Ansichten:
Hinweis
Hinweis
Das Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichten der Integritätsüberwachung.
Ein Satz von Registrierungswerten (nur Windows).

Tag-Attribute

Dies sind XML-Attribute des Tags selbst im Gegensatz zu den Attributen der von den Integritätsüberwachungsregeln überwachten Entität.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
Basis
Legt den Basisschlüssel des RegistryValueSet fest. Alles andere im Tag ist relativ zu diesem Schlüssel. Die Basis muss mit einem der Registrierungszweignamen beginnen: HKEY_CLASSES_ROOT (oder HKCR), HKEY_LOCAL_MACHINE (oder HKLM), HKEY_USERS (oder HKU), HKEY_CURRENT_CONFIG (oder HKCC)
Ja
N/A
Zeichenfolgenwerte, die zu syntaktisch gültigen Registrierungsschlüsseln aufgelöst werden

Entitätensatzattribute

Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht werden können:
  • Größe
  • Typ
  • Sha1
  • Sha256
  • Md5 (veraltet)

Kurzzeichenattribute

  • CONTENTS: Wird auf den im Computer or Policy editorIntegritätsüberwachungErweitert festgelegten Inhalts-Hash-Algorithmus aufgelöst.
  • STANDARD: Größe, Typ, Inhalt

Bedeutung von "Schlüssel"

Registrierungswerte sind Name-Wert-Paare, die unter einem Schlüssel in der Registrierung gespeichert sind. Der Schlüssel, unter dem sie gespeichert sind, kann wiederum unter einem anderen Schlüssel gespeichert sein, ähnlich wie Dateien und Verzeichnisse in einem Dateisystem. Für die Zwecke dieser Sprache wird der "Schlüsselpfad" zu einem Wert als ähnlich dem Pfad zu einer Datei betrachtet. Zum Beispiel wäre der "Schlüsselpfad" zum Wert InstallationFolder des Agenten:
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent\InstallationFolder
Der "Schlüssel"-Wert für Einschluss und Ausschluss im RegistryValueSet wird mit dem Schlüsselpfad abgeglichen. Dies ist ein hierarchisches Muster, bei dem Abschnitte des Musters, die durch "/" getrennt sind, mit Abschnitten des Schlüsselpfads abgeglichen werden, die durch "" getrennt sind

Standardwert

Jeder Registrierungsschlüssel hat einen unbenannten oder Standardwert.
Dieser Wert kann explizit für die Einbeziehung und den Ausschluss angegeben werden, indem ein abschließendes "/" in Mustern verwendet wird. Zum Beispiel wird **/ alle untergeordneten unbenannten Werte abgleichen, und "*Agent/**/" wird alle unbenannten Werte unter einem Schlüssel abgleichen, der "*Agent" entspricht.
Hinweis
Hinweis
Registrierungswertnamen können jedes druckbare Zeichen enthalten, einschließlich Anführungszeichen, Rückwärtsschrägstrich, das "@"-Symbol usw.
Der Agent behandelt dies in Entitätsschlüsselnamen, indem er den Backslash als Escape-Zeichen verwendet, wobei nur die Backslashes selbst maskiert werden. Dies geschieht, um den Unterschied zwischen einem Wertnamen, der einen Backslash enthält, und einem Backslash, der als Teil des Registrierungspfads auftritt, erkennen zu können. Das bedeutet, dass Wertnamen, die mit einem Backslash-Zeichen enden, mit Regeln übereinstimmen, die darauf ausgelegt sind, den Standard- oder unbenannten Wert zu erfassen.
Siehe die Tabelle unten für Beispielnamen von Registrierungswerten und den resultierenden Entitätsschlüssel.
Wert
Entkommene Form
Beispiel
Hallo
Hallo
HKLM\Software\Sample\Hello
"Anführungszeichen"
"Anführungszeichen"
HKLM\Software\Sample\"Quotes"
Rückwärtsschrägstrich
Rück\\schrägstrich
HKLM\Software\Sample\back\\slash
trailing\
trailing\\
HKLM\Software\Sample\trailing\\
HKLM\Software\Sample\
@
@
HKLM\Software\Sample\@

Unterelemente

  • Include
  • Ausschließen
Siehe Integritätsüberwachungsregeln-Sprache für eine allgemeine Beschreibung von Einschließen und Ausschließen sowie deren erlaubte Attribute und Unterelemente.