変更監視モジュールは、ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストールされたソフトウェア、ポート、グループ、ユーザ、ファイル、およびエージェント上のWQLクエリステートメントに対する予期しない変更をスキャンします。
変更監視を有効にして設定するには、変更監視のセットアップを参照してください。
RegistryKeySetタグは、レジストリ内の設定されたキーを示します。 Windowsでのみ使用できます。
タグ属性
次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。
属性
|
説明
|
必須
|
初期設定値
|
設定できる値
|
base
|
RegistryKeySetのベースキーを設定します。タグ内の他のエレメントはすべて、このキーから相対的に位置付けられます。ベースは、次のいずれかのレジストリブランチ名で始まる必要があります。
|
はい
|
なし
|
構文的に有効なレジストリキーパスに解釈される文字列値
|
エージェントはローカルシステムアカウントを使用してサービスとして実行されるため、
HKEY_CURRENT_USER
は意味がありません。レジストリのHKCUブランチは、対話的にログオンしているユーザに対してのみ有効であり、そのユーザに固有のものです。Windowsターミナルサーバ環境や、ユーザの高速切り替えが有効になっているWindows
XPおよびVistaでは、複数の異なるユーザが同時にログオンしている可能性があります。このため、エージェントはHKEY_CURRENT_USER
を含むルールをコンパイルエラーと判断します。HKEY_USERS
の下には、WindowsのユーザアカウントIDの数値形式を使用して名前が付けられた複数のサブキーがあります。ユーザがログオンすると、それらのサブキーの1つがユーザのログオンセッション中にHKCUにマップされます。ルールは、
HKEY_USERS
をベースにしてユーザごとのレジストリ項目をモニタするために使用することが許可されています。ただし、それらのルールは多くのエントリに一致する可能性があります。...\Software\Classes
ブランチは非常に大きく、特にHKLMの下ではそうですので、Software\Classes
全体をトラバースする必要があるルールは避けるようにしてください。エンティティセットの属性
変更監視ルールで監視できるエンティティの属性は次のとおりです。
- Owner
- Group
- Permissions
- [LastModified] (Windowsレジストリ用語でのLastWriteTime)
- Class
- SecurityDescriptorSize
簡略記法属性
- [STANDARD:] グループ、所有者、権限、最終更新
キーの意味
レジストリキーは、ファイルシステムのディレクトリのように、レジストリ内で階層的に保存されます。この言語の目的のために、キーへのキーのパスはディレクトリへのパスのように見えると考えられます。例えば、エージェントの
Deep Security Agent
キーへのキーのパスは次のようになります:HKEY_LOCAL_MACHINE\SOFTWARE\トレンドマイクロ\Deep Securityエージェント
RegistryValueSetのインクルードおよびエクスクルードのキー値は、キー パスに対して一致します。これは階層パターンであり、パターンのセクションは
/
で区切られ、キー パスのセクションは""
で区切られます。サブエレメント
- 含む
- Exclude
変更監視ルールの言語を参照して、これらのエレメントに指定できる属性とサブエレメントのincludeの概要を確認してください。