変更監視

変更監視は、コンピュータ上の特定の領域に関する変更を監視します。Vulnerability ProtectionDeep Securityで監視できるのは、インストール済みのソフトウェア、実行中のサービス、プロセス、ファイル、ディレクトリ、待機中のポート、レジストリキー、およびレジストリ値です。変更監視モジュールは、割り当てられているルールで指定されたコンピュータ上の領域に対し、ベースライン検索を定期的に実行することで、変更点を検出します。Vulnerability ProtectionDeep Security Managerには、事前定義された変更監視ルールが付属しています。新しい変更監視ルールは、セキュリティアップデートで提供されます。

推奨設定の検索では、変更監視ルールをコンピュータに推奨します。

コンピュータで変更監視を有効にする一般的な手順は次のとおりです。

1. 変更監視をグローバルに、または特定のコンピュータでオンにします。
2. コンピュータで推奨設定の検索を実行します。
3. 推奨される変更監視ルールを適用します。
4. オプションで、コンピュータ用に作成した固有の変更監視ルールを適用します。
5. コンピュータ用のベースラインを作成します。そのためには、コンピュータの [詳細] 画面を開き、[変更監視] 画面に進み、[ベースラインの再構築] をクリックします。
6. 手動で、または予約タスクを作成して、定期的に変更を検索します。

基本的な設定

変更監視機能をコンピュータで有効にするには、次の手順に従います。

1. ポリシーまたはコンピュータエディタで、[変更監視]→[一般] に移動します。
2. [オン] を選択し、[保存] をクリックします。

変更監視のオン/オフを切り替えて、推奨設定の検索の後に、推奨される変更監視ルールを自動的に適用するかどうかを設定するには、メインの [変更監視] 画面を使用します。

• オン: 変更監視の検索を予約できます。Vulnerability ProtectionDeep Securityの他の操作と同様に、変更監視の検索は予約することができます。前回の検索後に監視対象のエンティティに変更があった場合、その変更が特定され、イベントが記録されます。
  前回の検索後に、監視対象エンティティに対して複数回の変更が行われた場合は、最新の変更のみが検出されます。エンティティの状態に対する複数の変更を検出してレポートするためには、予約検索の頻度を上げることを検討します。たとえば、検索を週1回ではなく毎日実施するようにします。または、頻繁に変更されるエンティティについて、リアルタイムの変更監視を選択します。
• オフ: 変更監視の検索を必要に応じて行います。変更監視による変更の検索を管理者が開始することもできます。処理内容は、変更監視の検索の予約と同様です。
• リアルタイム: リアルタイムの変更監視を実施します。リアルタイムの変更監視では、エンティティの変更をリアルタイムで監視し、変更が検出されると変更監視イベントを発生させることができます。イベントは、リアルタイムでSyslog経由でSIEMに、または次回のVulnerability ProtectionDeep Security Managerとのハートビート通信時 (設定可能) に転送されます。

コンピュータの [詳細] 画面の [変更監視] 画面には、特定のコンピュータにのみ適用する追加のオプションが用意されています。この画面では、変更の検索を開始したり、コンピュータ用のベースラインデータを再作成したりできます。また、推奨設定の検索を開始したり、既存の推奨設定をクリアしたりすることもできます。

カスタムの変更監視ルールを作成する方法については、変更監視ルール画面のドキュメントおよび「参照」セクションの「変更監視ルールの言語」を参照してください。