ビュー:
注意
注意
変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループユーザファイル、およびWQLクエリステートメントの予期しない変更をスキャンします。変更監視を有効にして設定するには、変更監視の設定を参照してください。
レジストリ値のセットです (Windowsのみ)。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
説明
必須
初期設定値
設定できる値
base
RegistryValueSetのベースキーを設定します。タグ内の他のすべてはこのキーに対して相対的です。ベースは次のレジストリブランチ名のいずれかで始まる必要があります: HKEY_CLASSES_ROOT (またはHKCR), HKEY_LOCAL_MACHINE (またはHKLM), HKEY_USERS (またはHKU), HKEY_CURRENT_CONFIG (またはHKCC)
オプション
なし
構文的に有効なレジストリキーに解釈される文字列値

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。
  • サイズ
  • 種類
  • Sha1
  • Sha256
  • Md5 (非推奨)

簡略記法による属性

  • CONTENTS::は[コンピュータまたはポリシーエディタ]→[変更監視]→[詳細]で設定されたコンテンツハッシュアルゴリズムに解決されます。
  • STANDARD::Size、Type、Contents

「key」の意味

レジストリ値は、レジストリ内のキーの下に格納される名前と値のペアです。格納されるキーは、ファイルシステム上のファイルやディレクトリのように、別のキーの下に格納されることがあります。この言語の目的のために、値への「キー パス」はファイルへのパスのように見えると考えられます。例えば、エージェントのInstallationFolder値への「キー パス」は次のようになります:
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent\InstallationFolder
RegistryValueSet の includes と excludes の「key」値はキーパスに対して照合されます。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンであり、「\」で区切られたキーパスのセクションに対して照合されます

初期設定値

各レジストリキーには、不特定の値 (初期設定値) があります。
この値は、パターンの末尾に「/」を付けることで、明示的に含めるか除外するかを指定できます。例えば、「**[/" will match all subordinate unnamed values, and "*Agent/]**/」は、「*エージェント」に一致するキーの下のすべての名前のない値に一致します。
注意
注意
レジストリ値の名前には、引用符、バックスラッシュ、「@」記号など、任意の文字が含まれている可能性があります。
エージェントは、エンティティキー名でこれを処理するために、バックスラッシュをエスケープ文字として使用しますが、バックスラッシュ自体のみがエスケープされます。これは、バックスラッシュを含む値名と、レジストリパスの一部として発生するバックスラッシュを区別できるようにするためです。これにより、バックスラッシュ文字で終わる値名は、デフォルトまたは名前のない値に一致するように設計されたルールに一致します。
次の表に、レジストリ値の名前と生成されるエンティティキーの例を示します。
Value
エスケープ形式
Hello
Hello
HKLM\Software\Sample\Hello
"Quotes"
"Quotes"
HKLM\Software\Sample\"Quotes"
back\slash
back\\slash
HKLM\Software\Sample\back\\slash
trailing\
trailing\\
HKLM\Software\Sample\trailing\\
HKLM\Software\Sample\
@
@
HKLM\Software\Sample\@

サブエレメント

  • Include
  • Exclude
変更監視ルールの言語を参照して、これらのエレメントに指定できる属性とサブエレメントのIncludeとExcludeの概要を確認してください。