変更監視ルールを作成する

変更監視 ルールは、 Deep Security Agentがコンピュータのファイル、ディレクトリ、レジストリキーと値の変更、およびインストールされているソフトウェア、プロセス、待機ポート、および実行中のサービスの変更を検索および検出する方法を示します。変更監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。

このトピックでは、 変更監視 ルールの作成方法について具体的に説明します。変更監視モジュールの設定方法については、「変更監視の設定」を参照してください。

変更監視ルールには、ユーザ自身が作成したルールとトレンドマイクロが発行するルールの2種類があります。トレンドマイクロが発行するルールの設定方法については、「トレンドマイクロが発行する変更監視ルールを設定する」セクションを参照してください。

新しい 変更監視 ルールを作成するには、次の手順を実行する必要があります。

  1. 新しいルールを追加する
  2. Enter 変更監視 ルール情報
  3. ルールテンプレートを選択し、ルールの属性を定義する

ルールの設定が完了したら、次の方法も学習できます。

新しいルールを追加する

Policies> Common Objects> Rules> 変更監視 Rules ページに、 変更監視 ルールを追加する方法は3つあります。次の手順を実行します。

  • 新しいルールを作成します。[新規]→[新規 変更監視 ルール]の順にクリックします。
  • XMLファイルからルールをインポートします。[新規]→[ファイルからインポート]の順にクリックします。
  • 既存のルールをコピーして変更します。[ 変更監視 ルール]リストでルールを右クリックし、[複製]をクリックします。新しいルールを編集するには、ルールを選択して[プロパティ]をクリックします。

変更監視ルール情報を入力する

  1. ルールの [名前][説明] を入力します。

    すべての変更監視ルールへの変更をルールの [説明] フィールドに記録することを推奨します。メンテナンスを簡単にするため、ルールを作成または削除した日付とその理由を記録してください。

  2. ルールの [重要度] を設定します。

    ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、変更監視ルールのリストを表示するときに条件をソートする際に役立ちます。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します([管理]→[システム設定]→[ランク付け] を参照してください)。

ルールテンプレートを選択し、ルールの属性を定義する

[コンテンツ] タブに移動し、次の3つのテンプレートのいずれかを選択します。

レジストリ値テンプレート

特にレジストリ値への変更を監視する変更監視ルールを作成します。

レジストリ値テンプレートは、Windowsベースのコンピュータのみに適用されます。

  1. 監視する [基本キー]、およびサブキーのコンテンツを監視するかどうかを選択します。
  2. 含まれる、または除外される [値の名前] が一覧表示されます。ワイルドカード文字として「?」および「*」を使用できます。
  3. 監視する [属性] を入力します。「STANDARD」と入力すると、レジストリサイズ、コンテンツ、種類への変更が監視されます。レジストリ値のテンプレート属性の詳細については、 RegistryValueSet のドキュメントを参照してください。

ファイルテンプレート

特にファイルへの変更を監視する変更監視ルールを作成します。

  1. ルールのベースディレクトリを入力します(例:C:\Program Files¥MySQL)。サブディレクトリを含めるを選択すると、ベースディレクトリに対するすべてのサブディレクトリの内容が含まれます。ベースディレクトリではワイルドカードはサポートされていません。
  2. 特定のファイルを含める、または除外するには、[ファイル名] フィールドを使用します。ワイルドカード( "?")を使用できます。 "、1文字以上の場合は" * "です。

    [ファイル名] フィールドを空白のままにすると、基本ディレクトリ内のすべてのファイルが監視されます。この場合、基本ディレクトリに多数のファイルが含まれていると、大量のシステムリソースが消費されます。

  3. 監視する [属性] を入力します。「STANDARD」と入力すると、ファイル作成日、最終更新日、権限、所有者、サイズ、コンテンツ、フラグ (Windows)、SymLinkPath (Linux) が監視されます。File template attributesの詳細については、 FileSet のドキュメントを参照してください。

カスタム (XML) テンプレート

カスタムを作成する変更監視監視するルールテンプレートディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェア portsグループユーザーファイル数、およびWQLを使用するWorkload SecurityXMLベース整合性監視ルール言語

ルールを希望のテキストエディタで作成し、実行したら[コンテンツ]フィールドに貼り付けることができます。

トレンドマイクロが発行する変更監視ルールを設定する

トレンドマイクロが発行する変更監視ルールは、作成したカスタムルールと同じ方法では編集できません。トレンドマイクロのルールには、まったく変更できないものと、限定的な設定オプションが提供されているものがあります。どちらのルールタイプも[種類]列の下に[定義済み]として表示されますが、設定可能なルールは[ 変更監視 ]アイコン()に歯車が表示されます。
im-rule-types

ルールの設定オプションにアクセスするには、ルールのプロパティを開き、[設定] タブをクリックします。

トレンドマイクロが発行するルールには、[一般] タブの下に補足情報も表示されます。

  • ルールがはじめて発行された日付と、最後に更新された日付、およびルールの一意のID。
  • ルールが機能するために必要なエージェントの最小バージョン。

トレンドマイクロが発行するルールは編集できませんが、複製した後にそのコピーを編集することはできます。

ルールイベントとアラートを設定する

変更監視 ルールによって検出された変更は、 Workload Securityにイベントとしてログに記録されます。

リアルタイムのイベント監視

初期設定では、イベントは発生時にログに記録されます。変更の検索を手動で実行している場合にのみイベントをログに記録するには、[リアルタイム監視を許可] の選択を解除します。

アラート

イベントのログを記録したときに、アラートもトリガするようにルールを設定できます。アラートを設定するには、ルールのプロパティを開き、[オプション] をクリックしてから、[このルールによってイベントが記録された場合にアラート] を選択します。

ルールが割り当てられているポリシーとコンピュータを確認する

変更監視ルールに割り当てられているポリシーとコンピュータは、[割り当て対象] タブで確認できます。リスト内のポリシーまたはコンピュータをクリックすると、そのプロパティが表示されます。

ルールをエクスポートする

すべての変更監視ルールを、.csvまたは.xmlファイルにエクスポートするには、[エクスポート] をクリックし、リストから対応するエクスポート処理を選択します。特定のルールを選択し、[エクスポート] をクリックして、リストから該当するエクスポート処理を選択すると、特定のルールをエクスポートすることもできます。

ルールを削除する

ルールを削除するには、[変更監視ルール] リストで該当のルールを右クリックしてから、[削除][OK] の順にクリックします。

1台以上のコンピュータに現在割り当てられている変更監視ルール、またはポリシーの一部である変更監視ルールは削除できません。