変更監視ルールを作成する

変更監視 ルールは、エージェントがコンピュータのファイル、ディレクトリ、レジストリキーと値に対する変更を検索および検出する方法、およびインストールされているソフトウェア、プロセス、待機ポート、および実行中のサービスの変更を記述します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。

このトピックでは、 変更監視 ルールの作成方法について具体的に説明します。変更監視モジュールの設定方法については、「変更監視の設定」を参照してください。

変更監視ルールには、ユーザ自身が作成したルールとトレンドマイクロが発行するルールの2種類があります。トレンドマイクロが発行するルールの設定方法については、「トレンドマイクロが発行する変更監視ルールを設定する」セクションを参照してください。

新しい変更監視ルールを作成するには、次の手順を実行する必要があります。

1. 新しいルールを追加する。
2. Enter 変更監視 ルール情報。
3. ルールテンプレートを選択し、ルールの属性を定義する。

ルールの作成が完了したら、次の方法を学習することもできます。

• ルールイベントとアラートを設定する
• ルールが割り当てられているポリシーとコンピュータを確認する
• ルールをエクスポートする
• ルールを削除する

新しいルールを追加する

Policies> Common Objects> Rules> 変更監視 Rules ページに、 変更監視 ルールを追加する方法は3つあります。次の手順を実行します。

• [新規]→[新しい変更監視ルール] の順にクリックして、新しいルールを作成します。
• [新規]→[ファイルからインポート]の順にクリックして、XMLファイルからルールをインポートします。
• 既存のルールをコピーして変更します。 [ 変更監視ルール ] リストでルールを右クリックし、[ 複製] をクリックします。新しいルールを編集するには、ルールを選択して [ プロパティ] をクリックします。

変更監視ルール情報を入力する

1. ルールの [名前] と [説明] を入力します。

   すべての変更監視ルールの変更を、ルールの [ Description ] フィールドに記録することをお勧めします。メンテナンスを容易にするために、ルールが作成または削除された日時と理由を記録します。

2. ルールの [重要度] を設定します。

   ルールの重要度を設定しても、ルールの実装方法や適用方法には影響しません。重大度は、変更監視ルールのリストを表示する際の並べ替え条件として役立ちます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。 [管理]→[システム設定]→[ランキング] を参照してください。

ルールテンプレートを選択し、ルールの属性を定義する

[コンテンツ] タブに移動し、次の3つのテンプレートのいずれかを選択します。

レジストリ値テンプレート

特にレジストリ値への変更を監視する変更監視ルールを作成します。

レジストリ値テンプレートは、Windowsベースのコンピュータのみに適用されます。

1. 監視する [基本キー]、およびサブキーのコンテンツを監視するかどうかを選択します。
2. 含めるまたは除外する 値の名前 をリストします。ワイルドカード文字として ? と * を使用できます。
3. 監視する 属性 を入力します。 STANDARD を入力すると、レジストリのサイズ、内容、および種類の変更が監視されます。レジストリ値テンプレートの属性の詳細については、RegistryValueSet を参照してください。

ファイルテンプレート

ファイルに対する変更を具体的に監視する変更監視ルールを作成します。

1. ルールのベースディレクトリを入力します (例: C:\Program Files\MySQL)。ベースディレクトリに関連するすべてのサブディレクトリの内容を含めるには、[ Include Sub Directories ] を選択します。ベースディレクトリではワイルドカードはサポートされていません。

2. [ File Names ] フィールドを使用して、特定のファイルを含めたり除外したりします。 1文字の場合は ? 、0個以上の文字の場合は * など、ワイルドカードを使用できます。

   [ File Names ] フィールドを空白のままにすると、ルールはベースディレクトリ内のすべてのファイルを監視します。ベースディレクトリに多数のファイルや大きなファイルが含まれている場合は、システムリソースを大量に使用する可能性があります。

3. 監視する 属性 を入力します。 STANDARD を入力すると、ファイル作成日、最終変更日、権限、所有者、グループ、サイズ、コンテンツ、フラグ (Windows)、およびSymLinkPath (Linux) の変更が監視されます。ファイルテンプレート属性の詳細については、ファイルテンプレートの属性 を参照してください。

カスタムテンプレート

カスタムを作成する変更監視監視するルールテンプレートディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストールされたソフトウェア、ports 、グループ、ユーザー、ファイル数、およびWQLを使用するWorkload SecurityXMLベース整合性監視ルール言語。

任意のテキストエディタでルールを作成し、完了したら Content フィールドに貼り付けます。

トレンドマイクロが発行する変更監視ルールを設定する

トレンドマイクロが発行する変更監視ルールを、作成したカスタムルールと同じ方法で編集することはできません。トレンドマイクロのルールの中には、まったく変更できないものもあれば、設定オプションが制限されているものもあります。これらのルールの種類は両方とも、[ Type ] 列に「 Defined 」と表示されますが、設定可能なルールの場合は、[変更監視] アイコン () に歯車が表示されます。

ルールの設定オプションにアクセスするには、ルールのプロパティを開き、[設定] タブをクリックします。

トレンドマイクロが発行するルールには、[一般] タブの下に補足情報も表示されます。

• ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
• ルールが機能するために必要なエージェントの最小バージョン。

トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する

変更監視 ルールによって検出された変更は、 Workload Securityにイベントとしてログに記録されます。

リアルタイムのイベント監視

初期設定では、イベントは発生時にログに記録されます。変更の検索を手動で実行している場合にのみイベントをログに記録するには、[リアルタイム監視を許可] の選択を解除します。

アラート

イベントのログを記録したときに、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。

ルールが割り当てられているポリシーとコンピュータを表示する

変更監視ルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする

すべての変更監視ルールを .csv または .xml ファイルにエクスポートするには、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。特定のルールを選択してエクスポートすることもできます。次に、[ エクスポート] をクリックし、リストから対応するエクスポートを選択します。

ルールを削除する

ルールを削除するには、 [変更監視ルール] リストでルールを右クリックし、[ 削除] 、 [ OK] の順にクリックします。

1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。