変更監視ルールの作成 · Customer Self-Service

変更監視ルールの作成

変更監視ルールは、Deep Security Agentがコンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更、およびインストール済みのソフトウェア、プロセス、待機中のポート、実行中のサービスにおける変更を検索して検出する方法を記述します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。

注意

この記事では、変更監視ルールの作成方法について説明します。変更監視モジュールの設定方法については、変更監視の設定を参照してください。

変更監視ルールには、ユーザーが作成したルールと、トレンドマイクロが発行したルールの2種類があります。トレンドマイクロが発行したルールの設定方法については、トレンドマイクロの変更監視ルールの設定セクションを参照してください。

変更監視ルールを新しく作成するには、次の手順が必要です。

新しいルールを追加。
変更監視ルール情報を入力してください。
ルールテンプレートを選択し、ルール属性を定義します。

ルールが完了したら、次の方法も学べます

ルールイベントとアラートの構成
ルールが割り当てられているポリシーとコンピューターを参照
ルールをエクスポートする
ルールを削除する

新しいルールを追加する

[ポリシー]→[共通オブジェクト]→[ルール]→[変更監視ルール] ページで変更監視ルールを追加する方法は3つあります。次のことができます:

新しいルールを作成します。[新規]→[新しい変更監視ルール]をクリックします。
XMLファイルからルールをインポートします。[新規]→[ファイルからインポート]をクリックします。
既存のルールをコピーして変更します。変更監視ルールのリストでルールを右クリックし、[複製]をクリックします。新しいルールを編集するには、それを選択して[のプロパティ]をクリックします。

変更監視ルール情報を入力する

ルールの[名前]と[説明]を入力してください。

ヒント

変更監視ルールへの変更をそのルールの [説明] フィールドに記録することも推奨します。より簡単にメンテナンスするために、ルールを作成または削除した日付とその理由を記録してください。

ルールの[重要度]を設定します。

注意

ルールの重大度を設定しても、ルールの実装や適用方法には影響しません。重大度レベルは、変更監視ルールのリストを表示する際のソート基準として役立ちます。さらに重要なことに、各重大度レベルには重大度値が関連付けられており、この値はコンピュータのアセット値に掛け合わされてイベントのランク付けが決定されます。([管理]→[システム設定]→[ランキング]を参照してください。)

ルールテンプレートを選択し、ルールの属性を定義する

[コンテンツ]タブに移動し、次の3つのテンプレートのいずれかを選択してください:

レジストリ値テンプレート

特にレジストリ値への変更を監視する変更監視ルールを作成します。

注意

レジストリ値テンプレートはWindowsベースのコンピューター専用です。

[基本キー]を監視するかどうか、およびサブキーのコンテンツを監視するかどうかを選択します。
[値の名前]を含めるか除外するかをリストします。ワイルドカード文字として "?" と "*" を使用できます。
[属性]をモニタするために入力します。"STANDARD"を入力すると、レジストリのサイズ、内容、タイプの変更をモニタします。レジストリ値テンプレート属性の詳細については、RegistryValueSetのドキュメントを参照してください。

ファイルテンプレート

ファイルの変更を特定してモニタする変更監視ルールを作成します。

ルールの[基本ディレクトリ]を入力します (例: C:\Program Files\MySQL )。ベースディレクトリに対してすべてのサブディレクトリの内容を含めるには[サブディレクトリも含む]を選択します。ベースディレクトリにはワイルドカードはサポートされていません。

[ファイル名]フィールドを使用して、特定のファイルを含めるか除外します。ワイルドカード (1文字には" ? "、0文字以上には" * ") を使用できます。

注意

[ファイル名]フィールドを空白のままにすると、ルールはベースディレクトリ内のすべてのファイルをモニタします。ベースディレクトリに多数のファイルや大きなファイルが含まれている場合、システムリソースを大量に使用する可能性があります。

[属性]をモニタするために入力してください。"STANDARD"を入力すると、ファイルの作成日、最終更新日、権限、所有者、グループ、サイズ、内容、フラグ (Windows)、およびSymLinkPath (Linux) の変更をモニタします。ファイルテンプレート属性の詳細については、FileSetドキュメントを参照してください。

カスタム (XML) テンプレート

Deep Security XMLベースの変更監視ルール言語を使用して、ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストールされたソフトウェア、ポート、グループ、ユーザ、ファイル、およびWQLをモニタするカスタム変更監視ルールテンプレートを作成します。

ヒント

お好みのテキストエディタでルールを作成し、完了したら[コンテンツ]フィールドに貼り付けてください。

トレンドマイクロが発行する変更監視ルールを設定する

トレンドマイクロによって発行された変更監視ルールは、作成したカスタムルールと同じ方法で編集することはできません。トレンドマイクロの一部のルールはまったく変更できないものもあれば、制限された設定オプションを提供するルールもあります。これらのルールタイプはどちらも「タイプ」列の下に「定義済み」と表示されますが、設定可能なルールは変更監視アイコン ( integrity_monitoring_rules_option=3f9628c2-bcfc-4d23-a1b9-4ebd89b09911.png

integrity_monitoring_rules_option=3f9628c2-bcfc-4d23-a1b9-4ebd89b09911.png

) にギアが表示されます。

ルールのプロパティを開き、[設定]タブをクリックすると、ルールの構成オプションにアクセスできます。

トレンドマイクロによって発行されたルールには、[一般]タブの下に次の追加情報も表示されます:

ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
ルールが機能するために必要なエージェントとDeep Security Managerの最小バージョン。

トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する

変更監視ルールによって検出された変更は、Deep Security Managerにイベントとして記録されます。

リアルタイムのイベント監視

デフォルトでは、イベントは発生時に記録されます。変更のスキャンを手動で実行したときにのみイベントを記録したい場合は、[リアルタイム監視を許可]の選択を解除してください。

アラート

ルールがイベントを記録したときにアラートをトリガーするようにルールを設定することもできます。そのためには、ルールのプロパティを開き、[オプション]をクリックし、[このルールによってイベントが記録された場合にアラート]を選択します。

ルールが割り当てられているポリシーとコンピューターを表示

[割り当て対象]タブで、変更監視ルールに割り当てられているポリシーとコンピュータを確認できます。リスト内のポリシーまたはコンピュータをクリックして、そのプロパティを確認してください。

ルールをエクスポートする

[エクスポート]をクリックし、リストから対応するエクスポートアクションを選択することで、すべての変更監視ルールを.csvまたは.xmlファイルにエクスポートできます。また、特定のルールを選択してから[エクスポート]をクリックし、リストから対応するエクスポートアクションを選択することで、特定のルールをエクスポートすることもできます。

ルールを削除する

ルールを削除するには、変更監視ルールリストのルールを右クリックし、[削除]をクリックしてから[OK]をクリックします。

注意

1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。