ビュー:
変更監視 ルールは、エージェントがコンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更を検索および検出する方法、およびインストールされているソフトウェア、プロセス、待機ポート、および実行中のサービスの変更を記述します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。
このトピックでは、変更監視ルールの作成方法について具体的に説明します。変更監視モジュールの設定方法については、変更監視の設定を参照してください。
変更監視ルールには、ユーザーが作成したものと、トレンドマイクロによって発行されたものの2種類があります。トレンドマイクロによって発行されたルールの設定方法の詳細については、トレンドマイクロの変更監視ルールを設定するセクションを参照してください。
新しい変更監視ルールを作成するには、次の手順を実行する必要があります。
  1. 新しいルールを追加
  2. 変更監視ルール情報を入力してください
  3. ルールテンプレートを選択し、ルール属性を定義します
ルールの作成が完了したら、次の方法を学習することもできます。

新しいルールを追加する 親トピック

[ポリシー][共通オブジェクト][ルール][変更監視ルール]ページで変更監視ルールを追加する方法は3つあります。次のいずれかを行うことができます。
  • [新規][新規変更監視ルール]をクリックして新しいルールを作成します。
  • XMLファイルからルールをインポートするには、[新規][ファイルからインポート]をクリックします。
  • 既存のルールをコピーして変更します。[変更監視ルール]リストでルールを右クリックし、[複製]をクリックします。新しいルールを編集するには、それを選択して[プロパティ]をクリックします。

変更監視ルール情報を入力する 親トピック

  1. ルールの[名前][説明]を入力してください。
    すべての変更監視ルールの変更をルールの[説明]フィールドに記録することは良い習慣です。ルールが作成または削除された日時と理由を記録して、メンテナンスを容易にしましょう。
  2. ルールの[重大度]を設定します。
    ルールの重要度を設定しても、ルールの実装方法や適用方法には影響しません。重大度は、変更監視ルールのリストを表示する際の並べ替え条件として役立ちます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。[管理][システム設定][ランキング] を参照してください。

ルールテンプレートを選択し、ルールの属性を定義する 親トピック

[コンテンツ]タブに移動し、次の3つのテンプレートから選択してください。

レジストリ値テンプレート 親トピック

特にレジストリ値への変更を監視する変更監視ルールを作成します。
レジストリ値テンプレートは、Windowsベースのコンピュータのみに適用されます。
  1. [基本キー]をモニタするか、サブキーの内容をモニタするかどうかを選択してください。
  2. [値の名前]を含めるか除外するかをリストします。ワイルドカード文字として?*を使用できます。
  3. [属性]を入力してモニタします。STANDARDを入力すると、レジストリのサイズ、内容、タイプの変更をモニタします。レジストリ値テンプレート属性の詳細については、RegistryValueSetを参照してください。

ファイルテンプレート 親トピック

ファイルに対する変更を具体的に監視する変更監視ルールを作成します。
  1. ルールのベースディレクトリを入力してください (例: C:\Program Files\MySQL)。ベースディレクトリに対してすべてのサブディレクトリの内容を含めるには、[サブディレクトリも含む]を選択してください。ベースディレクトリにはワイルドカードはサポートされていません。
  2. [ファイル名]フィールドを使用して、特定のファイルを含めるまたは除外することができます。ワイルドカードとして、1文字に?、0文字以上に*を使用できます。
    [ファイル名]フィールドを空白のままにすると、ルールはベースディレクトリ内のすべてのファイルをモニタします。ベースディレクトリに多数または大きなファイルが含まれている場合、これはシステムリソースを大幅に使用する可能性があります。
  3. [属性]を入力してモニタします。STANDARDを入力すると、ファイルの作成日、最終更新日、権限、所有者、グループ、サイズ、内容、フラグ (Windows)、およびSymLinkPath (Linux) の変更をモニタします。ファイルテンプレート属性の詳細については、FileSetを参照してください。

カスタムテンプレート 親トピック

Workload SecurityのXMLベースの変更監視ルール言語を使用して、ディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループユーザファイル、およびWQLをモニタするカスタム変更監視ルールテンプレートを作成します。
お好みのテキストエディタでルールを作成し、完了したら[コンテンツ]フィールドに貼り付けてください。

トレンドマイクロが発行する変更監視ルールを設定する 親トピック

トレンドマイクロによって発行された変更監視ルールは、作成したカスタムルールと同じ方法で編集することはできません。一部のトレンドマイクロルールはまったく変更できず、他のルールは限られた設定オプションを提供する場合があります。これらのルールタイプは、[種類]列の[定義済み]として表示されますが、設定可能なルールは変更監視アイコンにギアが表示されます (integrity_monitoring_rules_option=a4521b5a-7f7a-4c91-a7ef-36863d3dfb6e.png)。
im-rule-types=093ce5ca-7314-44dd-98ca-0b286dfa7feb.png
ルールのプロパティを開き、[設定]タブをクリックすることで、ルールの設定オプションにアクセスできます。
トレンドマイクロによって発行されたルールは、[一般]タブの下に次の追加情報も表示します。
  • ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
  • ルールが機能するために必要なエージェントの最小バージョン。
トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する 親トピック

変更監視 ルールによって検出された変更は、 Workload Securityにイベントとしてログに記録されます。

リアルタイムのイベント監視 親トピック

デフォルトでは、イベントは発生時にログに記録されます。変更の検索を手動で実行したときのみイベントをログに記録したい場合は、[リアルタイム監視を許可]を選択解除してください。

アラート 親トピック

ルールがイベントを記録した際にアラートを発生させるように設定することもできます。そのためには、ルールのプロパティを開き、[オプション]をクリックし、[このルールによってイベントが記録された場合にアラート]を選択します。

ルールが割り当てられているポリシーとコンピュータを表示する 親トピック

[割り当て対象]タブで、変更監視ルールに割り当てられているポリシーとコンピュータを確認できます。リスト内のポリシーまたはコンピュータをクリックして、そのプロパティを表示します。

ルールをエクスポートする 親トピック

[エクスポート]をクリックし、リストから対応するエクスポートアクションを選択することで、すべての変更監視ルールを.csvまたは.xmlファイルにエクスポートできます。また、特定のルールを選択してから[エクスポート]をクリックし、リストから対応するエクスポートアクションを選択することで、特定のルールをエクスポートすることもできます。

ルールを削除する 親トピック

ルールを削除するには、[変更監視ルール]リスト内のルールを右クリックし、[削除]をクリックしてから[OK]をクリックします。
1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。