目次

RegistryKeySet

整合性監視モジュールは、ディレクトリレジストリ値、レジストリ キー、サービスプロセスインストールされているソフトウェアポートグループユーザーファイル、エージェント上の WQL クエリ ステートメント。

変更監視を有効にして設定する方法については、変更監視の設定 を参照してください。

RegistryKeySetタグは、レジストリ内の設定されたキーを示します。 Windowsでのみ使用できます。

タグ属性

次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。

属性 説明 必須 初期設定値 設定できる値
base RegistryKeySetのベースキーを設定します。タグ内の他のエレメントはすべて、このキーから相対的に位置付けられます。ベースは、次のいずれかのレジストリブランチ名で始まる必要があります。
  • HKEY_CLASSES_ROOT (またはHKCR)
  • HKEY_LOCAL_MACHINE (またはHKLM)
  • HKEY_USERS (またはHKU)
  • HKEY_CURRENT_CONFIG (またはHKCC)
はい なし 構文的に有効なレジストリキーパスに解釈される文字列値

エージェントはローカルシステムアカウントを使用してサービスとして実行されるため、 HKEY_CURRENT_USERは無意味です。レジストリのHKCUブランチは、対話型ログオンユーザに対してのみ有効であり、そのユーザに固有です。 Windowsターミナルサーバ環境、またはユーザの簡易切り替えが有効なWindows XPおよびVistaでは、複数の異なるユーザが同時にログオンする可能性がありました。このため、エージェントはHKEY_CURRENT_USERを含むルールをコンパイルエラーと判断します。

HKEY_USERS の下には、WindowsユーザアカウントIDの数値形式を使用して名前が付けられたサブキーがいくつかあります。ユーザがログオンすると、ユーザのログオンセッション中に、これらのサブキーの1つがHKCUにマップされます。

ルールのベースで HKEY_USERS を使用して、ユーザごとのレジストリ項目を監視できます。ただし、これらのルールは多くのエントリに一致する可能性があります。...\Software\Classes ブランチは、特にHKLMの下では非常に大きいため、すべての Software\Classesをトラバースする必要があるルールは避けてください。

エンティティセットの属性

変更監視ルールで監視できるエンティティの属性は次のとおりです。

  • Owner
  • Group
  • Permissions
  • LastModified (Windowsレジストリ用語ではLastWriteTime)
  • Class
  • SecurityDescriptorSize

簡略記法属性

  • STANDARD: グループ、所有者、権限、最終変更日時

キーの意味

レジストリキーは、ファイルシステムのディレクトリと同じように、階層的にレジストリに格納されます。この言語では、キーへのキーパスはディレクトリへのパスと同じように扱われます。たとえば、エージェントの Deep Security Agent キーへのキーパスは次のようになります。

HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent

RegistryValueSetのincludeおよびexcludesのキー値がキーパスと照合されます。これは階層パターンであり、 / で区切られたパターンのセクションが、 ""で区切られたキーパスのセクションと照合されます。

サブエレメント

  • Include
  • Exclude

許可される属性およびサブ要素のincludeの一般的な説明については、整合性監視ルール言語 を参照してください。