RegistryKeySet

変更監視モジュールは、への予期しない変更をスキャンしますディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、グループ、ユーザ、ファイル、 そしてそのWQLエージェントのクエリステートメント。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。

RegistryKeySetタグは、レジストリ内のセットキーを記述します (Windowsのみ)。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

エージェントはローカルシステムアカウントを使用してサービスとして実行されるため、HKEY_CURRENT_USER は無意味です。レジストリのHKCUブランチは、対話型ログオンユーザに対してのみ有効であり、そのユーザに固有です。Windowsターミナルサーバ環境、または「高速ユーザ切り替え」が有効になっているWindows XPおよびVistaでは、複数の異なるユーザが同時にログオンする可能性がありました。このため、エージェントは HKEY_CURRENT_USER を含むルールをコンパイルエラーとして通知します。

HKEY_USERS の下には、WindowsユーザアカウントIDの数値形式を使用して名前が付けられたサブキーがいくつかあります。ユーザがログオンすると、ユーザのログオンセッション中に、これらのサブキーの1つがHKCUにマップされます。

ルールのベースで HKEY_USERS を使用して、ユーザごとのレジストリ項目を監視できます。ただし、これらのルールは多くのエントリに一致する可能性があります。...\Software\Classes ブランチは、特にHKLMの下では非常に大きいため、すべての Software\Classesをトラバースする必要があるルールは避けてください。

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

• Owner
• Group
• Permissions
• LastModified (Windowsレジストリでは「LastWriteTime」と呼ばれます)
• Class
• SecurityDescriptorSize

簡略記法による属性

• STANDARD： グループ、所有者、権限、最終変更日時

「key」の意味

レジストリキーは、ファイルシステム内のディレクトリのように、レジストリ内に階層的に格納されています。この言語では、キーに対する「キーパス」は、ディレクトリに対するパスのようなものだとみなされています。たとえば、エージェントの「Deep Security Agent」キーへの「キーパス」は次のようになります。

HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent

このキーパスに対して、RegistryValueSetのincludeおよびexcludeの「キー」値が照合されます。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンであり、「/」で区切られたキーパスのセクションに対して照合されます。

サブエレメント

• Include
• Exclude

これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、「変更監視ルールの言語」を参照してください。