イベントに関する全般的なベストプラクティスについては、Deep Securityのイベント収集を参照してください。
Deep Securityによって捕捉された変更監視イベントを確認するには、[イベントとレポート]→[イベント]→[変更監視イベント]に移動します。
変更監視イベントで表示される情報
[変更監視イベント] 画面には次の列が表示されます。[列] をクリックして、表に表示する列を選択することができます。
-
日時::コンピュータ上でイベントが発生した時刻。
-
コンピュータ::このイベントのログが記録されたコンピュータ (コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)
-
理由::このイベントに関連付けられた変更監視ルール。
-
タグ:: このイベントに適用されているイベントタグ。
-
変更::変更監視ルールによって検出される変更。値は、Created、Updated、Deleted、またはRenamedのいずれかです。
-
ランク::ランク付けシステムでは、イベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、ルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。これによって、イベントをランクでソートできます。
-
重要度:: 変更監視ルールの重要度
-
種類::イベントの発生元であるエンティティの種類
-
キー:: パスおよびファイル名またはレジストリキーのイベント発生元
-
ユーザ::ファイルの所有者のユーザID
-
プロセス::イベントの発生元であるプロセス
-
イベント送信元:: イベントの発生元であるDeep Securityコンポーネント
すべての変更監視イベントのリスト
ID
|
重要度
|
イベント
|
備考
|
8000
|
情報
|
完全なベースラインの作成
|
Agentに対してベースラインを作成するよう要求があった場合、またはAgentの変更監視ルールが0からnになり、その結果ベースラインが作成された場合に作成されます。このイベントには、検索にかかった時間
(ミリ秒) およびカタログ化されたエンティティ数の情報が含まれます。
|
8001
|
情報
|
部分的なベースラインの作成
|
Agentのセキュリティ設定で変更監視ルールが1つ以上変更された場合に作成されます。このイベントには、検索にかかった時間 (ミリ秒) およびカタログ化されたエンティティ数の情報が含まれます。
|
8002
|
情報
|
変更の検索の完了
|
Agentに対して完全または部分的な手動検索が要求された場合に作成されます。このイベントには、検索にかかった時間 (ミリ秒) およびカタログ化された変更数の情報が含まれます。ファイルシステムドライバまたは通知に基づく変更に対する継続検索では、8002イベントは生成されません
|
8003
|
エラー
|
変更監視ルール内の不明な環境変数
|
ルールで ${env.EnvironmentVar} が使用されていて、「EnvironmentVar」が既知の環境変数でない場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、および不明な環境変数の名前が含まれます。
|
8004
|
エラー
|
変更監視ルール内の不正なベース値
|
無効な基本ディレクトリまたはキーがルールに含まれる場合に作成されます。たとえば、基本ディレクトリが「c:\foo\d:\bar」のFileSetを指定すると、このイベントが生成されます。または、環境変数の置き換えによって無効な値が生成される場合もあります。このイベントには、該当する変更監視ルールのIDと名前、および無効な基本値が含まれます。
|
8005
|
エラー
|
変更監視ルール内の不明なエンティティ
|
変更監視ルールで不明なEntitySetが検出された場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、および検出された不明なEntitySet名のカンマ区切りのリストが含まれます。
|
8006
|
エラー
|
変更監視ルール内のサポートされていないエンティティ
|
変更監視ルールで既知のサポートされないEntitySetが検出された場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、および検出されたサポートされないEntitySet名のカンマ区切りのリストが含まれます。RegistryKeySetなどの一部のEntitySetの種類はプラットフォームに固有です。
|
8007
|
エラー
|
変更監視ルール内の不明な機能
|
変更監視ルールで不明な機能が検出された場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、エンティティセットの種類 (FileSetなど)、および検出された不明な機能名のカンマ区切りのリストが含まれます。有効な機能値の例は、「whereBaseInOtherSet」、「status」、および「executable」です。
|
8008
|
エラー
|
変更監視ルール内のサポートされていない機能
|
変更監視ルールで既知のサポートされない機能が検出された場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、エンティティセットの種類 (例えば、FileSet)、および検出されたサポートされない機能名のカンマ区切りのリストが含まれます。Windowsサービスの状態を表す「status」などの一部の機能値はプラットフォームに固有です。
|
8009
|
エラー
|
変更監視ルール内の不明な属性
|
変更監視ルールで不明な属性が検出された場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、エンティティセットの種類 (FileSetなど)、および検出された不明な属性名のカンマ区切りのリストが含まれます。有効な属性値の例は、「created」、「lastModified」、および「inodeNumber」です。
|
8010
|
エラー
|
変更監視ルール内のサポートされていない属性
|
変更監視ルールで既知のサポートされない属性が検出された場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、エンティティセットの種類 (FileSetなど)、および検出されたサポートされない属性名のカンマ区切りのリストが含まれます。「inodeNumber」などの一部の属性値はプラットフォームに固有です。
|
8011
|
エラー
|
変更監視ルール内のエンティティセットの不明な属性
|
不明なEntitySet XML属性が変更監視ルールで検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのIDと名前、エンティティセットの種類
(例えば、FileSet)、および検出された不明なEntitySet属性名のカンマ区切りのリストが含まれます。このイベントは、<FileSet base="c:\foo">
ではなく <FileSet dir="c:\foo"> と記述した場合に発生する可能性があります
|
8012
|
エラー
|
変更監視ルール内の不明なレジストリ文字列
|
ルールが存在しないレジストリキーを参照している場合に作成されます。このイベントには、該当する変更監視ルールのIDと名前、および不明なレジストリ文字列の名前が含まれます。
|
8013
|
エラー
|
WQLSetが無効です。名前空間またはWQLクエリが見つかりませんでした。
|
変更監視ルールXMLの形式が正しくないため、WQLクエリ内に名前空間が見つからないことを示しています。WQLクエリを使用および監視するカスタム変更監視ルールが使用される、高度な事例でのみ発生します。
|
8014
|
エラー
|
WQLSetが無効です。不明なプロバイダ値が使用されています。
|
|
8015
|
警告
|
適用できない変更監視ルール
|
プラットフォームの不一致、存在しないターゲットディレクトリやファイル、サポートされていない機能など、いくつかの理由によって発生する可能性があります。
|
8016
|
警告
|
2番目に最適な変更監視ルール検出
|
|
8050
|
エラー
|
正規表現をコンパイルできませんでした。無効なワイルドカードが使用されています。
|