変更監視の設定

変更監視モジュールは、コンピュータ上の特定の領域が変更されていないかどうかを監視します。監視できるのは、インストール済みのソフトウェア、実行中のサービス、プロセス、ファイル、ディレクトリ、待機中のポート、レジストリキー、およびレジストリ値です。そのためには、割り当てられているルールで指定されたコンピュータの領域のベースライン検索を実行し、変更点を探すために定期的にそれらの領域を再検索します。

コンピュータエディタとポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [変更監視] セクションには、タブで区切られた次のセクションがあります。

• 一般
• 詳細
• イベント

一般

変更監視

変更監視のオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするように、このポリシーまたはコンピュータを設定できます。

変更の検索 (コンピュータエディタのみ)

[変更の検索] をクリックすると、必要に応じてこのコンピュータで変更を検索できます。

ベースライン (コンピュータエディタのみ)

ベースラインは、変更の検索結果の比較対象となる元の状態です。このコンピュータで、変更の検索用の新しいベースラインを作成するには、[ベースラインの再構築] をクリックします。現在のベースラインデータを表示するには、[ベースラインの表示] をクリックします。

現在割り当てられている変更監視ルール

このポリシーまたはコンピュータで有効になっている変更監視ルールを表示します。変更監視ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。使用可能なすべての変更監視ルールを示す画面が表示され、ルールを選択したり、選択を解除したりできます。

コンピュータエディタまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。画面では、変更監視ルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。

ルールをローカルに編集するには、ルールを選択して [プロパティ] () をクリックするか、ルールを右クリックして [プロパティ] をクリックします。

ルールをグローバルに編集するには、ルールを右クリックして [プロパティ (グローバル)] をクリックします。

推奨設定

推奨設定の検索が前回実行された日時、および変更監視の推奨ルールの数を表示します。

詳細

コンテンツハッシュアルゴリズム

変更監視モジュールがベースライン情報を保存する際に使用するハッシュアルゴリズムを選択します。複数のアルゴリズムを選択できますが、パフォーマンスに影響が出るため、複数選択することは推奨しません。

仮想マシンの検索キャッシュ

変更監視の検索キャッシュ設定の詳細については、Virtual Applianceの検索キャッシュを参照してください。

CPU使用率

変更監視のシステム検索ではローカルのCPUリソースを消費します。これは、最初に初期ベースラインが作成され、その後のシステム検索時にはシステムの状態がベースラインと照合されるためです。変更監視が予想以上にリソースを消費していることが判明した場合、CPUの使用率を次のレベルに制限することができます。

• 高: 一時停止せずに、ファイルを次々に検索する
• 中： 変更監視 プロセスは、ファイルの検索の間に一時停止します。
• 低： 変更監視 プロセスは、ファイルを検索する間隔がメディア設定より長い間隔で一時停止します。

イベント

変更監視イベントは、Deep Security Managerのメイン画面と同じように表示されますが、表示される内容はこのポリシーまたは特定のコンピュータに関するイベントのみです。