PortSet

整合性監視モジュールは、 ディレクトリへの予期しない変更を検索します。, レジストリ値, レジストリキー, サービス, は、, がインストールしたソフトウェア, ポート, グループ, ユーザ, ファイルと、Deep Security Agentの WQL クエリステートメントを処理します。整合性監視を有効化および設定するには、を参照してください。変更監視の設定.

待機ポートのセットを表します。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
onChange リアルタイムで監視するかどうかを示します。 いいえ false true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

  • Created: (Windowsのみ - XP SP2以降およびServer 2003 SP1以降)GetExtendedTcpTable() またはGetExtendedUdpTable() APIによって返されます。このTCPまたはUDPリンクが作成されたバインド処理の発生時刻を示します。
  • Listeners: プロトコル、IPアドレス、ポート番号の組み合わせにおけるアクティブなリスナーの数です。指定されたポートにバインドされているソケットと待機中のソケットの数が反映されます。この数は、プロセスがポートに複数のソケットをバインドしている場合、ポートを待機しているプロセスの数より大きくなることがあります。指定されたポートにバインドされているソケットが1つだけの場合、この属性の値はありません。
  • Path: (Windowsのみ - XP SP2以降およびServer 2003 SP1以降)ポートを所有するモジュールのフルパスを示します (存在する場合)。Windowsでは、このパスは、GetOwnerModuleFromXxxEntry() APIから取得されます。Microsoftのドキュメントでは、接続テーブルエントリを所有者モジュールとして解釈することが推奨されています。
  • Process: (Windowsのみ - XP SP2以降およびServer 2003 SP1以降)ポートを所有するモジュールの短い名前を示します (存在する場合)。Windowsでは、このパスは、GetOwnerModuleFromXxxEntry() APIから取得されます。Microsoftのドキュメントでは、接続テーブルエントリを所有者モジュールとして解釈することが推奨されています。まれに、返された所有者のモジュール名が、「svchost.exe」などのプロセス名、「RPC」などのサービス名、「timer.dll」などのコンポーネント名である場合があります。
  • ProcessId: (Windowsのみ - XP SP2以降およびServer 2003 SP1以降)このポートのバインドを発行したプロセスのPIDを示します。
  • ユーザ: (Linuxのみ) ポートを所有するユーザを示します。

「key」の意味

このkeyは、次の形式をとります。

<PROTOCOL>/<IP ADDRESS>/<PORT>

たとえば、次のとおりです。

tcp/172.14.207.94/80
udp/172.14.207.94/68

IPV6

IPアドレスがIPv6である場合、keyも同じ形式になりますが、プロトコルはTCP6またはUDP6です。このIPアドレスは、getnameinfo APIによって返される、次のようなIPv6表記となります。

tcp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/80
udp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/68

「key」の照合

これは、階層型のキーではないため、**は適用できません。*および?を使用するUNIX形式のglob照合は可能です。次のパターンは、72.14.207.90~72.14.207.99のIPアドレスのポート80に一致します。

*/72.14.207.9?/80

次のパターンは、72.14.207.2、72.14.207.20~72.14.207.29および72.14.207.200~72.14.207.255のIPアドレスのポート80に一致します。

*/72.14.207.2*/80

次のパターンは、任意のIPアドレスのポート80に一致します。

*/80

次の例では、待機ポートにおける変更を監視しますが、IPv4およびIPv6のTCPのポート80は無視します。

<PortSet>
<include key="*"/>
<exclude key="tcp*/*/80"/>
</PortSet>

サブエレメント

  • Include
  • Exclude

includeとexcludeの概要、およびこれらのエレメントに指定できる属性とサブエレメントの概要については、変更監視ルールの言語を参照してください。ここでは、このエンティティセットクラスに関連するincludeとexcludeに固有の情報のみを記載します。

PortSetのincludeおよびexcludeに固有の属性

これ以外にも、ポートの各種の属性をincludeおよびexcludeでの監視機能で使用できます。これらの監視では、値とポートの属性値を比較します。各種属性のプラットフォームサポートに注意してください。すべての属性がプラットフォーム間またはプラットフォームリビジョン間で利用可能であるとはかぎりません。したがって、includeおよびexcludeタグを使用したこれらの監視の使用は制限されます。監視機能では、UNIXのglob形式のワイルドカードである「*」および「?」がサポートされ、パスのセパレータまたはその他の文字の正規化は実行されません。監視機能は、属性の値に対する、単純なglob形式のパターン照合です。

Path

ポートのpath属性に対する、ワイルドカード一致をチェックします。次の例では、メインのIISバイナリを実行するプロセスによって所有されているポートを監視します。

<PortSet>
<include path="*\system32\inetsrv\inetinfo.exe"/>
</PortSet>

Process

ポートのprocess属性に対する、ワイルドカード一致をチェックします。次の例では、svchost.exeまたはoutlook.*バイナリを実行するプロセスによって所有されているポートを監視します。

<PortSet>
<include process="svchost.exe"/>
<include process="outlook.*"/>
</PortSet>

User

ポートのuser属性に対する、ワイルドカード一致をチェックします。次の例では、スーパーユーザ (root) によって所有されていたUNIXシステム上のポートを監視します。

<PortSet>
<include user="root"/>
</PortSet>