ビュー:
変更監視保護モジュールは、不審なアクティビティを示す可能性のあるファイルおよび Windows レジストリなどの重要なシステム領域への変更を検出します。これは、現在の状態を以前に記録したベースライン測定値と比較することによって行われます。 Server & Workload Protection には事前定義された変更監視ルールが付属しており、新しい変更監視ルールはセキュリティ更新プログラムで提供されます。
注意
注意
変更監視ではシステムに加えられた変更が検出されますが、変更の防止や取り消しは実行されません。
注意
注意
変更監視を有効にするには、ワークロードライセンスが必要です。

変更監視を有効にする方法 親トピック

変更監視は、ポリシーまたはコンピュータレベルで有効にできます。そのためには、次のことを行う必要があります。

手順

  1. 変更監視を有効にする
  2. 推奨設定の検索を実行する
  3. 変更監視ルールを適用する
  4. コンピュータのベースラインを作成する
  5. 変更を定期的に検索する
  6. 変更監視のテスト

次に進む前に

変更監視を有効にしたら、以下についても設定できます。
変更監視を有効にするための一般的な手順は次のとおりです。

変更監視をオンにする 親トピック

変更監視は、コンピュータの設定またはポリシーで有効にできます。これを行うには、ポリシーエディタまたはコンピュータエディタを開き、[変更監視] [一般] 。 [設定] を [オン] または [継承 (オン)] に設定し、 [保存]をクリックします。
2016-07-08-000125-ds.png

推奨設定の検索を実行する 親トピック

コンピュータで推奨設定の検索を実行して、適切なルールに関する推奨設定を取得します。これを行うには、コンピュータエディタを開き、[変更監視] [一般] 。 [推奨設定] セクションで、 [推奨設定の検索]をクリックします。オプションで、検出されたルールの推奨事項を Server & Workload Protection が実装するように指定できます。
推奨される変更監視ルールでは、監視対象のエンティティと属性が多すぎる可能性があります。最も重要な監視対象を決定し、カスタムルールを作成するか、事前定義されたルールを調整することをお勧めします。プロセスIDや送信元ポート番号など、頻繁に変更されるプロパティを監視するルールには特に注意してください。
リアルタイムの変更監視検索を有効にしていて、頻繁に変更されるディレクトリを監視しているために、一部の推奨ルールで生成されるイベントが多すぎることが判明した場合は、それらのルールのリアルタイム検索を無効にできます。に移動[Policies] [共通オブジェクト] [ルール] [変更監視ルール]をクリックし、ルールをダブルクリックします。 [オプション] タブで、 [リアルタイム監視を許可] チェックボックスをオフにします。

変更監視ルールを適用する 親トピック

前述のように、推奨設定の検索を実行すると、 Server & Workload Protection で推奨ルールを自動的に実装できます。ルールを手動で割り当てることもできます。
コンピュータエディタまたはポリシーエディタで、[変更監視] [一般] 。 [割り当てられた変更監視ルール] セクションには、このポリシーまたはコンピュータに対して有効なルールが表示されます。変更監視ルールを追加または削除するには、 [割り当て/割り当て解除]をクリックします。使用可能なすべての変更監視ルールを示すウィンドウが表示され、ルールを選択または選択解除できます。
2016-07-08-000126-ds.png
トレンドマイクロが作成した変更監視ルールの中には、正しく機能させるためにローカル設定を必要とするものがあります。これらのルールのいずれかをコンピュータに割り当てた場合、またはこれらのルールのいずれかが自動的に割り当てられた場合は、設定が必要であることを通知するアラートが表示されます。
変更監視ルールをローカルで編集して、編集中のコンピュータまたはポリシーにのみ変更を適用することも、グローバルに編集して、ルールを使用している他のすべてのポリシーまたはコンピュータに変更を適用することもできます。ルールをローカルで編集するには、ルールを右クリックして [プロパティ]をクリックします。ルールをグローバルに編集するには、ルールを右クリックし、 [プロパティ (グローバル)]をクリックします。
カスタムルールを作成して、新しいユーザの追加や新しいソフトウェアのインストールなど、組織に関係する特定の変更を監視することもできます。カスタムルールの作成方法については、「変更監視ルールの言語
ヒント
ヒント
パフォーマンスを向上させ、競合や誤検出を回避するには、変更監視ルールをできるだけ具体的に設定する必要があります。たとえば、ハードドライブ全体を監視するルールは作成しないでください。

コンピュータのベースラインを構築する 親トピック

ベースラインは、変更検索の結果の比較対象となる元のセキュリティ状態です。コンピュータで変更検索の新しいベースラインを作成するには、コンピュータエディタを開き、次の場所に移動します。[変更監視] [一般]をクリックし、 [ベースラインの再構築]をクリックします。
ヒント
ヒント
パッチを適用した後は、新しいベースライン検索を実行することをお勧めします。
現在のベースラインデータを表示するには、 [ベースラインの表示]をクリックします。
注意
注意
2021年7月12日以降に Server & Workload Protection に登録し、エージェントバージョン20.0.0-2593以降を使用している場合、 [ベースラインの表示] ボタンは表示されなくなります。 2021年7月12日より前にサブスクライブした場合、このボタンは2022年1月1日まで使用できます。 詳細については、を参照してください。 Server & Workload Protectionからの変更監視の「ベースラインの表示」オプションの削除

変更を定期的に検索する 親トピック

オンデマンド検索を実行するには、コンピュータエディタを開き、[変更監視] [一般]をクリックし、 [変更の検索]をクリックします。を作成することもできます。予約タスク定期的に検索を実行します。

変更監視のテスト 親トピック

以降の変更監視設定の手順に進む前に、ルールとベースラインが正常に動作しているかどうかをテストします。

手順

  1. 変更監視が有効になっていることを確認します。
  2. に移動します。[コンピュータエディタとポリシーエディタ] [変更監視] [現在割り当てられている変更監視ルール][割り当て/割り当て解除]をクリックします。
  3. Windowsユーザの場合:
    • [1002773 - Microsoft Windows - 「Hosts」ファイルが変更されました]を検索し、ルールを有効にします。このルールでは、C:\windows\system32\drivers\etc\hosts.
    Linuxユーザの場合:
    • [1003513 - UNIX - /etcの場所でファイル属性が変更される]を検索し、ルールを有効にします。このルールでは、/etc/hostsファイル。
  4. 上記のファイルに変更を加え、変更を保存します。
  5. に移動[コンピュータエディタ] [変更監視] [一般]をクリックし、 [変更の検索]をクリックします。
  6. に移動[イベントとレポート] [変更監視イベント]変更されたホストファイルの記録を確認します。検出が記録された場合、変更監視モジュールは正常に動作しています。

次に進む前に

変更監視検索を実行するタイミング 親トピック

変更監視検索を実行するためのオプションは3つあります。
  • [オンデマンド検索]: コンピュータエディタを開き、[変更監視]>[一般] の順に選択することで、必要に応じてオンデマンドの変更監視検索を開始できます。 [変更の検索] セクションで、 [変更の検索]をクリックします。
  • [予約検索]: 他の Server & Workload Protection 操作と同じように、変更監視検索をスケジュールできます。 Server & Workload Protection は、監視対象のエンティティを確認し、前回の検索実行以降に変更があったかどうかを特定し、イベントを記録します。監視対象エンティティに対する複数の変更は追跡されません。最後の変更のみが検出されます。エンティティの状態に対する複数の変更を検出してレポートするには、予約検索の頻度を増やす (たとえば、毎週ではなく毎日) ことを検討するか、頻繁に変更されるエンティティのリアルタイム検索を有効にします。変更監視の予約検索を有効にするには、[管理] [予約タスク] [新規] 。新規予約タスクウィザードで、 [コンピュータの変更を検索] と予約検索の頻度を選択します。新規予約タスクウィザードで必要な情報を入力します。予約タスクの詳細については、を参照してください。 Server & Workload Protection がタスクを実行するようにスケジュールする
  • [リアルタイム検索]: リアルタイム検索を有効にできます。このオプションを選択すると、 Server & Workload Protection はエンティティの変更をリアルタイムで監視し、変更を検出すると変更監視イベントを発生させます。イベントは、syslogを介してリアルタイムでSIEMに転送されるか、 Server & Workload Protection への次のハートビート通信が発生したときに転送されます。リアルタイム検索を有効にするには、[コンピュータエディタまたはポリシーエディタ] [変更監視] [一般]をクリックし、 [リアルタイム]を選択します。 64ビットLinuxプラットフォームでエージェントバージョン11.0以降、64ビットWindowsサーバでエージェントバージョン11.2以降を使用している場合、リアルタイム検索の結果には、ファイルを変更したユーザとプロセスが示されます。この機能をサポートするプラットフォームの詳細については、を参照してください。サポートされる機能 (プラットフォーム別)
注意
注意
ディスク全体でファイルの変更をリアルタイムで監視すると、パフォーマンスに影響を及ぼし、整合性監視イベントが多すぎます。保護手段として、ルートドライブ (C:) をリアルタイムで監視するように選択した場合、 Server & Workload Protection は実行可能ファイルとスクリプトのみを監視します。すべてのファイルをリアルタイムで監視する場合は、ルートドライブ以外のフォルダを指定してください。

変更監視検索パフォーマンスの設定 親トピック

以下の設定を変更すると、変更監視検索のパフォーマンスを改善できることがあります。

CPUの使用率を制限する 親トピック

変更監視は、初期ベースラインの作成につながるシステム検索と、以前に作成されたベースラインとの後のシステムの状態を比較するシステム検索の間、ローカルのCPUリソースを使用します。変更監視が必要以上のリソースを消費していることがわかった場合は、CPU使用率を次のレベルに制限できます。
  • [高]: ファイルを一時停止せずに1つずつ検索します。
  • [中]: ファイルの検索を一時停止してCPUリソースを節約します。
  • [低]: [中] よりも長い間隔でファイルの検索を一時停止します。
[変更監視のCPU使用率レベル] の設定を変更するには、コンピュータエディタまたはポリシーエディタを開き、[変更監視] [詳細]

コンテンツハッシュアルゴリズムを変更する 親トピック

変更監視モジュールがベースライン情報を格納するために使用するハッシュアルゴリズムを選択できます。複数のアルゴリズムを選択できますが、パフォーマンスに悪影響を与えるため、お勧めしません。
コンテンツハッシュアルゴリズムは変更できます。

変更監視イベントのタグ付け 親トピック

変更監視モジュールによって生成されたイベントは、 Server & Workload Protection コンソールの次の場所に表示されます。[イベントとレポート] [変更監視イベント] 。イベントのタグ付けを使用すると、イベントを並べ替えたり、正当なイベントと詳細な調査が必要なイベントを特定したりできます。
イベントを右クリックして [タグの追加]をクリックすると、イベントにタグを手動で適用できます。選択したイベントにのみタグを適用するか、類似の変更監視イベントにタグを適用するかを選択できます。
自動タグ設定機能を使用して、複数のイベントをグループ化してラベルを付けることもできます。 Server & Workload Protection コンソールでこの機能を設定するには、[イベントとレポート] [変更監視イベント] [自動タグ付け] [新しい信頼できる送信元] 。タグ付けの実行に使用できるソースは3つあります。
  • 信頼済みのローカルコンピュータ
  • トレンドマイクロのソフトウェア安全性評価サービス
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。
イベントのタグ付けの詳細については、「タグを適用してイベントを識別およびグループ化する