ビュー:
変更監視保護モジュールは、ファイルやWindowsレジストリのような重要なシステム領域の変更を検出し、不審な活動を示す可能性があります。このモジュールは、現在の状態を以前に記録されたベースラインと比較することでこれを行います。Workload Securityには事前定義された変更監視ルールがあり、新しい変更監視ルールはセキュリティアップデートで提供されます。
変更監視は、システムに加えられた変更を検出しますが、変更を防止したり元に戻したりすることはありません。
変更監視を有効にするには、 Workload Securityライセンスが必要です。

変更監視機能を有効にします 親トピック

ポリシーまたはコンピュータレベルで変更監視を有効にできます。

手順

  1. 変更監視をオンにする
  2. 推奨設定の検索を実行する.
  3. 変更監視ルールを適用する
  4. コンピュータのベースラインを構築する
  5. 定期的に変更をスキャンする
  6. 変更監視のテスト

次に進む前に

変更監視を有効にすると、その機能について詳しく知る必要があります。

変更監視をオンにする 親トピック

変更監視は、コンピュータの設定またはポリシーで有効にできます。

手順

  1. ポリシーエディタまたはコンピュータエディタを開きます。
  2. [変更監視][一般] の順に選択します。
  3. [設定]を選択してください:
  4. [保存] をクリックします。

推奨設定の検索を実行する 親トピック

コンピュータで推奨設定スキャンを実行して、適切なルールの推奨設定を取得します。推奨される変更監視ルールは、監視対象のエンティティや属性が多すぎる可能性があります。ベストプラクティスは、重要で監視すべき項目を決定し、カスタムルールを作成するか、事前定義されたルールを調整することです。プロセスIDやソースポート番号など、頻繁に変更されるプロパティを監視するルールには特に注意を払ってください。これらのルールはノイズが多く、調整が必要な場合があります。

手順

  1. コンピュータエディタから[変更監視][一般]に移動します。
  2. [一般]タブの推奨設定の下で、[推奨設定の検索]をクリックします。
  3. Workload Securityで検出された推奨設定を実装するかどうかを指定します。

リアルタイムスキャンの無効化 親トピック

リアルタイム変更監視スキャンを有効にして、いくつかの推奨ルールが多くのイベントを生成することがわかった場合、それらのルールのリアルタイムスキャンを無効にすることができます。

手順

  1. [ポリシー][共通オブジェクト][ルール][変更監視ルール]に移動します。
  2. ルールをダブルクリックします。
  3. [オプション]タブで、[リアルタイム監視を許可]ボックスをオフにします。

変更監視ルールを適用する 親トピック

推奨スキャンを実行すると、Workload Securityが推奨ルールを自動的に実装するか、手動でルールを割り当てることができます。ルールをローカルで編集して、その変更を特定のコンピュータまたはポリシーにのみ適用するか、グローバルで編集して、その変更をルールを使用するすべてのポリシーまたはコンピュータに適用することができます。また、新しいユーザの追加や新しいソフトウェアのインストールなど、組織に関係する特定の変更をモニタするためのカスタムルールを作成することもできます。カスタムルールの作成方法については、変更監視ルールのインポートを参照してください。
一部の変更監視ルールにはローカル設定が必要です。このようなルールをコンピュータに割り当てるか、ルールが自動的に割り当てられると、ルールを設定するよう通知するアラートが発令されます。
ヒント
ヒント
パフォーマンスを向上させ、競合や誤検出を避けるためには、できるだけ具体的な変更監視ルールを作成します。たとえば、ハードドライブ全体を監視するルールは作成しないでください。

手順

  1. ポリシーまたはコンピュータエディタで、[変更監視][一般] に移動します。
  2. [割り当てられた変更監視ルール]のリストを確認してください。
  3. ルールを割り当てるまたは割り当て解除するには:
    1. [[割り当て/割り当て解除] をクリックします。
    2. ルールを選択または選択解除します。
  4. ルールをローカルで編集するには、ルールを右クリックし、[プロパティ] の順に選択します。
  5. ルールをグローバルに編集するには、ルールを右クリックし、[Properties (Global)] を選択します。

コンピュータのベースラインを構築する 親トピック

ベースラインは、変更の検索結果と比較される元の安全な状態です。ベストプラクティスとして、パッチを適用した後に新しいベースラインスキャンを実行することをお勧めします。
コンピュータで整合性スキャンの新しいベースラインを作成するには:

手順

  1. コンピュータエディタで、[変更監視][一般]に移動します。
  2. [ベースラインの再構築]をクリックします。

変更を定期的に検索する 親トピック

次のいずれかの方法を使用して変更監視スキャンを実行します:
  • [オンデマンドスキャン]は必要に応じてオンデマンドの変更監視スキャンを開始します。
    1. コンピュータエディタから[変更監視][一般]に移動します。
    2. [変更の検索]で、[整合性のスキャン]をクリックします。
  • [スケジュールされたスキャン]は、他のWorkload Security操作と同様に変更監視スキャンをスケジュールします。Workload Securityはエンティティが監視されているかどうかを確認し、前回のスキャン以降の変更についてイベントを記録します。このスキャンは最後の変更のみを検出し、スキャン間の複数の変更を追跡しません。エンティティの状態に対する複数の変更を検出して報告するには、スケジュールされたスキャンの頻度を増やすか、リアルタイムスキャンを有効にしてください。スケジュールされたタスクの詳細については、タスクを実行するためのWorkload Securityのスケジュール設定を参照してください。
    1. [管理 ][ スケジュールされたタスク ][ 新規]を選択します。
    2. 新しい予約タスクウィザードで、[コンピュータの整合性変更をスキャン]を選択します。
    3. 予約検索の頻度を選択してください。
    4. 新しい予約タスクウィザードによって要求された情報を指定してください。
  • [リアルタイム検索]は、変更をリアルタイムでモニタし、検索が変更を検出すると変更監視イベントを作成します。イベントは、Syslogを介してリアルタイムでSIEMに転送されるか、Workload Securityとの次のハートビート通信が発生したときに転送されます。Agentバージョン11.0以降を64ビットLinuxプラットフォームで使用し、Agentバージョン11.2以降を64ビットWindowsサーバで使用する場合、リアルタイム検索の結果は、ファイルを変更したユーザとプロセスを示します。この機能をサポートするプラットフォームの詳細については、各プラットフォームでサポートされている機能を参照してください。
    ディスク全体のファイル変更をリアルタイムでモニタすると、パフォーマンスに影響を与え、多くのイベントが発生する可能性があります。トレンドマイクロは、ルートドライブ以外のフォルダを指定することを推奨します。ルートドライブ (C:) をリアルタイムでモニタする場合、Workload Securityは実行可能ファイルとスクリプトのみをモニタします。
    1. コンピュータまたはポリシーエディタで、[変更監視][一般] に移動します。
    2. [リアルタイム]を選択します。

変更監視をテストする 親トピック

変更監視の設定を続行する前に、ルールとベースラインが正しく機能していることを確認してください。

手順

  1. 変更監視が有効であることを確認してください。
  2. コンピュータまたはポリシーエディタから、[変更監視][割り当てられた変更監視ルール]に移動します。
  3. [割り当て/割り当て解除] をクリックします。
  4. OSに適したルールを有効にする:
    • Windows では、[1002773 - Microsoft Windows - 'Hosts' file modified] を検索し、このルールを有効にします。このルールを変更すると、アラートが発生します。C:\windows\system32\drivers\etc\hosts.
    • Linuxの場合、[1003513 - Unix - File attributes changes in /etc location] を検索し、このルールを有効にします。このルールは、/etc/hostsファイルに変更が加えられた場合にアラートを発令します。
  5. ホストファイルを変更して、変更を保存します。
  6. [コンピュータエディタ][変更監視][一般]に移動します。
  7. [整合性のスキャン]をクリックします。
  8. [イベントとレポート][変更監視イベント]に移動します。
  9. 変更されたホストファイルの記録を確認してください。検出の記録は変更監視が正しく機能していることを示します。

変更監視検索のパフォーマンスを向上 親トピック

変更監視スキャンのパフォーマンスを向上させるために、次の設定を変更できます。

リソース使用量を制限 親トピック

変更監視は、ベースラインの作成および後の状態をベースラインと比較する際に、ローカルの中央処理装置 (CPU) リソースを使用します。変更監視が想定以上にリソースを消費している場合、CPU使用率を以下のレベルに制限することができます:
  • [高]は一時停止せずに、ファイルを順次検索します。
  • [中] ファイルを検索してCPUリソースを節約するために一時停止します。
  • : ファイルを検索する間隔がメディア設定よりも長い間隔で一時停止します。
[変更監視CPU使用率レベル]を変更するには:

手順

  • コンピュータまたはポリシーエディタを開き、[変更監視][詳細]に移動します。

コンテンツハッシュアルゴリズムを変更する 親トピック

変更監視がベースライン情報を保存するために使用するハッシュアルゴリズムを選択できます。パフォーマンスに悪影響を与えないように、複数のアルゴリズムを使用するのは避けてください。

変更監視イベントのタグ付け 親トピック

イベントのタグ付けを行うと、イベントをソートしやすくなり、問題のないイベントと詳細な調査が必要なイベントを判別しやすくなります。
イベントを右クリックして[タグを追加]を選択することで、手動でイベントにタグを適用できます。選択したイベントのみにタグを適用するか、類似の変更監視イベントに適用することができます。また、自動タグ付けを使用して複数のイベントをグループ化し、ラベルを付けることもできます。
これらのソースを使用してタグ付けを実行できます。
  • 信頼済みのローカルコンピュータ
  • トレンドマイクロのソフトウェア安全性評価サービス
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。
    2022年1月1日をもって、Trusted Common Baselineは利用できなくなりました。2021年7月12日以前にタグ付けされたイベントはタグを保持しますが、新しい変更監視イベントにタグを付けるには他の方法を使用する必要があります。
イベントタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。

手順

  • 自動タグ付けを設定するには、[イベントとレポート][変更監視イベント][自動タグ付け][新しい信頼できるソース]に移動します。