RegistryValueSet

整合性監視モジュールは、 ディレクトリへの予期しない変更を検索します。, レジストリ値, レジストリキー, サービス, は、, がインストールしたソフトウェア, ポート, グループ, ユーザ, ファイルと、Deep Security Agentの WQL クエリステートメントを処理します。整合性監視を有効化および設定するには、を参照してください。変更監視の設定.

レジストリ値のセットです (Windowsのみ)。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
base RegistryValueSetのベースキーを設定します。タグ内の他のエレメントはすべて、このキーから相対的に位置付けられます。ベースは、レジストリブランチ名で始まる必要があります。
HKEY_CLASSES_ROOT (またはHKCR)、
HKEY_LOCAL_MACHINE (またはHKLM)、
HKEY_USERS (またはHKU)、
HKEY_CURRENT_CONFIG (またはHKCC)
はい なし 構文的に有効なレジストリキーに解釈される文字列値

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

  • Size
  • Type
  • Sha1
  • Sha256
  • Md5

簡略記法による属性

「key」の意味

レジストリ値は、レジストリ内のキーに格納されている名前と値のペアです。レジストリ値が格納されているキーは、さらに別のキーに格納されている場合があります。これは、ファイルシステム内でのディレクトリとファイルの関係によく似ています。この表記法では、値に対する「キーパス」は、ファイルに対するパスのようなものです。たとえば、AgentのInstallationFolder値への「キーパス」は、次のようになります。

HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent\InstallationFolder

RegistryValueSetのincludeおよびexcludeの「キー」値は、このキーパスに対して照合されます。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンであり、「/」で区切られたキーパスのセクションに対して照合されます。

初期設定値

各レジストリキーには、不特定の値 (初期設定値) があります。

パターンの末尾に「/」を使用することで、この値を含めるか除外するかを明示的に指定できます。たとえば、「**/」は、下位の不特定の値すべてに対して照合され、「*Agent/**/」は、「*Agent」に一致するキーの不特定の値すべてに対して照合されます。

レジストリ値の名前には、引用符、バックスラッシュ、「@」記号など、任意の印刷可能な文字が含まれている可能性があります。

Agentは、これらの文字がエンティティのキー名に含まれている場合、バックスラッシュをエスケープ記号として使用して対処しますが、この処理によってエスケープされるのはバックスラッシュ自体だけです。このように処理されるのは、バックスラッシュを含む値名と、レジストリパスの一部として使用されているバックスラッシュを区別できるようにするためです。つまり、バックスラッシュで終了する値名は、初期設定または不特定の値に対して一致するように設計されたルールと一致することになります。

次の表に、レジストリ値の名前と生成されるエンティティキーの例を示します。

エスケープ形式
Hello Hello HKLM\Software\Sample\Hello
"Quotes" "Quotes" HKLM\Software\Sample\"Quotes"
back\slash back\\slash HKLM\Software\Sample\back\\slash
trailing\ trailing\\ HKLM\Software\Sample\trailing\\
HKLM\Software\Sample\
@ @ HKLM\Software\Sample\@

サブエレメント

  • Include
  • Exclude

これらのエレメントに指定できる属性とサブエレメントのincludeとexcludeの概要は、変更監視ルールの言語を参照してください。