ビュー:
注意
注意
変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループユーザファイル、およびWQLクエリステートメントの予期しない変更をスキャンします。変更監視を有効にして設定するには、変更監視の設定を参照してください。
FileSetタグは、ファイルのセットを記述します。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
説明
必須
初期設定値
設定できる値
base
FileSetのベースディレクトリを設定します。タグ内の他のエレメントはすべて、このディレクトリから相対的に位置付けられます。
オプション
なし
String値は構文的に有効なパスに解決されます (パスが存在する必要はありません)。[注意]: UNCパスはWindowsエージェントで許可されていますが、リモートシステムがエージェントコンピュータの「LocalSystem」アカウントによるアクセスを許可する必要があります。エージェントはWindowsサービスであり、LocalSystem、別名NT AUTHORITY\SYSTEMとして実行されます。ネットワークリソースにアクセスする際、LocalSystemはコンピュータの資格情報を使用します。これはDOMAIN\MACHINE$という名前のアカウントです。リモートコンピュータに提示されるアクセストークンには、コンピュータの「Administrators」グループも含まれるため、リモート共有はエージェントコンピュータのアカウント、エージェントコンピュータのAdministratorsグループ、または「Everyone」に読み取り権限を付与する必要があります。UNCパスへのアクセスをテストするには、LocalSystemアカウントの下でサービスとして実行されているWindowsコマンドプロンプトを起動します。これにより、ネットワークおよびローカルリソースへのアクセスを試みたり、LocalSystemアカウントの下で実行される他のアプリケーションを起動したりできます。基本値が構文的に有効でない場合、FileSetは処理されません。残りの設定が評価されます。
onChange
対象のファイルをリアルタイムで監視する必要があるかどうかを示します。
いいえ
false
true、false
followLinks
このFileSetはシンボリックリンクを追跡します。
いいえ
false
true、false

エンティティセットの属性

次に示すFileSetの属性は、変更監視ルールによって監視可能な属性です。
注意
注意
Linux環境のCreated、LastModified、およびLastAccessedの場合、リアルタイム変更監視モジュールは、ファイルの内容が変更された検索を検出しますが、ファイルの変更、ファイルの読み取り、またはその他の変更は検出しません。ファイルが変更された時間などのメタデータのみがアップデートされます。
  • 作成日::ファイルの作成日時のタイムスタンプ
  • LastModified::ファイルの最終アップデート日時のタイムスタンプ
  • LastAccessed:: ファイルの最終アクセス日時のタイムスタンプ。Windowsの場合、この値はすぐにアップデートされません。また、パフォーマンスを向上させるために、最終アクセス日時のタイムスタンプの記録を無効にすることができます。詳細については、File Timesを参照してください。LastAccessed属性には、ファイル検索を実行するにはAgentが対象のディレクトリを開く必要があり、これにより最終アクセス日時のタイムスタンプが変更されるという問題もあります。UNIXの場合、ファイルを開くときにO_NOATIMEフラグが使用可能であれば、Agentはこのフラグを使用します。これにより、最終アクセス日時のタイムスタンプがOSによってアップデートされることがなくなり、検索速度を上げることができます。
  • Permissions:: Windowsの場合は、ファイルのセキュリティ記述子 (SDDL形式)。ACLをサポートするUNIXシステムの場合はPosixスタイルのACL。それ以外の場合は、数値 (8進数) 形式のUNIXスタイルのrwxrwxrwxのファイル権限。
  • Owner::ファイル所有者のユーザID (通常、UNIXでは「UID」と呼ばれます)
  • グループ::ファイル所有者のグループID (通常、UNIXでは「GID」と呼ばれます)
  • サイズ::ファイルのサイズ
  • Sha1:: SHA-1ハッシュ
  • Sha256::SHA-256ハッシュ
  • Md5:: MD5ハッシュ (非推奨)
  • フラグ:: Windowsのみ。GetFileAttributes () Win32 APIで返されるフラグ。Windowsエクスプローラでは、これらをファイルの「属性」(読み取り専用、アーカイブ、圧縮など) とみなします。
  • [SymLinkPath](UNIX/Linuxのみ): ファイルがシンボリックリンクである場合は、そのリンクのパスがここに格納されます。Windows NTFSでは、UNIXライクなシンボリックリンクをサポートしますが、ファイルではなくディレクトリ専用です。WindowsのショートカットオブジェクトはOSでは処理されないため、本当の意味でのシンボリックリンクではありません。Windowsエクスプローラはショートカットファイル (*.lnk) を処理しますが、*.lnkファイルを開くその他のアプリケーションはlnkファイルのコンテンツの表示のみ行います。
  • [InodeNumber] (UNIX/Linuxのみ): ファイルに関連付けられているinodeが格納されるディスクのinode番号
  • [デバイス番号] (UNIX/Linuxのみ): ファイルに関連付けられているinodeが格納されるディスクのデバイス番号
  • [割り当てられたブロック] (Linux/UNIXのみ): ファイルを格納するために割り当てられるブロック数。
  • 増加中:: ファイルのサイズが検索間で同じままか増加する場合、値は「true」で、それ以外の場合は「false」です。これは主に、データが追加されたログファイルに役立ちます。ログファイルをロールオーバーすると、この属性が変更されることに注意してください。
  • 縮小:: ファイルのサイズが同じであるか、検索間で減少している場合、値は「true」で、それ以外の場合は「false」です。

簡略記法による属性

次に、簡略記法による属性と、それらがマッピングされる属性を示します。
  • CONTENTS:: は [コンピュータまたはポリシーエディタ]→[変更監視]→[詳細] に設定されたコンテンツハッシュアルゴリズムに解決されます。
  • STANDARD::Created、LastModified、Permissions、Owner、Group、Size、Contents、Flags (Windowsのみ)、SymLinkPath (Linux/UNIXのみ)

ディレクトリとしてマウントされたドライブ

ディレクトリとしてマウントされたドライブは他のディレクトリと同様に扱われます。ただし、ネットワークドライブである場合、そのドライブは無視されます。

代替データストリーム

NTFSベースのファイルシステムでは、代替データストリームの概念がサポートされます。この機能が使用される場合には、代替ストリームは概念上、ファイル内のファイルのように動作します。
注意
注意
この機能のデモを実行するには、コマンドプロンプトに以下のコマンドを入力します。 echo plain > sample.txt echo alternate > sample.txt:s more < sample.txt more < sample.txt:s 最初の「more」は、テキスト「plain」のみを表示します。これは、メモ帳などの標準のテキストエディタでファイルを開いた場合に表示されるテキストと同じです。2番目の「more」は、sample.txtの「s」ストリームにアクセスして文字列「alternate」を表示します。
FileSetでは、ストリームが指定されていない場合、すべてのストリームが含まれます。各ストリームは、ベースラインの個別のエンティティエントリです。ストリームに対して指定できる属性は次のとおりです。
  • size
  • Sha1
  • Sha256
  • Md5(非推奨)
  • コンテンツ
次の例では、前のデモで使用したストリームが両方とも含まれます。
<include key="**/sample.txt" />
特定のストリームを含めたり除外したりするには、「:」表記を使用します。次の例では、メインのsample.txtストリームではなく、sample.txtの「s」ストリームのみが一致します。
<include key="**/sample.txt:s" />
パターン照合は、ストリーム表記でもサポートされます。次の例では、sample.txtが含まれますが、その代替ストリームはすべて除外されます。
<include key="**/sample.txt" />
<exclude key="**/sample.txt:*" />

「key」の意味

keyは、「base」で指定されたディレクトリを基準とする相対ファイルパスに対して照合されるパターンを指定します。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンです。パターン内のセクションは、所定のOSのファイルのセパレータによって区切られたパスのセクションに対して照合されます。

サブエレメント

  • Include
  • Exclude
変更監視ルールの言語に、これらのエレメントに指定できる属性とサブエレメントのincludeとexcludeの概要が記載されています。ここでは、FileSetエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

FileSetのincludeおよびexcludeに固有の属性

executable
ファイルが実行可能かどうかを決定します。これは、ファイルの権限がファイルの実行を許可していることを意味しません。ファイルの内容を確認するのではなく、プラットフォームに応じて、そのファイルが実行可能ファイルであるかどうかを決定します。
注意
注意
これは、Agentがファイルを開き、ファイルの先頭から1KBまたは2KBを検証して有効な実行可能イメージヘッダを探すことが必要になるため、比較的負荷の高い処理です。1つ1つのファイルを開いて読み取ることは、ディレクトリを検索してワイルドカードパターンに基づいてファイル名を照合する処理に比較すると、非常に高い負荷がかかります。結果として、「executable」を使用するincludeおよびexcludeルールでは、この属性を使用しないルールよりも検索に時間がかかります。