変更監視ルール
変更監視ルールを使用すると、コンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更、およびインストール済みのソフトウェア、プロセス、待機中のポート、実行中のサービスにおける変更をVulnerability ProtectionDeep Security Agentで検索して検出できます。このような変更は、Managerのログにイベントとして記録されます。その他のイベントと同様に、変更が行われたときにアラートを生成するように設定することもできます。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。
変更監視ルールでは、ファイル、レジストリキー、サービスなど、変更を監視するエンティティを指定します。Vulnerability ProtectionDeep Securityでは、コンピュータに割り当てられているルールで指定されたすべてのエンティティを検索し、同じコンピュータの以降の検索の比較対象とするベースラインを作成します。以降の検索がベースラインに一致しない場合、Vulnerability ProtectionDeep Security Managerは変更監視イベントを記録し、設定されている場合はアラートをトリガします。
変更監視ルールのアイコン:
通常の変更監視ルール
設定オプションがある変更監視ルール
メイン画面から、次のことを実行できます。
- 新規変更監視ルールを作成する (
)
- XMLファイルから変更監視ルールをインポートする (
) - 既存の変更監視ルールのプロパティを確認または変更する (
)
- 既存の変更監視ルールを複製 (および変更) する (
) - 変更監視ルールを削除する (
) - 1つ以上の変更監視ルールをXMLファイルまたはCSVファイルにエクスポートする (
) ([エクスポート] ボタンをクリックして対象をすべてエクスポートするか、リストで選択して、選択または表示された対象のみをエクスポートする)
[新規] () または [プロパティ] () をクリックして、[変更監視ルールのプロパティ] 画面を表示します。
変更監視ルールのプロパティ
一般情報
変更監視ルールの名前と説明、およびトレンドマイクロが発行するルールの場合は、ルールを機能させるために最低限必要なAgentとVulnerability ProtectionDeep Security Managerのバージョン。
詳細
ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、変更監視ルールのリストを表示するときに条件をソートする際に役立ちます。何より、それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産値を掛けたものが、イベントのランク付けを決定します ([管理]→[システム設定]→[ランク付け] を参照してください)。
ID
ルールが初めて発行された日付と、最後に更新された日付、およびルールの一意のIDです。
コンテンツ
変更監視ルールを新しく作成するためのテンプレートは、レジストリ値テンプレート、ファイルテンプレート、またはカスタム (XML) テンプレートの3つから選択できます。レジストリ値に対する変更を監視する変更監視ルールを作成する場合は、レジストリ値テンプレートを使用します。ファイルに対する変更のみを監視する簡単な変更監視ルールを作成する場合は、ファイルテンプレートを使用します。ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、およびファイルを監視するXML形式のルールを作成するには、カスタム (XML) テンプレートを使用します。
ここでは、レジストリ値テンプレートとファイルテンプレートの使い方について説明します。カスタム (XML) テンプレートを使用してXML形式の変更監視ルールを作成する方法については、「参照」セクションの「変更監視ルールの言語」を参照してください。
レジストリ値テンプレート
基本キー
監視する基本キーおよびサブキーのコンテンツを監視するかどうかを選択します。
値の名前
含まれる、または除外される値の名前が一覧表示されます。ワイルドカード文字として「?」および「*」を使用できます。
属性
サイズまたはコンテンツの変更を監視するには、[Standard] を使用します。その他の属性については、「RegistryValueSet」を参照してください。
ファイルテンプレート
基本ディレクトリ
ルールの基本ディレクトリを指定します。ルールに関するすべての項目は、このディレクトリを基準とした相対ディレクトリに保存されます。サブディレクトリを含めるには、[サブディレクトリも含む] を選択します。たとえば、C:\Program Files\MySQLを指定して、[サブディレクトリも含む] を選択することができます。
ファイル名
特定のファイルを含める、または除外するには、[ファイル名] フィールドを使用します。ワイルドカード (任意の1文字として「?」、0個以上の文字として「*」) も使用できます。
属性
次のファイル属性の変更を監視できます。
- Created: ファイルの作成日時のタイムスタンプ。
- LastModified: ファイルの最終更新日時のタイムスタンプ。
- LastAccessed: ファイルの最終アクセス日時のタイムスタンプ。Windowsの場合、この値はすぐにアップデートされません。また、パフォーマンスを向上させるために、最終アクセス日時のタイムスタンプの記録を無効にすることができます。詳細については、「ファイルの時刻」を参照してください。ファイルの検索を行うには、Agentが対象のファイルを開く必要があります。これにより、ファイルの最終アクセス日時のタイムスタンプが変更されます。UNIXの場合、ファイルを開くときにO_NOATIMEフラグが使用可能であれば、Agentはこのフラグを使用します。これにより、最終アクセス日時のタイムスタンプがOSによってアップデートされることがなくなり、検索速度を上げることができます。
- Permissions: Windowsの場合は、ファイルのセキュリティ記述子 (SDDL形式)。ACLをサポートするUNIXシステムの場合はPosixスタイルのACL。それ以外の場合は、数値 (8進数) 形式のUNIXスタイルのrwxrwxrwxのファイル権限。
- Owner: ファイル所有者のユーザID。通常、UNIXでは「UID」と呼ばれます。
- Group: ファイル所有者のグループID。通常、UNIXでは「GID」と呼ばれます。
- Size: ファイルのサイズ。
- Sha1: SHA-1ハッシュ。
- Sha256: SHA-256ハッシュ。
- Md5: MD5ハッシュ。
- Flags: Windowsのみ。GetFileAttributes() Win32 APIから返されるフラグ。Windowsエクスプローラでは、これらをファイルの「属性」(読み取り専用、アーカイブ、圧縮など) とみなします。
- SymLinkPath (Linux/UNIXのみ): ファイルがシンボリックリンクである場合は、そのリンクのパスがここに格納されます。Windows NTFSでは、UNIXライクなシンボリックリンクをサポートしますが、ファイルではなくディレクトリ専用です。WindowsのショートカットオブジェクトはOSでは処理されないため、本当の意味でのシンボリックリンクではありません。Windowsエクスプローラはショートカットファイル (
*.lnk) を処理しますが、*.lnkファイルを開くその他のアプリケーションはlnkファイルのコンテンツの表示のみ行います。 - InodeNumber (Linux/UNIXのみ): ファイルのinode番号。
- DeviceNumber (Linux/UNIXのみ): ファイルに関連付けられているinodeが格納されるディスクのデバイス番号。
- BlocksAllocated (Linux/UNIXのみ): ファイルを格納するために割り当てられるブロック数。
「STANDARD」という簡単なキーワードを使用すると、次の項目に対する変更を検索できます。
- Created
- LastModified
- Permissions
- Owner
- Group
- Size
- Contents
- Flags (Windowsのみ)
- SymLinkPath (Linux/UNIXのみ)
オプション
- このルールによってイベントが記録された場合にアラート: ルールが実行された場合にアラートを生成します。
- リアルタイム監視を許可: このオプションは初期設定で選択されています。選択を解除すると、変更の検索を手動で実行した場合にのみ変更監視ルールイベントが生成されます。
割り当て対象
この変更監視ルールおよびこのルールが直接適用されるすべてのコンピュータを含む、ポリシーのリストが表示されます。変更監視ルールは [ポリシー] 画面のポリシーと、[コンピュータ] 画面のコンピュータに割り当てることができます。