このページのトピック
RegistryKeySet
変更監視モジュールは、への予期しない変更をスキャンしますディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、グループ、ユーザ、ファイル、 そしてそのWQLエージェントのクエリステートメント。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。
RegistryKeySetタグは、レジストリ内のセットキーを記述します (Windowsのみ)。
タグ属性
次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性 | 説明 | 必須 | 初期設定値 | 設定できる値 |
base | RegistryKeySetのベースキーを設定します。タグ内の他のエレメントはすべて、このキーから相対的に位置付けられます。ベースは、次のいずれかのレジストリブランチ名で始まる必要があります。 HKEY_CLASSES_ROOT (またはHKCR)、 HKEY_LOCAL_MACHINE (またはHKLM)、 HKEY_USERS (またはHKU)、 HKEY_CURRENT_CONFIG (またはHKCC) |
はい | なし | 構文的に有効なレジストリキーパスに解釈される文字列値 |
//: # (エージェントはローカルシステムアカウントを使用してサービスとして実行されるため、HKEY_CURRENT_USERは無意味です。レジストリのHKCUブランチは、ログオンしている対話型のユーザに対してのみ有効で、そのユーザだけに限定されます。Windowsターミナルサーバ環境、または「高速ユーザ切り替え」が有効になっているXPおよびVistaでは、複数の異なるユーザを同時にログオンできます。その結果、Agentは、HKEY_CURRENT_USERを使用している任意のルールにコンパイルエラーがあるとフラグを付けます。)
//: # (HKEY_USERSには、Windowsユーザアカウントの数値形式で指定されたいくつかのサブキーがあります。ユーザがログオンすると、そのサブキーの1つがユーザのログオンセッションの間HKCUにマップされます。)
//: # (ルールでは、ベースごとにHKEY_USERSを使用してユーザごとのレジストリ項目を監視できますが、ルールが膨大な数のエントリに一致する可能性があることに注意してください。特に、 "...\Software\Classes"ブランチは膨大で、特にHKLMの下では大規模なので、 "Software\Classes"をすべて通過するルールを使用しないようにしてください。)
エンティティセットの属性
次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。
- Owner
- Group
- Permissions
- LastModified (Windowsレジストリでは「LastWriteTime」と呼ばれます)
- Class
- SecurityDescriptorSize
簡略記法による属性
- STANDARD: グループ、所有者、権限、最終変更日時
「key」の意味
レジストリキーは、ファイルシステム内のディレクトリのように、レジストリ内に階層的に格納されています。この言語では、キーに対する「キーパス」は、ディレクトリに対するパスのようなものだとみなされています。たとえば、エージェントの「Deep Security Agent」キーへの「キーパス」は次のようになります。
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent
このキーパスに対して、RegistryValueSetのincludeおよびexcludeの「キー」値が照合されます。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンであり、「/」で区切られたキーパスのセクションに対して照合されます。
サブエレメント
- Include
- Exclude
これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、「変更監視ルールの言語」を参照してください。