ビュー:
注意
注意
変更監視モジュールは、ディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループユーザファイル、およびDeep Security Agent上のWQLクエリステートメントに対する予期しない変更をスキャンします。変更監視を有効にして設定するには、変更監視の設定を参照してください。
待機ポートのセットを表します。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
説明
必須
初期設定値
設定できる値
onChange
リアルタイムで監視するかどうかを示します。
いいえ
false
true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。
  • 作成日:: Windowsのみ - XP SP2+ およびサーバ2003 SP1+ が必要です。Windows APIのGetExtendedTcpTable () またはGetExtendedUdpTable () 関数によって返されます。このTCPまたはUDPリンクを作成したバインド操作が発生した時期を示します。
  • Listeners:: このプロトコル、IPアドレス、およびポート番号の組み合わせに対するアクティブリスナーの数です。これは、指定されたポートにバインドされてリッスンしているソケットの数を反映しており、プロセスが複数のソケットをポートにバインドする場合、ポートでリッスンしているプロセスの数よりも多くなることがあります。指定されたポートに1つのソケットしかバインドされていない場合、この属性には値がありません。
  • パス:: (Windowsのみ - XP SP2+およびサーバ2003 SP1+が必要です。) ポートを所有するモジュールのフルパスを提供します (利用可能な場合)。Windowsでは、これはWindows APIのGetOwnerModuleFromXxxEntry () 関数から取得されます。Microsoftのドキュメントによると、接続テーブルエントリを所有モジュールに解決することはベストプラクティスです。
  • プロセス:: (Windowsのみ - XP SP2+ および サーバ2003 SP1+ が必要です。) ポートを所有するモジュールの短い名前が利用可能な場合に表示されます。Windowsでは、これはWindows APIのGetOwnerModuleFromXxxEntry () 関数から取得されます。Microsoftのドキュメントによると、接続テーブルエントリを所有モジュールに解決することはベストプラクティスです。いくつかのケースでは、返される所有モジュール名がプロセス名 (例: "svchost.exe")、サービス名 (例: "RPC")、またはコンポーネント名 (例: "timer.dll") であることがあります。
  • ProcessId::(Windowsのみ - XP SP2+およびサーバ2003 SP1+が必要です。) このポートに対してバインドを発行したプロセスのPIDを提供します。
  • ユーザ:(Linuxのみ)。ポートを所有するユーザを表示します。

「key」の意味

このkeyは、次の形式をとります。
<PROTOCOL>/<IP ADDRESS>/<PORT>
例:
tcp/172.14.207.94/80
udp/172.14.207.94/68

IPV6

IPアドレスがIPv6である場合、keyも同じ形式になりますが、プロトコルはTCP6またはUDP6です。このIPアドレスは、getnameinfoコマンドによって返される、次のようなIPv6表記となります。
tcp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/80
udp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/68

「key」の照合

これは階層的なキーではないため、**は適用されません。Unixスタイルのグロブマッチングは*と?を使用して可能です。次のパターンは、IPアドレス72.14.207.90から72.14.207.99のポート80に一致します:
*/72.14.207.9?/80
次のパターンは、72.14.207.2、72.14.207.20~72.14.207.29および72.14.207.200~72.14.207.255のIPアドレスのポート80に一致します。
*/72.14.207.2*/80
次のパターンは、任意のIPアドレスのポート80に一致します。
*/80
次の例では、待機ポートにおける変更を監視しますが、IPv4およびIPv6のTCPのポート80は無視します。
<PortSet>
</PortSet>

サブエレメント

  • Include
  • Exclude
変更監視ルールの言語で、includeおよびexcludeの概要と、それらに指定できる属性およびサブエレメントについて説明しています。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

PortSetのIncludeおよびExcludeに固有の属性

ポートのさまざまな属性は、includeおよびexclude機能テストで使用される場合があります。これらのテストは、値をポートの属性の値と比較します。さまざまな属性のプラットフォームサポートに注意してください。すべての属性がすべてのプラットフォームやプラットフォームのリビジョンで利用できるわけではないため、includeおよびexcludeタグでこれらのテストを使用することは限定的な利用にとどまります。機能テストはUnixのグロブスタイルのワイルドカード (*および?) をサポートしており、パスセパレータやその他の文字の正規化は行われません。これは属性の値に対する単純な一致です。
パス
ポートのパス属性に対してワイルドカード一致をチェックします。次の例では、メインIISバイナリを実行しているプロセスが所有するポートをモニタします。
<PortSet>
</PortSet>
プロセス
ポートのプロセス属性に対してワイルドカード一致をチェックします。次の例では、svchost.exe または outlook.* バイナリで実行されているものが所有するポートをモニタします。
<PortSet>
</PortSet>
ユーザ
ポートのユーザ属性に対してワイルドカード一致をチェックします。次の例では、スーパーユーザ (root) によって所有されていたUNIXシステム上のポートを監視します。
<PortSet>
</PortSet>