本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
変更監視の設定
変更監視保護モジュールは、不審なアクティビティを示している可能性があるファイルや重要なシステム領域 (Windowsレジストリなど) への変更を検出します。検出では、現在の状況が、以前に記録されたベースラインの読み取り値と比較されます。Deep Securityには、事前定義された変更監視ルールが付属しています。新しい変更監視ルールは、セキュリティアップデートで提供されます。
変更監視を有効にする方法
変更監視は、ポリシー内で有効にすることも、コンピュータレベルで有効にすることもできます。変更監視を有効にするには、次の手順を実行する必要があります。
変更監視を有効にしたら、以下についても設定できます。
変更監視を有効にするための一般的な手順は次のとおりです。
変更監視をオンにする
変更監視は、コンピュータの設定またはポリシーで有効にできます。ポリシーまたはコンピュータエディタを開いて [変更監視]→[一般] に移動します。[設定] を [オン] または [継承 (オン)] に設定して、[保存] をクリックします。
推奨設定の検索を実行する
コンピュータで推奨設定の検索を実行して、どのルールが適切か、推奨設定を取得します。コンピュータエディタを開いて [変更監視]→[一般] に移動します。[推奨設定] セクションで、[推奨設定の検索] をクリックします。必要に応じ、検出されたルールの推奨設定をDeep Securityで適用有効にするように指定することもできます。
推奨される変更監視ルールを適用すると、監視対象のエンティティと属性が多くなりすぎる可能性があります。重要で監視すべき対象を特定し、カスタムルールを作成するかまたは事前定義されたルールを調整することをお勧めします。頻繁に変更されるプロパティ (プロセスIDや送信元ポート番号など) を監視するルールでは、検出数が多くなりがちなため、調整が必要になることがあるので、注意が必要です。
リアルタイムの変更監視の検索を有効にしていて、頻繁に変更されるディレクトリを監視しているため一部の推奨ルールで生成されるイベントが多すぎる場合は、そのルールのリアルタイム検索を無効にできます。[ポリシー]→[共通オブジェクト]→[ルール]→[変更監視ルール] に移動して、ルールをダブルクリックします。[オプション]タブで、[リアルタイム監視を許可] チェックボックスをオフにします。
変更監視ルールを適用する
前述したように、推奨設定の検索の実行時に推奨されたルールをDeep Securityで自動的に有効にすることができます。また、手動でルールを割り当てることも可能です。
ポリシーまたはコンピュータエディタで、[変更監視]→[一般] に移動します。[現在割り当てられている変更監視ルール] セクションに、このポリシーまたはコンピュータで有効になっているルールが表示されます。変更監視ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。使用可能なすべての変更監視ルールを示す画面が表示され、ルールを選択したり、選択を解除したりできます。
トレンドマイクロが提供する一部の変更監視ルールは、正常に機能するため、ローカルでの設定を必要とします。このようなルールをコンピュータに割り当てるか、ルールが自動的に割り当てられると、設定が必要であることを通知するアラートが発令されます。
変更監視ルールは、ローカルで編集して編集中のコンピュータまたはポリシーにのみ変更内容を適用することも、グローバルに編集してルールを使用する他のすべてのポリシーまたはコンピュータに変更内容を適用することもできます。ルールをローカルで編集するには、そのルールを右クリックして [プロパティ] をクリックします。ルールをグローバルに編集するには、そのルールを右クリックして [プロパティ (グローバル)] をクリックします。
組織にとって重要な特定の変更 (新しいユーザの追加や新しいソフトウェアのインストールなど) を監視するために、カスタムルールを作成することもできます。カスタムルールの作成方法の詳細については、変更監視 rules languagesを参照してください。
コンピュータのベースラインを構築する
ベースラインは、変更の検索結果の比較対象となる元の状態です。変更の検索用の新しいベースラインをコンピュータで作成するには、コンピュータエディタを開き、[変更監視]→[一般] に進み、[ベースラインの再構築] をクリックします。
現在のベースラインデータを表示するには、[ベースラインの表示] をクリックします。
変更を定期的に検索する
変更は定期的に検索してください。手動検索を実行するには、コンピュータエディタを開き、[変更監視]→[一般] に進み、[変更の検索] をクリックします。検索を定期的に実行する予約タスクを作成することもできます。
変更監視をテストする
以降の変更監視設定の手順に進む前に、ルールとベースラインが正常に動作しているかどうかをテストします。
- 変更監視が有効になっていることを確認します。
- コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[変更監視]→[現在割り当てられている変更監視ルール] に移動します。[割り当て/割り当て解除] をクリックします。
- Windowsユーザの場合:
- [1002773 - Microsoft Windows - 'Hosts' file modified] を検索し、このルールを有効にします。このルールは、C:\windows\system32\drivers\etc\hostsに変更が加えられた場合にアラートを発令します。
Linuxユーザの場合:
- [1003513 - Unix - File attributes changes in /etc location] を検索し、このルールを有効にします。このルールは、/etc/hostsファイルに変更が加えられた場合にアラートを発令します。
- 上記のファイルに変更を加え、変更を保存します。
- コンピュータエディタコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[変更監視]→[一般] に移動し、[変更の検索] をクリックします。
- [イベントとレポート]→[変更監視イベント] に移動し、ホストファイルの変更が記録されていることを確認します。検出が記録されていれば、変更監視モジュールは正常に動作しています。
変更監視検索を実行するタイミング
変更監視検索を実行するためのオプションは3つあります。
- 手動検索: 手動の変更監視検索は、コンピュータエディタコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開いて [変更監視]→[一般] に移動することにより、必要に応じて実行できます。[変更の検索] セクションで、[変更の検索] をクリックします。
- 予約検索: 変更監視検索は、他のDeep Security処理と同様に予約できます。Deep Securityは、監視対象エンティティを確認し、前回検索を実行したときから変更されたイベントを特定し、記録します。前回の検索後に、監視対象エンティティに対して複数回の変更が行われた場合は、最新の変更のみが検出されます。エンティティの状態に対する複数の変更を検出してレポートするためには、予約検索の頻度を上げることを検討します。たとえば、検索を週1回ではなく毎日実施するようにします。または、頻繁に変更されるエンティティについて、リアルタイムの検索を有効にします。変更監視検索の予約を有効にするには、[管理]→[予約タスク]→[新規] に移動します。新規予約タスクウィザードで、[コンピュータの変更を検索] と予約検索の頻度を選択します。新規予約タスクウィザードで要求される情報を目的に応じて入力します。予約タスクの詳細については、Deep Security予約タスクの設定を参照してください。
- リアルタイム検索: リアルタイム検索を有効にできます。このオプションを選択すると、Deep Securityはエンティティの変更をリアルタイムで監視し、変更を検出すると変更監視イベントを生成します。イベントは、リアルタイムでSyslog経由でSIEMに、または次回のDeep Security Managerとのハートビート通信時に転送されます。リアルタイム検索を有効にするには、コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。
ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。
コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で [変更監視]→[一般] に移動し、[リアルタイム] を選択します。64ビットのLinuxプラットフォームでDeep Security Agent 11.0以降を使用している場合、および64ビットのWindows ServerでDeep Security Agent 11.2以降を使用している場合に、リアルタイム検索の結果で、ファイルを変更したユーザとプロセスが表示されるようになりました。この機能をサポートしているプラットフォームの詳細については、各プラットフォームでサポートされている機能を参照してください。
ディスク全体を対象にファイルの変更をリアルタイムで監視するとパフォーマンスに影響し、変更監視イベントが大量に記録されることになります。これを防ぐために、リアルタイムで監視する対象としてルートドライブ (C:\) を選択すると、Deep Securityは実行可能ファイルとスクリプトのみを監視します。リアルタイムですべてのファイルを監視する必要がある場合は、ルートドライブ以外のフォルダを指定してください。
変更監視検索パフォーマンスの設定
以下の設定を変更すると、変更監視検索のパフォーマンスを改善できることがあります。
CPUの使用率を制限する
変更監視のシステム検索ではローカルのCPUリソースを消費します。これは、最初に初期ベースラインが作成され、その後のシステム検索時にはシステムの状態がベースラインと照合されるためです。変更監視が予想以上にリソースを消費していることが判明した場合、CPUの使用率を次のレベルに制限することができます。
- 高: 一時停止せずに、ファイルを次々に検索する
- 中: ファイル検索の間に一時停止処理を行い、CPUリソースの消費を抑える
- 低: ファイル検索の間に、「中」よりも長い時間一時停止処理を行う
[変更監視のCPU使用率レベル] 設定を変更するには、コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開いて [変更監視]→[詳細] に進みます。
コンテンツハッシュアルゴリズムを変更する
変更監視モジュールがベースライン情報を保存する際に使用するハッシュアルゴリズムを選択できます。複数のアルゴリズムを選択できますが、パフォーマンスに影響が出るため、複数選択することは推奨しません。
コンテンツハッシュアルゴリズムを変更できます。
仮想マシンの検索キャッシュ設定を有効にする
変更監視に検索キャッシュを使用すると、大規模なVMware環境で複数の仮想マシンから同じ内容を検索する必要性がなくなるため、検索の効率が向上します。仮想マシンで使用する検索キャッシュ設定を選択するには、コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開き、[変更監視]→[詳細]→[仮想マシンの検索キャッシュ] の順に進みます。
変更監視の検索キャッシュ設定の詳細については、Virtual Applianceの検索キャッシュを参照してください。
変更監視イベントのタグ付け
生成されたイベント変更監視モジュールがDeep Security Managerの下に表示されます。イベント&レポート>変更監視イベント。イベントのタグ付けを行うと、イベントをソートしやすくなり、問題のないイベントと詳細な調査が必要なイベントを判別しやすくなります。
タグは、イベントを右クリックして [タグの追加] をクリックすることにより、手動でイベントに適用できます。タグを選択したイベントにのみ適用するか、同様のすべての変更監視イベントに適用するかを選択できます。
また、自動タグ付け機能を使用し、複数のイベントをグループ化してラベルを付けることもできます。Deep Security Managerでこの機能を設定するには、[イベントとレポート]→[変更監視イベント]→[自動タグ付け]→[新しい信頼済みのソース] に進みます。タグ付けの実行に使用できるソースは3つあります。
- 信頼済みのローカルコンピュータ
- トレンドマイクロのソフトウェア安全性評価サービス
- 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。
イベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。