RegistryValueSet
変更監視モジュールは、への予期しない変更をスキャンしますディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、グループ、ユーザ、ファイル、 そしてそのWQLエージェントのクエリステートメント。
変更監視を有効にして設定するには、「変更監視の設定」を参照してください。
レジストリ値のセットです。Windows でのみ使用可能です。
タグ属性
次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。
| 属性 | 説明 | 必須 | 初期設定値 | 設定できる値 |
| base | RegistryValueSetのベースキーを設定します。タグ内の他のエレメントはすべて、このキーから相対的に位置付けられます。ベースはレジストリブランチ名のいずれかで始まる必要があります。 HKEY_CLASSES_ROOT(またはHKCR),) HKEY_LOCAL_MACHINE(またはHKLM),) HKEY_USERS(またはHKU),) HKEY_CURRENT_CONFIG(またはHKCC) |
○ | なし | 構文的に有効なレジストリキーに解釈される文字列値 |
エンティティセットの属性
変更監視ルールで監視できるエンティティ属性は次のとおりです。
- Size
- Type
- Sha1
- Sha256
- Md5 (非推奨)
簡略記法属性
- CONTENTS: コンピュータまたはポリシーエディタの [変更監視]→[詳細] で設定されたコンテンツハッシュアルゴリズムに解決されます。
- STANDARD: サイズ、種類、内容
keyの意味
レジストリ値は、レジストリ内のキーに格納されている名前/値のペアです。レジストリ値が格納されているキーは、さらに別のキーに格納されている場合があります。これは、ファイルシステム内でのディレクトリとファイルの関係によく似ています。この表記法では、値に対するキーパスは、ファイルに対するパスのようなものです。たとえば、AgentのInstallationFolder値へのキーパスは、次のようになります。
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent\InstallationFolder
RegistryValueSetのincludeおよびexcludesのキー値がキーパスと照合されます。これは階層パターンであり、 / で区切られたパターンのセクションが、 ""で区切られたキーパスのセクションと照合されます。
初期設定値
各レジストリキーには、不特定の値 (初期設定値) があります。
パターンの末尾に「/」を使用することで、この値を含める/除外することを明示的に指定できます。たとえば、**/ はすべての下位の名前のない値に一致し、「 Agent//」は、「 Agent」に一致するキーの下の名前のないすべての値に一致します。
レジストリ値の名前には、引用符、バックスラッシュ、「@」記号など、任意の文字が含まれている可能性があります。
Agentは、これらの文字がエンティティのキー名に含まれている場合、バックスラッシュをエスケープ記号として使用して対処しますが、この処理によってエスケープされるのはバックスラッシュ自体だけです。このように処理されるのは、バックスラッシュを含む値名と、レジストリパスの一部として使用されているバックスラッシュを区別できるようにするためです。つまり、バックスラッシュで終了する値名は、初期設定/不特定の値に対して一致するように設計されたルールと一致することになります。
次の表は、レジストリ値の名前の例と、結果として得られるエンティティキーを示しています。
| 値 | エスケープ形式 | 例 |
| Hello | Hello | HKLM\Software\Sample\Hello |
| "Quotes" | "Quotes" | HKLM\Software\Sample\"Quotes" |
| back\slash | back\\slash | HKLM\Software\Sample\back\\slash |
| trailing\ | trailing\\ | HKLM\Software\Sample\trailing\\ |
| HKLM\Software\Sample\ | ||
| @ | @ | HKLM\Software\Sample\@ |
サブエレメント
- Include
- Exclude
これらのエレメントに指定できる属性とサブエレメントの「include」と「exclude」の概要は、「変更監視ルールの言語」を参照してください。