注意
注意
変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループユーザファイル、およびWQLクエリステートメントの予期しない変更をスキャンします。変更監視を有効にして構成するには、変更監視の設定を参照してください。
UserSet要素はユーザのセットを表します。Windowsシステムでは、システムにローカルなユーザに対して動作します - これは「ローカルユーザとグループ」MMCスナップインによって表示される同じユーザです。これらは、Deep Security Agentがドメインコントローラ以外のもの上で実行されている場合にのみローカルユーザです。ドメインコントローラ上では、UserSet要素はすべてのドメインユーザを列挙しますが、これは非常に大規模なドメインには推奨されない場合があります。
Unixシステムでは、監視されるユーザは「getpwent_r ()」および「getspnam_r ()」APIが返すように設定されているものです。特にAIXシステムでは、監視されるユーザは/etc/passwdファイルに記載されているものです。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
説明
必須
初期設定値
設定できる値
onChange
リアルタイムで監視するかどうかを示します。
いいえ
false
true、false

エンティティセットの属性

監視可能なエンティティの属性には次のものがあります。

一般属性

  • cannotChangePassword:: ユーザにパスワードの変更が許可されているかどうかをtrue/falseで示す。
  • disabled:: アカウントが無効になっているかどうかを示す真偽値。Windowsシステムでは、これはユーザの「無効」チェックボックスを反映します。Unixシステムでは、ユーザのアカウントが期限切れになった場合、またはパスワードが期限切れになり、変更のための非アクティブ猶予期間を超えた場合にtrueになります。
  • fullName::ユーザの表示名。
  • groups:: ユーザの所属するグループのカンマ区切りのリスト。
  • homeFolder:: ホームフォルダまたはホームディレクトリへのパス。
  • lockedOut:: ユーザが明確に、またはパスワードの失敗回数超過によって、ロックされているかどうかをtrue/falseで示す。
  • passwordHasExpired::ユーザのパスワードが期限切れかどうかを示す真偽値。なお、この属性はWindows XP以降のオペレーティングシステムでのみ利用可能です。
  • passwordLastChanged::ユーザのパスワードが最後に変更された時刻のタイムスタンプです。これは1970年1月1日UTCからのミリ秒数としてDeep Security Agentによって記録され、Deep Security Managerはこの値に基づいてタイムスタンプをローカル時間で表示します。Unixプラットフォームでは、この属性の解像度は1日であるため、表示されるタイムスタンプの時間部分は意味がありません。(AIXではサポートされていません。)
  • passwordNeverExpires::期限切れにならないパスワードかどうかをtrue/falseで示す。
  • user:: OSで認識されているユーザの名前。例えば、「Administrator」や「root」。

Windowsのみの属性

  • description::ユーザが所属するプライマリグループ。
  • homeDriveLetter:: ユーザのホームフォルダとしてネットワーク共有がマッピングされているドライブの文字。
  • logonScript:: ユーザがログインするたびに実行されるスクリプトへのパス。
  • profilePath:: ローミングまたは必須のWindowsユーザプロファイルが使用されている場合のネットワークパス。

Linux、AIX、およびSolaris属性

  • group::ユーザが所属するプライマリグループ。
  • logonShell::ユーザのシェルプロセスへのパス。
  • passwordExpiredDaysBeforeDisabled:: ユーザのパスワードが期限切れになった後、アカウントが無効になるまでの日数です。Solarisでは、この属性はユーザが無効になるまでの非アクティブ日数を指します。(AIXではサポートされていません。)
  • passwordExpiry::ユーザのアカウントが期限切れになり、アカウントが無効になる日付。
  • passwordExpiryInDays::ユーザのパスワードを変更しなくてはならない日までの残り日数。
  • passwordMinDaysBetweenChanges::パスワードを変更してから次に変更するまでの最小日数。
  • passwordWarningDays:: ユーザのパスワードが期限切れになる前に警告を表示する日付。

簡略記法による属性

  • 標準::
    • cannotChangePassword
    • disabled
    • groups
    • homeFolder
    • passwordHasExpired
    • passwordLastChanged
    • passwordNeverExpires
    • user
    • logonScript (Windowsのみ)
    • profilePath (Windowsのみ)
    • group (Linuxのみ)
    • logonShell (Linuxのみ)
    • passwordExpiryInDays (Linuxのみ)
    • passwordMinDaysBetweenChanges (Linuxのみ)

「key」の意味

キーはユーザ名です。これは階層的なEntitySetではありません。パターンはユーザ名にのみ適用されます。その結果、"**"パターンは適用されません。
次の例では、ユーザの作成または削除を監視します。(属性は明示的に除外されているため、グループメンバーシップは追跡されません):
<UserSet> <Attributes/> <include key="*" /> </UserSet>
次の例では、「jsmith」アカウントの追加および削除の監視に加え、アカウントのSTANDARD属性に対する変更の監視も行います(特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含められるためです)。
<UserSet> <include key="jsmith" /> </UserSet>

サブエレメント

includeとexclude

変更監視ルールの言語を参照して、これらのエレメントに指定できる属性とサブエレメントのincludeの概要を確認してください。

UserSetのincludeおよびexcludeに固有の属性

ユーザのさまざまな属性は、含める機能テストと除外する機能テストで使用される場合があります。これらのテストは、ユーザの属性の値と比較します。さまざまな属性のプラットフォームサポートに注意してください。すべての属性がすべてのプラットフォームやプラットフォームの改訂版で利用できるわけではないため、これらのテストを含める要素と除外する要素で使用することは限定的です。機能テストはUnixのグロブスタイルのワイルドカード (*と?) をサポートしており、パスセパレータやその他の文字の正規化は行われません。属性の値に対する単純な一致です。
  • Disabled::はユーザの無効属性に一致するかどうかを示します。次の例では、プライマリグループが「users」または「daemon」のユーザを監視します。
    <UserSet> <include disabled="true"/> </UserSet>
  • グループ::ワイルドカードはユーザのプライマリグループに対して一致します。このテストはUnixシステムでのみ適用されます。次の例では、プライマリグループが「users」または「daemon」のユーザをモニタします。
    <UserSet> <include group="users"/> <include group="daemon"/> </UserSet>
  • LockedOut:: ユーザのlockedOut属性に対する、true/false一致。
  • PasswordHasExpired:: ユーザのpasswordHasExpired属性に対する、true/false一致。
  • PasswordNeverExpires:: ユーザのpasswordNeverExpires属性に対する、true/false一致。