変更監視モジュールは、ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストールされたソフトウェア、ポート、グループ、ユーザ、ファイル、およびエージェント上のWQLクエリステートメントに対する予期しない変更をスキャンします。
変更監視を有効にして設定するには、変更監視の設定を参照してください。
レジストリ値のセットです。Windows でのみ使用可能です。
タグ属性
次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。
|
属性
|
説明
|
必須
|
初期設定値
|
設定できる値
|
|
base
|
RegistryValueSetのベースキーを設定します。タグ内の他のすべてはこのキーに対して相対的です。ベースは、次のレジストリブランチ名のいずれかで始まる必要があります:
HKEY_CLASSES_ROOT (またはHKCR)、HKEY_LOCAL_MACHINE (またはHKLM)、HKEY_USERS (またはHKU)、HKEY_CURRENT_CONFIG
(またはHKCC)
|
はい
|
なし
|
構文的に有効なレジストリキーに解釈される文字列値
|
エンティティセットの属性
変更監視ルールで監視できるエンティティ属性は次のとおりです。
- Size
- 種類
- Sha1
- Sha256
- Md5 (非推奨)
簡略記法属性
- 内容: で設定されたコンテンツハッシュアルゴリズムに解決します。
- STANDARD: サイズ、種類、内容
キーの意味
レジストリ値は、レジストリ内のキーの下に格納される名前と値のペアです。格納されるキーは、ファイルシステム上のファイルやディレクトリのように、別のキーの下に格納されることがあります。この言語の目的のために、値へのキーのパスはファイルへのパスのように見えると考えられます。例えば、エージェントの
InstallationFolder値へのキーのパスは次のようになります:HKEY_LOCAL_MACHINE\SOFTWARE\トレンドマイクロ\Deep Security エージェント\InstallationFolderRegistryValueSetのincludesとexcludesのキー値は、キーのパスに対して一致します。これは階層パターンであり、パターンのセクションは
/で区切られ、キーのパスのセクションは""で区切られます初期設定値
各レジストリキーには、不特定の値 (初期設定値) があります。
この値は、パターンに末尾の
/を使用して明示的に含めたり除外したりすることができます。例えば、**/はすべての従属する無名の値に一致し、*Agent/**/は*Agentに一致するキーの下のすべての無名の値に一致します。レジストリ値の名前には、引用符、バックスラッシュ、
@ 記号など、任意の文字が含まれている可能性があります。Agentは、これらの文字がエンティティのキー名に含まれている場合、バックスラッシュをエスケープ記号として使用して対処しますが、この処理によってエスケープされるのはバックスラッシュ自体だけです。このように処理されるのは、バックスラッシュを含む値名と、レジストリパスの一部として使用されているバックスラッシュを区別できるようにするためです。つまり、バックスラッシュで終了する値名は、初期設定/不特定の値に対して一致するように設計されたルールと一致することになります。
次の表は、レジストリ値の名前の例と、結果として得られるエンティティキーを示しています。
|
値
|
エスケープ形式
|
例
|
|
Hello
|
Hello
|
HKLM\Software\Sample\Hello
|
|
"Quotes"
|
"Quotes"
|
HKLM\Software\Sample\"Quotes"
|
|
back\slash
|
back\\slash
|
HKLM\Software\Sample\back\\slash
|
|
trailing\
|
trailing\\
|
HKLM\Software\Sample\trailing\\
|
|
|
|
HKLM\Software\Sample\
|
|
@
|
@
|
HKLM\Software\Sample\@
|
サブエレメント
- 含める
- 除外
変更監視ルールの言語を参照して、これらのエレメントに指定できる属性とサブエレメントのIncludeとExcludeの概要を確認してください。