ビュー:
変更監視ルールは、コンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更、およびインストールされているソフトウェア、プロセス、待機ポート、および実行中のサービスに対する変更を、エージェントが検索して検出する方法を記述します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。
注意
注意
このトピックでは、特に変更監視ルールの作成方法について説明します。変更監視モジュールの設定方法については、変更監視の設定を参照してください。
変更監視ルールには、ユーザが作成するルールとトレンドマイクロが発行するルールの2種類があります。トレンドマイクロが発行するルールを設定する方法の詳細については、トレンドマイクロの変更監視ルールを設定するセクション。
新しい変更監視ルールを作成するには、次のことを行う必要があります。

手順

  1. 新しいルールの追加
  2. 変更監視ルール情報の入力
  3. ルールテンプレートの選択とルール属性の定義

次に進む前に

ルールの作成が完了したら、次の方法を学習することもできます。

新しいルールの追加 親トピック

変更監視ルールを追加するには、次の3つの方法があります。[Policies] [共通オブジェクト] [ルール] [変更監視ルール]にアクセスします。次の操作を実行できます。
  • 新しいルールを作成します。 [新規]>[新しい変更監視ルール] の順にクリックします。
  • XMLファイルからルールをインポートします。 [新規]>[ファイルからインポート] の順にクリックします。
  • 既存のルールをコピーして変更します。 [変更監視ルール] の一覧でルールを右クリックし、[複製] をクリックします。新しいルールを編集するには、ルールを選択して [プロパティ] をクリックします。

変更監視ルール情報の入力 親トピック

手順

  1. ルールの [名前][説明] を入力します。
    注意
    注意
    変更監視ルールのすべての変更は、ルールの [説明] フィールドに入力することをお勧めします。メンテナンスを容易にするために、ルールが作成または削除された日時と理由を記録します。
  2. ルールの [重大度] を設定します。
    注意
    注意
    ルールの重要度を設定しても、ルールの実装方法や適用方法には影響しません。重大度は、変更監視ルールのリストを表示する際の並べ替え条件として役立ちます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。 (「[管理] [システム設定] [順位] .)

次に進む前に

ルールテンプレートの選択とルール属性の定義 親トピック

[内容] タブに移動し、次の 3 つのテンプレートのいずれかを選択します。

レジストリ値テンプレート 親トピック

特にレジストリ値への変更を監視する変更監視ルールを作成します。
注意
注意
レジストリ値テンプレートは、Windowsベースのコンピュータ専用です。

手順

  1. 監視する [基本キー] を選択し、サブキーの内容を監視するかどうかを選択します。
  2. 含めるまたは除外する [値の名前] をリストします。 「?」を使用できます。および「*」をワイルドカード文字として使用します。
  3. 監視する [属性] を入力してください。 「STANDARD」と入力すると、レジストリのサイズ、内容、および種類の変更が監視されます。レジストリ値テンプレートの属性の詳細については、 RegistryValueSetドキュメント。

次に進む前に

ファイルテンプレート 親トピック

特にファイルへの変更を監視する変更監視ルールを作成します。

手順

  1. ルールのベースディレクトリを入力します (例: C:\\Program Files\\MySQL )。ベースディレクトリに関連するすべてのサブディレクトリの内容を含めるには、[サブディレクトリを含める] を選択します。ベースディレクトリではワイルドカードはサポートされていません。
  2. 特定のファイルを含めたり除外したりするには、 [ファイル名] フィールドを使用します。ワイルドカード (1文字の場合は「?」、0文字以上の場合は「*」) を使用できます。
    注意
    注意
    [ファイル名] フィールドを空白のままにすると、ルールはベースディレクトリ内のすべてのファイルを監視します。ベースディレクトリに多数のファイルや大きなファイルが含まれている場合は、システムリソースを大量に使用する可能性があります。
  3. 監視する [属性] を入力してください。 「STANDARD」と入力すると、ファイル作成日、最終変更日、権限、所有者、グループ、サイズ、コンテンツ、フラグ (Windows)、およびSymLinkPath (Linux)の変更が監視されます。ファイルテンプレート属性の詳細については、ファイルセットドキュメント。

次に進む前に

カスタム (XML) テンプレート 親トピック

カスタム変更監視ルールテンプレートを作成して、ディレクトリレジストリ値レジストリキーサービスプロセスインストールされているソフトウェアポートグループ,ユーザファイル、およびServer & Workload ProtectionXMLベースの変更監視ルールの言語を使用したWQLを監視します 。
ヒント
ヒント
任意のテキストエディタでルールを作成し、完了したら [コンテンツ] フィールドに貼り付けることができます。

変更トレンドマイクロルールを設定する 親トピック

トレンドマイクロが発行する変更監視ルールを、作成したカスタムルールと同じ方法で編集することはできません。トレンドマイクロのルールの中には、まったく変更できないものもあれば、設定オプションが制限されているものもあります。これらのルールの種類は両方とも [種類] 列に [定義済み] と表示されますが、設定可能なルールの場合は、変更監視アイコン (
integrity_monitoring_rules_option=0bbc640a-d419-4c86-b90a-ef0026d1002a.png
).
im-rule-types=45938605-d613-4089-909b-ebeaed019ebc.png
ルールの設定オプションにアクセスするには、ルールのプロパティを開き、 [構成] タブをクリックします。
トレンドマイクロが発行するルールでは、 [一般] タブに次の追加情報も表示されます。
  • ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
  • ルールが機能するために必要なエージェントの最小バージョン。
トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する 親トピック

変更監視ルールによって検出された変更は、 Server & Workload Protectionにイベントとして記録されます。

リアルタイムのイベント監視 親トピック

初期設定では、イベントは発生時にログに記録されます。変更の検索を手動で実行したときにのみイベントをログに記録する場合は、 [リアルタイム監視を許可]の選択を解除します。

警告 親トピック

イベントがログに記録されたときにアラートをトリガーするようにルールを設定することもできます。これを行うには、ルールのプロパティを開き、 [オプション]をクリックしてから、 [このルールによってイベントが記録された場合にアラート]を選択します。

ルールが割り当てられているポリシーとコンピュータを確認する 親トピック

変更監視ルールに割り当てられているポリシーとコンピュータは、 [割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、それらのプロパティが表示されます。

ルールをエクスポートする 親トピック

すべての変更監視ルールを.csvファイルまたは.xmlファイルにエクスポートするには、 [エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のルールを選択し、 [エクスポート] をクリックして、リストから対応するエクスポート処理を選択することで、特定のルールをエクスポートすることもできます。

ルールを削除する 親トピック

ルールを削除するには、[変更監視ルール] の一覧でルールを右クリックし、 [削除][OK]の順にクリックします。
注意
注意
1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。