変更監視 ルールは、エージェントがコンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更を検索および検出する方法、およびインストールされているソフトウェア、プロセス、待機ポート、および実行中のサービスの変更を記述します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。
このトピックでは、変更監視ルールの作成方法について具体的に説明します。変更監視モジュールの設定方法については、変更監視の設定を参照してください。
変更監視ルールには、ユーザーが作成したものと、トレンドマイクロによって発行されたものの2種類があります。トレンドマイクロによって発行されたルールの設定方法の詳細については、トレンドマイクロの変更監視ルールを設定するセクションを参照してください。
新しい変更監視ルールを作成するには、次の手順を実行する必要があります。

手順

  1. 新しいルールを追加
  2. 変更監視ルール情報を入力してください
  3. ルールテンプレートを選択し、ルール属性を定義します

次に進む前に

ルールの作成が完了したら、次の方法を学習することもできます。

新しいルールを追加する 親トピック

[ポリシー][共通オブジェクト][ Rules ][ 変更監視 Rules] ページに、 変更監視 ルールを追加する方法は3つあります。次の手順を実行します。
  • [新規][新規変更監視ルール]をクリックして新しいルールを作成します。
  • XMLファイルからルールをインポートするには、[新規][ファイルからインポート]をクリックします。
  • 既存のルールをコピーして変更します。 [変更監視ルール] リストでルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、ルールを選択して [プロパティ] をクリックします。

変更監視ルール情報を入力する 親トピック

手順

  1. ルールの [名前][説明] を入力します。
    すべての変更監視ルールの変更を、ルールの [説明] フィールドに記録することをお勧めします。メンテナンスを容易にするために、ルールが作成または削除された日時と理由を記録します。
  2. ルールの [重要度] を設定します。
    ルールの重要度を設定しても、ルールの実装方法や適用方法には影響しません。重大度は、変更監視ルールのリストを表示する際の並べ替え条件として役立ちます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。[管理][システム設定][ランキング] を参照してください。

ルールテンプレートを選択し、ルールの属性を定義する 親トピック

[コンテンツ] タブに移動し、次の3つのテンプレートのいずれかを選択します。

レジストリ値テンプレート 親トピック

特にレジストリ値への変更を監視する変更監視ルールを作成します。
レジストリ値テンプレートは、Windowsベースのコンピュータのみに適用されます。

手順

  1. 監視する [基本キー]、およびサブキーのコンテンツを監視するかどうかを選択します。
  2. 含めるまたは除外する [値の名前] をリストします。ワイルドカード文字として ?* を使用できます。
  3. 監視する [属性] を入力します。 STANDARD を入力すると、レジストリのサイズ、内容、および種類の変更が監視されます。レジストリ値テンプレートの属性の詳細については、RegistryValueSet を参照してください。

ファイルテンプレート 親トピック

ファイルに対する変更を具体的に監視する変更監視ルールを作成します。

手順

  1. ルールのベースディレクトリを入力します (例: C:\Program Files\MySQL)。ベースディレクトリに関連するすべてのサブディレクトリの内容を含めるには、[サブディレクトリも含む] を選択します。ベースディレクトリではワイルドカードはサポートされていません。
  2. [ファイル名] フィールドを使用して、特定のファイルを含めたり除外したりします。 1文字の場合は ? 、0個以上の文字の場合は * など、ワイルドカードを使用できます。
    [ファイル名] フィールドを空白のままにすると、ルールはベースディレクトリ内のすべてのファイルを監視します。ベースディレクトリに多数のファイルや大きなファイルが含まれている場合は、システムリソースを大量に使用する可能性があります。
  3. 監視する[属性]を入力します。STANDARDを入力すると、ファイル作成日、最終変更日、権限、所有者、グループ、サイズ、コンテンツ、フラグ (Windows)、およびSymLinkPath (Linux) の変更が監視されます。ファイルテンプレート属性の詳細については、ファイルテンプレートの属性を参照してください。

カスタムテンプレート 親トピック

Workload SecurityのXMLベースの変更監視ルール言語を使用して、ディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループユーザファイル、およびWQLをモニタするカスタム変更監視ルールテンプレートを作成します。
任意のテキストエディタでルールを作成し、完了したら [コンテンツ] フィールドに貼り付けます。

トレンドマイクロが発行する変更監視ルールを設定する 親トピック

トレンドマイクロが発行する変更監視ルールを、作成したカスタムルールと同じ方法で編集することはできません。トレンドマイクロのルールの中には、まったく変更できないものもあれば、設定オプションが制限されているものもあります。これらのルールの種類は両方とも、[種類] 列に[定義済み]と表示されますが、設定可能なルールの場合は、[変更監視] アイコン (integrity_monitoring_rules_option=a4521b5a-7f7a-4c91-a7ef-36863d3dfb6e.png) に歯車が表示されます。
im-rule-types=093ce5ca-7314-44dd-98ca-0b286dfa7feb.png
ルールの設定オプションにアクセスするには、ルールのプロパティを開き、[設定] タブをクリックします。
トレンドマイクロが発行するルールには、[一般] タブの下に補足情報も表示されます。
  • ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
  • ルールが機能するために必要なエージェントの最小バージョン。
トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する 親トピック

変更監視 ルールによって検出された変更は、 Workload Securityにイベントとしてログに記録されます。

リアルタイムのイベント監視 親トピック

初期設定では、イベントは発生時にログに記録されます。変更の検索を手動で実行している場合にのみイベントをログに記録するには、[リアルタイム監視を許可] の選択を解除します。

アラート 親トピック

イベントのログを記録したときに、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。

ルールが割り当てられているポリシーとコンピュータを表示する 親トピック

変更監視ルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする 親トピック

すべての変更監視ルールを .csv または .xml ファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポートを選択します。特定のルールを選択してエクスポートすることもできます。次に、[エクスポート] をクリックし、リストから対応するエクスポートを選択します。

ルールを削除する 親トピック

ルールを削除するには、[変更監視ルール] リストでルールを右クリックし、[削除][OK] の順にクリックします。
1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。