InstalledSoftwareSet

変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストール済みのソフトウェアポートグループユーザファイル、およびWQLクエリ文に対する想定外の変更を検索します。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。

インストールされたソフトウェアのセットを表します。インストールされたアプリケーションを一意に識別するために使用される「key」はプラットフォームに固有ですが、多くの場合、アプリケーション名の簡略名か一意の数値です。

Windowsの場合、キーは「FogBugz Screenshot_is1」のように読み取り可能なものでも、GUIDでもかまいません。
"{90110409-6000-11D3-8CFE-0150048383C9}"。これらを確認するには、HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstallのサブキーを確認します。

Linuxでは、このkeyはRPMパッケージ名であり、次のコマンドを入力すると表示されます。

rpm -qa --qf "%{NAME}\n"

Solarisでは、このkeyはパッケージ名であり、「pkginfo」コマンドを入力すると表示されます。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視が有効になっているコンピュータの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
onChange リアルタイムで監視するかどうかを示します。 いいえ false true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。エンティティの属性の有無は、プラットフォームとアプリケーション自体の両方に依存します。インストールプログラムが、すべての属性の値を設定する必要はありません。

  • 製造元:アプリケーションの発行元または製造元
  • 名前:アプリケーションのわかりやすい名前または表示名。Linuxでは使用できません。
  • InstalledDate:インストール日。これは、通常、YYYY-MM-DD [HH:MM:SS],Windows上の多くのインストーラは日付文字列を別の方法でフォーマットします。したがって、この形式は保証されません。(AIXでは使用できません)。
  • InstallLocation:アプリケーションがインストールされているディレクトリです。(WindowsおよびSolarisのみで使用可能)
  • :パッチとアップデートの場合、このアイテムの親のキー名が表示されます。(Windowsのみで使用可能)
  • Size:アプリケーションの推定サイズ(使用可能な場合)。Windowsでは、この属性はHKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall\*の下にある「EstimatedSize」レジストリ値から読み取られます。その場所の値はKB単位で表されるため、Agentでは1024を掛けてから値を返します。すべてのWindowsアプリケーションで、レジストリのEstimatedSizeフィールドに値が設定されるわけではありません。(AIXでは使用できません)。
  • バージョン:インストールされているアプリケーションのバージョン。Windowsでは、これは「DisplayVersion」レジストリ値に基づいています。

簡略記法による属性

次に、エンティティの簡略記法による属性と、解釈される属性を示します。

  • STANDARD: インストール日時、名前、バージョン

「key」の意味

keyは、インストールされたソフトウェアの名前です。階層型のキーではないため、**パターンは適用できません。Windowsでは、多くの場合、このkeyはGUIDです (特に、Windowsインストーラ (別名MSI) を使用してインストールされたソフトウェアの場合)。GUIDではなく表示名に基づいてincludeまたはexcludeを実行する必要がある場合は、name="XXX"機能を使用します。

次の例では、新しいソフトウェアの追加および削除を監視します。

<InstalledSoftwareSet>
<include key="\*"/>
<attributes/>
</InstalledSoftwareSet>

サブエレメント

  • Include
  • Exclude

これらのエレメントに指定できる属性とサブエレメントの「include」と「exclude」の概要は、「変更監視ルールの言語」を参照してください。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

InstalledSoftwareSetsのincludeおよびexcludeに固有の属性

名(Windowsのみ):ワイルドカード照合では?を使用できます。アプリケーションの表示名(エンティティの「名前」属性)に「」および「」を追加します。たとえば、次のとおりです。

<InstalledSoftwareSet>
<include name="Microsoft*"/>
<InstalledSoftwareSet>

コントロールパネルに表示される表示名が、「Microsoft」で始まるインストール済みアプリケーションすべてに一致します。

メーカー:ワイルドカード照合では?および * を発行元または製造元の製造元に適用します。たとえば、次のとおりです。

<InstalledSoftwareSet>
<include manufacturer="* Company "/>
<InstalledSoftwareSet>

インストールされているすべてのアプリが「Company」で終わるメーカーに一致します。