ポリシーで使用する変更監視ルールの定義

変更監視ルールを使用すると、Deep Security Agentで検索して、コンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更、およびインストール済みのソフトウェア、プロセス、待機中のポート、実行中のサービスにおける変更を検出できます。このような変更は、Managerのログにイベントとして記録されます。その他のイベントと同様に、変更が行われたときにアラートを生成するように設定することもできます。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。

変更監視ルールでは、ファイル、レジストリキー、サービスなど、変更を監視するエンティティを指定します。Deep Securityでは、コンピュータに割り当てられているルールに指定されたすべてのエンティティを検索し、同じコンピュータの以降の検索と比較するベースラインを作成します。以降の検索がベースラインに一致しない場合、Deep Security Managerは変更監視イベントを記録し、設定されている場合はアラートをトリガします。

変更監視ルールのアイコン:

  • 通常の変更監視ルール
  • 設定オプションがある変更監視ルール

メイン画面から、次のことを実行できます。

  • 新規変更監視ルールを作成する ()
  • XMLファイルから変更監視ルールをインポートする ()
  • 既存の変更監視ルールのプロパティを確認または変更する ()
  • 既存の変更監視ルールを複製 (および変更) する ()
  • 変更監視ルールを削除する ()
  • 1つ以上の変更監視ルールをXMLファイルまたはCSVファイルにエクスポートする () ([エクスポート] ボタンをクリックして対象をすべてエクスポートするか、リストから選択して、選択または表示された対象のみをエクスポートする)
1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。

[新規] () または [プロパティ] () をクリックして、[変更監視ルールのプロパティ] 画面を表示します。

変更監視ルールのプロパティ

一般情報

変更監視ルールの名前と説明、およびトレンドマイクロが発行するルールの場合は、ルールが機能するために最低限必要なAgentとDeep Securityのバージョン情報。

詳細

ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、変更監視ルールのリストを表示するときに条件をソートする際に役立ちます。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します([管理]→[システム設定]→[ランク付け] を参照してください)。

ID

ルールが初めて発行された日付と、最後に更新された日付、およびルールの一意のIDです。

コンテンツ

[コンテンツ] タブが表示されるのは、ユーザ自身が作成する変更監視ルールについてのみです。トレンドマイクロが発行する変更監視ルールの場合は、代わりに [設定] タブが表示されます。このタブには、変更監視ルールの設定オプションが表示されます。トレンドマイクロが発行する変更監視ルールは編集できませんが、複製してそのコピーを編集することはできます。

変更監視ルールを新しく作成するためのテンプレートは、レジストリ値テンプレート、ファイルテンプレート、またはカスタム (XML) テンプレートの3つから選択できます。レジストリ値に対する変更を監視する変更監視ルールを作成する場合は、レジストリ値テンプレートを使用します。ファイルに対する変更のみを監視する簡単な変更監視ルールを作成する場合は、ファイルテンプレートを使用します。ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、およびファイルを監視するXML形式のルールを作成するには、カスタム (XML) テンプレートを使用します。

ここでは、レジストリ値テンプレートとファイルテンプレートの使い方について説明します。カスタム (XML) テンプレートを使用してXML形式の変更監視ルールを作成する方法については、「参照」セクションの変更監視ルールの言語を参照してください。

レジストリ値テンプレート

基本キー

監視する基本キーおよびサブキーのコンテンツを監視するかどうかを選択します。

値の名前

含まれる、または除外される値の名前が一覧表示されます。ワイルドカード文字として「?」および「*」を使用できます。

属性

サイズまたはコンテンツの変更を監視するには、[Standard] を使用します。その他の属性については、RegistryValueSet「RegistryValueSet」を参照してください。

ファイルテンプレート

基本ディレクトリ

ルールの基本ディレクトリを指定します。ルールに関するすべての項目は、このディレクトリを基準とした相対ディレクトリに保存されます。サブディレクトリを含めるには、[サブディレクトリも含む] を選択します。たとえば、C:\Program Files\MySQLを指定して、[サブディレクトリも含む] を選択することができます。

ファイル名

特定のファイルを含める、または除外するには、[ファイル名] フィールドを使用します。ワイルドカード (任意の1文字として「?」、0個以上の文字として「*」) を使用します。

基本ディレクトリ内のすべてのファイルを監視する際は、これらのフィールドを空白のままにすることができますが、ディレクトリ内のファイル数が多い場合や、ファイルのサイズが大きい場合は、これによりシステムリソースに負荷を与える可能性があります。

属性

次のファイル属性の変更を監視できます。

  • Created: ファイルの作成日時のタイムスタンプ。
  • LastModified: ファイルの最終更新日時のタイムスタンプ。
  • LastAccessed: ファイルの最終アクセス日時のタイムスタンプ。Windowsの場合、この値はすぐにアップデートされません。また、パフォーマンスを向上させるために、最終アクセス日時のタイムスタンプの記録を無効にすることができます。詳細については、「ファイルの時刻」を参照してください。ファイルの検索を行うには、Agentが対象のファイルを開く必要があります。これにより、ファイルの最終アクセス日時のタイムスタンプが変更されます。UNIXの場合、ファイルを開くときにO_NOATIMEフラグが使用可能であれば、Agentはこのフラグを使用します。これにより、最終アクセス日時のタイムスタンプがOSによってアップデートされることがなくなり、検索速度を上げることができます。
  • Permissions: Windowsの場合は、ファイルのセキュリティ記述子 (SDDL形式)。ACLをサポートするUNIXシステムの場合はPosixスタイルのACL。それ以外の場合は、数値 (8進数) 形式のUNIXスタイルのrwxrwxrwxのファイル権限。
  • Owner: ファイル所有者のユーザID。通常、UNIXでは「UID」と呼ばれます。
  • Group: ファイル所有者のグループID。通常、UNIXでは「GID」と呼ばれます。
  • Size: ファイルのサイズ。
  • Sha1: SHA-1ハッシュ。
  • Sha256: SHA-256ハッシュ。
  • Md5: MD5ハッシュ。
  • Flags: Windowsのみ。GetFileAttributes() Win32 APIから返されるフラグ。Windowsエクスプローラでは、これらをファイルの「属性」(読み取り専用、アーカイブ、圧縮など) とみなします。
  • SymLinkPath (LinuxおよびUNIXのみ): ファイルがシンボリックリンクである場合は、そのリンクのパスがここに格納されます。Windows NTFSでは、UNIXライクなシンボリックリンクをサポートしますが、ファイルではなくディレクトリ専用です。WindowsのショートカットオブジェクトはOSでは処理されないため、本当の意味でのシンボリックリンクではありません。Windowsエクスプローラはショートカットファイル (*.lnk) を処理しますが、*.lnkファイルを開くその他のアプリケーションはlnkファイルのコンテンツの表示のみ行います。
  • InodeNumber (LinuxおよびUNIXのみ): ファイルのinode番号。
  • DeviceNumber (LinuxおよびUNIXのみ): ファイルに関連付けられているinodeが格納されるディスクのデバイス番号。
  • BlocksAllocated (LinuxおよびUNIXのみ): ファイルを格納するために割り当てられるブロック数。

簡略記法キーワード

CONTENTSまたはSTANDARDという簡略記法キーワードを使用すると、一連の属性に対する変更を検索できます。

CONTENTSは、ファイルの内容のハッシュまたはハッシュのセットに対する変更を検索します。初期設定のハッシュはSHA-1です。

STANDARDは、次に示す一連のファイル属性に対する変更 (CONTENTSで検索する変更を含む) を検索します。

  • Created
  • LastModified
  • Permissions
  • Owner
  • Group
  • Size
  • Contents
  • Flags (Windowsのみ)
  • SymLinkPath (Linux/UNIXのみ)

オプション

  • このルールによってイベントが記録された場合にアラート: ルールが実行された場合にアラートを生成します。
  • リアルタイム監視を許可: このオプションは初期設定で選択されています。選択を解除すると、変更の検索を手動で実行した場合にのみ変更監視ルールイベントが生成されます。

割り当て対象

この変更監視ルールおよびこのルールが直接適用されるすべてのコンピュータを含む、ポリシーのリストが表示されます。変更監視ルールは [ポリシー] 画面のポリシーと、[コンピュータ] 画面のコンピュータに割り当てることができます。