 サーバー タスクの使用 254 条件に基づく 109 サブアクション 245 製品のポリシーの施行 179 スケジュール 245 ソート、自動 104 設定 242 ソート条件 114 説明 240 ソート条件の設定 115 操作 242 定義 102 対応状況のクエリの作成 254 定義に IP アドレスを使用 104 タグ グループのシステム リスト 249 ポリシー、継承 102 ダッシュボード モニター 240 ポリシー割り当ての貼り付け 181 他の形式へのエクスポート 252 ポリシー割り当ての表示 188 表形式 241 グループ化、参照:通知 フィルター 241 クローズされた問題の削除 272 複数のサーバーからのロールアップ 253 レポート形式 240 手動 272 グローバル アップデート レポートしてエクスポート 240 コンテンツ 69 プロセスの説明 205 クエリ ビルダー カスタム クエリの作成 239, 243 有効化 206 要件 205 結果タイプ 241 説明 241 グローバル管理者 障害時復旧に必要な権限 282 クライアント証明書による認証 ePolicy Orchestrator の設定 48 概要 47 け 使用方法 47 トラブルシューティング 50 継承 定義 102 無効 49 ポリシー設定 173 有効化 48 ポリシーの表示 189 ユーザーの設定 49 クライアント タスク 今すぐ実行 144 オブジェクト 193 共有 193 クライアント タスク カタログ 193 削除 203 無効、リセット 189 権限 SQL 304 応答の割り当て 222 管理者 57 クエリ 239 ダッシュボード 232 作成 202 製品配備プロジェクトとの比較 163 設定の編集 202 説明 193 通知の割り当て 221 方法 44 権限セット 88 Active Directory グループとの関連付け 43 操作 201 Active Directory グループへの適用 44 比較 203 クライアント タスク、オンデマンド 144 クライアント タスクの比較 203 クラウド管理 ソフトウェアの動作 18 グラフ、「クエリ」を参照 241 グループ catch-all 109 エクスポートとインポート 58, 60 管理 58 システム ツリー 103 操作 58 ユーザーとグループの関係 57 例 57 レポートへの割り当て 262 NT ドメインのインポート 118 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 言語パッケージ、「エージェント」を参照 103 製品ガイド 319 索引 検出定義ファイル 17 サーバー マスター リポジトリのキー ペア 150 こ サーバー証明書 削除 49 更新 DAT とエンジン 196 クライアント タスク 199 グローバル、プロセス 205 置換 51 サーバー設定 Internet Explorer 69 更新タスクのスケジュール設定 200 SSL 証明書 51 自動、グローバル アップデート 206 グローバル アップデート 69, 206 手動チェックイン 214 種類 22 ソース サイト 61 障害時復旧 294 タスク作成の考慮事項 199 通知 219 配備タスク 194 デフォルト カテゴリ 22 配備パッケージ 196 プロキシ設定 39 パッケージと依存関係 194 プロキシ、マスター リポジトリ 61 パッケージの署名とセキュリティ 194 プロセスの説明 196 ポートと通信 22 サーバー タスク 高速検索 24 cron 構文の許可 209 このガイドで使用している表記規則とアイコン 13 cron 構文のスケジュール設定 209 このガイドについて 13 クエリのスケジュール設定 245 コンポーネント サーバー証明書の置換 51 ePolicy Orchestrator、説明 17 サーバー タスク ログ 276 McAfee ePO サーバー、説明 17 サブアクションを設定したクエリ 245 障害時復旧 282 障害時復旧 289 リポジトリ、説明 61 説明 205 データのロールアップ 253 ドメイン/AD を同期 105 さ ポリシー共有 190 サーバー LDAP サーバー、登録 85 McAfee ePO サーバー、コンポーネント 17 McAfee ePO サーバーの追加登録 83 SNMP、応答 223 SNMP、通知 223 SQL 権限 304 オブジェクトの共有 87 クエリのインポートとエクスポート 251 サーバー タスク ログ、説明 210 サポートされるサーバーの種類 83 システムの転送 123 障害時復旧 282, 285 障害時復旧を使用する場合のハードウェアのアップグレード 281 設定と制御 22 レポートの実行 263 ログ ファイルの削除 277 サーバー タスクのスケジュール設定 ポリシー共有 191 [サーバー タスク ビルダー] ウィザード 130 サーバー タスク ログ 説明 210 タスクの表示、フィルタリング、削除 277 サーバーの種類 ePolicy Orchestrator がサポートする 83 最新バージョン ブランチ 更新パッケージのチェックイン 215 定義 64 サイト 既存、編集 67 設定の概要 33 データベース 266 登録可能な種類 83 バックアップと復元 293 バックアップの概要 286 復元の概要 287 複数、使用する場合 29 ポリシーのインポート 177 ソースとフォールバックの切り替え 67 ソースまたはフォールバックの削除 68 フォールバック 61, 66 サブグループ 条件に基づく 109 ポリシーの管理 118 サブネット、条件のグループ化 104 ポリシーのインポートとエクスポート 171 ポリシーの共有 176 320 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 し システム ツリーの編成 ネットワークの境界 103 施行、「ポリシーの施行」を参照 179 ネットワークの帯域幅 103 システム 88 グループへのソート 116 システム ツリーのユーザーの組織グループ 101 システム ツリーからのエクスポート 113 システムのエクスポート 113 製品のポリシーの施行 180 システムの高速検索、デフォルト モニター 236 プロパティ 145 システム別ポリシー ポリシーの割り当て 178, 179 条件 184 ポリシー割り当ての貼り付け 181 説明 184 ポリシー割り当ての表示 188 自動応答 143, 217 自動設定 35 システム ツリー アクセス要件 103 集計、参照:通知 エージェントのグループ化 98 障害時復旧 親グループと継承 102 概要 286 グループと手動ウェークアップ コール 136 キーストア暗号化パスフレーズ 282 グループの追加 110 コンポーネント 282 グループへのポリシーの割り当て 178 サーバー設定 294 権限セット 103 サーバー タスク 289 構造 101 スナップショット 281 子グループと継承 102 スナップショットの設定 289 作成、自動 104 説明 281 必要な情報 285 システムの削除 102 条件によるソート 107 条件に基づいたタグ ソート 115 定義 102 適用 130 未分類グループ 102 ユーザーの組織レベル 101 証明書による認証 CRL ファイルの更新 50 システム ツリー内の重複エントリ 118 OpenSSL コマンドの使用 55 システム ツリーのアクセス要件 103 PVK から PEM ファイルへの変換 56 システム ツリーのソート IP アドレス 108 外部の認証局の署名 53 エージェント/サーバー間通信 108 サーバーでの証明書による認証の変更 48 サーバーとシステムの設定 22, 108 サブグループの順序 109 自己署名証明書の作成 53 [新規グループ] ウィザード 新規グループの作成 250 システムを 1 回だけソート 108 タグに基づいた条件 108 デフォルトの設定 109 す 有効 116 スケジュール 有効化 115 cron 構文を使用するサーバー タスク 209 システム ツリーの同期 Active Directory 構造 116 スケジュール 119 システム ツリーの編成 障害時復旧スナップショット 289 条件に基づいたタグの適用 130 スナップショット Web API から作成 291 Active Directory コンテナーとグループの関連付け 116 概要 286 Active Directory コンテナーのインポート 116 サーバー タスク ログの詳細 290 エントリの重複 118 作成 290 オペレーティング システム 104 障害時復旧 281 グループの作成 110 設定 289 計画時の考慮事項 103 ダッシュボードからの作成 290 サブグループの使用 118 ダッシュボード モニター 282 システムとグループのインポート 112, 114 データベースに保存されるレコード 286 システムのグループへの手動による移動 121 テキスト ファイル、システムとグループのインポート 113 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア デフォルトのスケジュール 289 スロットル、参照:通知 製品ガイド 321 索引 せ 選択したパッケージ 複製の回避 75 製品インストール 複製の無効化 75 拡張ファイルのインストール 213 配備タスクの設定 197, 198 そ 製品互換性リスト 概要 159 ソース サイト ダウンロード ソースの設定 160 SiteMgr.xml からのインポート 80 製品の更新 既存、編集 67 サポートされているパッケージの種類 194 更新パッケージ 196 ソース サイト 61 削除 68 配備 196 作成 66 パッケージの手動チェックイン 214 製品の更新 61 パッケージの署名とセキュリティ 194 設定 66 プロセスの説明 196 説明 61 製品の自動設定 フォールバック 61 概要 36 フォールバックへの切り替え 67 製品のプロパティ 145 ソート条件 製品配備 IP アドレス 108 監視と変更 165, 167 IP アドレスに基づく 115 クライアント タスクによる配備との比較 163 グループ 115 作成 166 グループ、自動 104 使用、自動設定 35 グループへのシステムのソート 107 方法 163 設定 115 製品配備パッケージ タグに基づく 104, 108, 115 更新 194 [ソート テスト] アクション 107 サポートされているパッケージ 194 ソフトウェア マネージャー 157 手動チェックイン 215 拡張ファイルの削除 158 セキュリティとパッケージの署名 194 拡張ファイルのチェックイン 158 チェックイン 214 コンテンツ 157 製品配備プロジェクト 製品の互換性 159 説明 163 説明 157 セキュリティ管理 99 パッケージの削除 158 セキュリティ キー パッケージのチェックイン 158 1 つのマスター キーの使用 151 評価版ソフトウェア 158 ASSC、操作 153 ライセンス ソフトウェア 158 エージェント/サーバー間セキュア通信 (ASSC) 149, 152 管理 150 た サーバー設定 22 全般 149 その他のリポジトリのコンテンツ 150 秘密鍵と公開鍵 150 複数サーバー環境でのマスター リポジトリ キー 151 セキュリティ証明書 インストール 52 自己署名証明書の作成 53 認証局 (CA) 51 設定 帯域幅 イベント転送の考慮事項 224 複製タスク 208 プル タスク作成の考慮事項 207 分散リポジトリ 61 対応状況 イベントの生成 254 クエリの作成 254 タグ 88 グループのソート条件 104 概要 33 基本的な機能 36 タグ グループのシステム リスト 249 セットアップ 27 サブグループの作成、削除、変更 127 手動適用 129 条件に基づく 107 条件によるソート 115 タグの自動適用からのシステムの除外 128 322 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 タグ 88 (続き) データベース [タグ ビルダー] ウィザードでの作成 125 管理ツール 303 適用 130 クエリと取得するデータ 240 編集、削除、エクスポート、移動 126 障害時復旧 282 タグ カタログ 125 情報の編集 310 タグ、サブグループ スナップショットのスケジュール 289 作成、削除、変更 127 設定、ユーザーの役割 304 [タグ条件の実行] アクション 125 テーブル データの最適化 307 タグに基づいたソート条件 104, 108 バックアップと復元 293 [タグ ビルダー] ウィザード 125 バックアップの概要 286 [タグを適用] アクション 125 復元 307 ダッシュボード 88 復元の概要 287 インポートとエクスポート 233 ポートと通信 22 エクスポートされたレポートの設定 264 保守 307 概要 231 保守計画、SQL データベースのバックアップ 308 管理 232 マルチサーバー クエリ 253 権限の付与 232 データベース サーバー スナップショットの作成 290 削除 267 設定 231 使用 266 操作 231 操作 266 デフォルトの設定 238 登録 87 デフォルト モニター 236 登録の編集 267 モニターの移動とサイズの変更 235 データベース サーバー登録の削除 267 モニターの設定 234 データベース サーバー登録の編集 267 ダッシュボード モニター データベース サーバーの登録 87 移動とサイズの変更 235 テーブル行、チェックボックスの選択 25 設定 234 適用されたポリシー 操作 234 クエリの作成 185 テクニカル サポート、製品情報の入手方法 14 電子メール サーバー ち 応答の設定 221 地理的な境界、利点 103 つ と 通知 同期 SNMP サーバー 86, 223 Active Directory 106 イベント転送 220, 221 Active Directory コンテナーの除外 106 機能 218 NT ドメイン 107 権限の割り当て 221 [今すぐ同期を実行] アクション 105 受信者 218 エージェントの自動配備 106 スロットル、集計、グループ化 218 システムと構造 106 通知イベントの間隔 224 システムのみ、Active Directory 106 通知ルール スケジュール 119 .MIB ファイルのインポート 223 重複エントリの回避 106, 107 デフォルト 219 デフォルト 109 動的管理ビュー (DMV) 307 登録済みサーバー て ディレクトリ、「システム ツリー」を参照 116 データ移行ツール 製品互換性チェックに使用 159 「データのロールアップ」サーバー タスク 253 データベース SQL の復元 289 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア ePolicy Orchestrator がサポートする 83 登録 83 登録済みのサーバー LDAP サーバー、追加 85 SNMP サーバーの追加 86 ポリシー共有の有効化 190 製品ガイド 323 索引 ハンドラー ドキュメント このガイドの対象読者 13 エージェントの移動 96 製品固有、入手方法 14 エージェントのグループ化 98 表記規則とアイコン 13 グループの作成 95 優先度 93 ドメインの同期化 103 トラブルシューティング ハンドラー グループ McAfee Agent と製品のプロパティの確認 147 削除 96 クライアント証明書による認証 50 作成 95 製品配備 194 設定の編集 96 説明 93 ハンドラーの割り当て な 概要を表示 94 ナビゲーション 管理 94 メニューによる 21 に 優先度の編集 94, 97 ひ 認証 Windows の設定 45 評価バージョン ブランチ 新しい DAT とエンジンの使用 201 認証、Windows の設定 43 認証情報 データベース登録の変更 267 配備、キャッシュに保存 148 定義 64 評価モード 39 ふ フィルター ね イベント フィルタリングの設定 22 ネットワークの帯域幅、「システム ツリーの同期化」を参照 103 応答ルールの設定 225 クエリ結果 241 は サーバー タスク ログ 277 配備 参照:製品配備 リスト 24 フォールバック サイト 既存、編集 67 エージェント 169 削除 68 グローバル アップデート 206 設定 66 サポートされているパッケージ 194 説明 61 製品と更新 196 製品と更新、最初 196 製品のインストール 197, 198 タスク 194 タスク、管理対象システム 197 パッケージの手動チェックイン 214 パッケージのセキュリティ 194 パスワード 使用可能な形式 46 ユーザー アカウントの変更 41 バックアップと復元 SQL データベース 293 SQL データベースの保守計画 308 パッケージ 手動チェックイン 214 セキュリティ 194 配備タスクの設定 198 リポジトリ内のブランチ間での移動 215 ソースへの切り替え 67 複数の McAfee ePO サーバー ポリシー共有 191 複製 回避、選択したパッケージ 75 選択したパッケージの無効化 75 複製タスク 完全と差分 208 サーバー タスク ログ 210 マスター リポジトリの更新 208 ブランチ DAT とエンジン パッケージの削除 214 旧バージョン 214 最新バージョン 215 手動によるパッケージの移動 215 種類、リポジトリ 64 評価バージョン 201 ブランチの変更アクション 201 ブランチの変更アクション 201 324 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 ポリシー 88 プル タスク サーバー タスク ログ 210 グループの継承、表示 189 スケジュールに関する考慮事項 207 継承 173 マスター リポジトリの更新 207 システムへの適用方法 173 自動応答 143 プロキシ設定 エージェント 69 所有 173, 188 サーバー設定 39 所有者の変更 176 マスター リポジトリの設定 68 設定 175 設定、表示 187 プロパティ McAfee Agent、コンソールからの確認 147 説明 171 システム 145 タグによる割り当て 184 製品 145 比較 189 ポリシー変更の確認 147 表示 171, 187 変更の確認 147 分散リポジトリ ePolicy Orchestrator のコンポーネント 17 ポリシー カタログの操作 174 ePolicy Orchestrator への追加 73 [ポリシー カタログ] ページの制御 174 SuperAgent、タスク 71 無効になっている継承、リセット 189 SuperAgent リポジトリの削除 72 よくある質問 313 SuperAgent リポジトリへのパッケージの複製 72 エージェントの選択方法 208 管理対象外 63 割り当てと管理 175 ポリシー イベント 応答 143 管理対象外、コンテンツのコピー 78 既存、編集 76 ポリシー カタログ 操作 174 削除 76 ページ、表示 171 作成と設定 72 ポリシー共有 種類 63 サーバー タスクの使用 190, 191 制限された帯域幅 61 指定 191 説明 61, 63 登録済みサーバーの使用 190 フォルダー共有の有効化 76 登録済みのサーバー 190 フォルダー、作成 73 複数の McAfee ePO サーバー 191 割り当て 190 ポリシーの管理 へ ベスト プラクティス Active Directory コンテナーのインポート 116 エージェント/サーバー間通信の間隔 133 システム ツリーの作成 110 製品配備 194 ポリシー割り当てのロック 173 割り当て前のポリシーの複製 173 クエリの作成 185 クライアント タスクの操作 201 グループの使用 102 ポリシーの施行 製品 179, 180 ポリシーを施行するタイミング 171 無効化する割り当ての表示 188 有効と無効 179 ポリシーの比較 189 ほ ポリシーの割り当て 88 ポート グループ、割り当て 178 エージェント通信 148 コピーと貼り付け 180, 181 サーバー設定 22 施行の無効化、表示 188 サーバー設定と通信 22 システム、割り当て 178, 179 保守計画、SQL Server 306 表示 187, 188 ポリシー 88 ポリシー カタログ 173 McAfee ePO サーバー間での共有 176 イベント応答 143 ロック 173 ポリシー割り当てルール 182 インポートとエクスポート 171, 177 インポートとエクスポート 185 カテゴリ 171 概要を表示 185 管理、[ポリシー カタログ] ページ 174 削除と編集 185 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 325 索引 ポリシー割り当てルール 182 (続き) 問題 作成 184 削除 271 システム別 182 作成 269 システム別ポリシー 184 詳細の表示 271 説明 182 説明 269 マルチスロット ポリシー 182 操作 269 ユーザー別 182 編集 271 ユーザー別ポリシー 183 割り当て 271 優先度 182 問題管理 269 優先度の編集 185 問題、削除 ルールの条件 182 クローズされた問題 272 クローズされた問題、スケジュール 272 問題の削除 271 ま マイ デフォルト ポリシー よくある質問 313 マスター リポジトリ ePolicy Orchestrator のコンポーネント 17 説明 61 ソース サイトとの通信 68 パッケージの手動チェックイン 215 問題の作成 269 問題の詳細の表示 271 問題の編集 271 問題の割り当て 271 問題へのコメントの追加 271 ゆ 複数サーバー環境でのセキュリティ キー 151 有効、エージェント リレー機能 143 複製タスクの使用 208 ユーザー 権限セット 57 プル タスクでの更新 207 プロキシの設定 68 ユーザー アカウント 管理 41 未署名コンテンツのキー ペア 150 種類 41 パスワードの変更 41 み 未分類グループ 102 ユーザー別ポリシー 条件 183 説明 183 む ユーティリティ 無効、エージェント リレー機能 142 NETDOM.EXE、テキスト ファイルの作成 113 無効にされた継承 クエリの作成 185 ら ライセンス キー 39 め り メッセージ カスタム ログイン 42 メニュー インターフェースでの移動 22 メニューによるナビゲーション 21 リスト 検索 24 フィルタリング 24 リポジトリ 88 SuperAgent の階層の配置 139, 140 も 元のサーバーへのフェールバック 287 SuperAgent リポジトリの作成 71 UNC 77 モニター 概念 61 設定 234 管理対象外、コンテンツのコピー 78 モニター、障害時復旧 スナップショットのステータス 282 問題 326 機能 65 種類 61 セキュリティ キー 149, 151 応答から自動的に作成 270 ソース サイト 61 管理 269 複製タスクと選択 208 コメントの追加 271 ブランチ 64, 201, 215 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 索引 リポジトリ 88 (続き) レポート 229 マスター、プロキシの設定 68 出力の表示 262 リポジトリ リスト ファイルからのインポート 80 スケジュール 263 リポジトリ リスト ファイル 設定 242 SiteList.xml、使用 65 説明 255 インポート 80 操作 256 エージェント ハンドラーの優先度 93 テーブル要素の設定 260 エクスポート 79, 80 テキスト要素の設定 259 説明 65 テンプレートと場所の設定 264 操作 79 ヘッダーとフッター 261 分散リポジトリの追加 73 要素の再配置 262 リモート コンソール接続 311 要素の削除 261 リレー機能 141 要素の追加 258 リレー機能、無効 142 レポート ビルダー リレー機能、有効 143 カスタム レポートの作成 239 レポート要素 る 画像の設定 259 グラフの設定 260 ルール 応答の連絡先の設定 226 再配置 262 通知の設定、SNMP サーバー 223 削除 261 通知のデフォルト 219 テーブルの設定 260 テキストの設定 259 連絡先 れ 応答 226 レポート 229 エクスポートされたクエリ結果 240 エクスポートとインポート 264 画像要素の設定 259 ろ ローカル分散リポジトリ 78 既存の編集 257 ログイン メッセージ 42 グラフ要素の設定 260 ログ ファイル サーバー タスク ログ 276 グループへの追加 262 形式 240 構造とページ サイズ 255 わ サーバー タスクによる実行 263 割り当てルール 削除 265 エージェントとハンドラー 96 作成 239, 257 実行 263 McAfee ePolicy Orchestrator 5.1.0 ソフトウェア 製品ガイド 327 0B16
© Copyright 2024 ExpyDoc