変更監視ルールの作成

変更監視ルールを使用すると、Deep Security Agentで検索して、コンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更、およびインストール済みのソフトウェア、プロセス、待機中のポート、実行中のサービスにおける変更を検出できます。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。

ここでは、変更監視ルールの作成方法を具体的に説明します。変更監視モジュールの設定方法については、変更監視の設定を参照してください。

変更監視ルールには、ユーザ自身が作成したルールとトレンドマイクロが発行するルールの2種類があります。トレンドマイクロが発行するルールの設定方法については、トレンドマイクロが発行する変更監視ルールを設定するセクションを参照してください。

新しい変更監視ルールを作成するには、次の手順を実行する必要があります。

  1. 新しいルールを追加する
  2. 変更監視ルール情報を入力する
  3. ルールテンプレートを選択し、ルールの属性を定義する

変更監視ルールを作成したら、次の方法も学習できます。

新しいルールを追加する

[ポリシー][共通オブジェクト][ルール][変更監視ルール] ページで、新しい変更監視ルールを追加する方法は3つあります。次の手順を実行します。

  • 新しいルールを作成します。[新規][新しい変更監視ルール] の順にクリックします。
  • XMLファイルからルールをインポートします。[新規][ファイルからインポート] をクリックします。
  • 既存のルールをコピーして変更します。[変更監視ルール] リストで、該当のルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、そのルールを選択し、[プロパティ] をクリックします。

変更監視ルール情報を入力する

  1. ルールの [名前][説明] を入力します。

    すべての変更監視ルールへの変更をファイアウォールルールの [説明] フィールドに記録することを推奨します。メンテナンスを簡単にするため、ルールを作成または削除した日付とその理由を記録してください。

  2. ルールの [重要度] を設定します。

    ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、変更監視ルールのリストを表示するときに条件をソートする際に役立ちます。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します([管理]→[システム設定]→[ランク付け] を参照してください)。

ルールテンプレートを選択し、ルールの属性を定義する

[コンテンツ] タブに移動し、次の3つのテンプレートのいずれかを選択します。

レジストリ値テンプレート

特にレジストリ値への変更を監視する変更監視ルールを作成します。

レジストリ値テンプレートは、Windowsベースコンピュータでのみ使用できます。

  1. 監視する [基本キー]、およびサブキーのコンテンツを監視するかどうかを選択します。
  2. 含まれる、または除外される [値の名前] が一覧表示されます。ワイルドカード文字として「?」および「*」を使用できます。
  3. 監視する [属性] を入力します。「STANDARD」と入力すると、レジストリサイズ、コンテンツ、種類への変更が監視されます。レジストリ値テンプレートの属性の詳細については、RegistryValueSetドキュメントを参照してください。

ファイルテンプレート

特にファイルへの変更を監視する変更監視ルールを作成します。

  1. ルールの [基本ディレクトリ] を入力します (例: C:\Program Files\MySQL )。基本ディレクトリに関連するすべてのサブディレクトリのコンテンツも含めるには、[サブディレクトリも含む] を選択します。
  2. 特定のファイルを含める、または除外するには、[ファイル名] フィールドを使用します。ワイルドカード (「 ?」を任意の1文字として、「* 」を0個以上の文字として) 使用できます。

    [ファイル名] フィールドを空白のままにすると、基本ディレクトリ内のすべてのファイルが監視されます。この場合、基本ディレクトリに多数のファイルが含まれていると、大量のシステムリソースが消費されます。
  3. 監視する [属性] を入力します。「STANDARD」と入力すると、ファイル作成日、最終更新日、権限、所有者、サイズ、コンテンツ、フラグ (Windows)、SymLinkPath (Linux) が監視されます。ファイルテンプレートの属性の詳細については、FileSetドキュメントを参照してください。

カスタム (XML) テンプレート

Deep Security XMLベース変更監視ルールの言語を使用して、ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストールされているソフトウェア、ポート、ファイルを監視するカスタム変更監視ルールテンプレートを作成します。

希望するテキストエディタを使用してルールを作成し、完成したルールを [コンテンツ] フィールドに貼り付けることができます。

トレンドマイクロが発行する変更監視ルールを設定する

トレンドマイクロが発行する変更監視ルールは、作成したカスタムルールと同じ方法では編集できません。トレンドマイクロのルールには、まったく変更できないものと、限定的な設定オプションが提供されているものがあります。いずれのルールも「種類」列に「定義済み」として表示されますが、設定可能なルールは変更監視アイコンに歯車 () が表示されます。

im-rule-types

ルールの設定オプションにアクセスするには、ルールのプロパティを開き、[設定] タブをクリックします。

トレンドマイクロが発行するルールには、[一般] タブの下に補足情報も表示されます。

  • ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
  • ルールを機能させるために最低限必要なAgentとDeep Security Managerのバージョン。

トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する

変更監視ルールによって検出されたすべての変更は、イベントとしてDeep Security Managerのログに記録されます。

リアルタイムのイベント監視

初期設定では、イベントは発生時にログに記録されます。変更の検索を手動で実行している場合にのみイベントをログに記録するには、[リアルタイム監視を許可] の選択を解除します。

アラート

イベントのログを記録したときに、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。

ルールが割り当てられているポリシーとコンピュータを確認する

変更監視ルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする

すべての変更監視ルールを、.csvまたは.xmlファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のルールを選択し、[エクスポート] をクリックして、リストから該当するエクスポート処理を選択すると、特定のルールをエクスポートすることもできます。

ルールを削除する

ルールを削除するには、[変更監視ルール] リストで該当のルールを右クリックしてから、[削除][OK] の順にクリックします。

1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。