RegistryValueSet

変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストール済みのソフトウェアポートグループユーザファイル、およびWQLクエリ文に対する想定外の変更を検索します。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。

レジストリ値のセットです (Windowsのみ)。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
base RegistryValueSetのベースキーを設定します。タグ内の他のエレメントはすべて、このキーから相対的に位置付けられます。ベースはレジストリブランチ名のいずれかで始まる必要があります。
HKEY_CLASSES_ROOT(またはHKCR),)
HKEY_LOCAL_MACHINE(またはHKLM),)
HKEY_USERS(またはHKU),)
HKEY_CURRENT_CONFIG(またはHKCC)
なし 構文的に有効なレジストリキーに解釈される文字列値

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

  • Size
  • Type
  • Sha1
  • Sha256
  • Md5 (非推奨)

簡略記法による属性

  • CONTENTS: コンピュータまたはポリシーエディタの[ 変更監視 ]→[Advanced]で設定されたコンテンツハッシュアルゴリズムに解決されます。
  • STANDARD: サイズ、種類、内容

「key」の意味

レジストリ値は、レジストリ内のキーに格納されている名前/値のペアです。レジストリ値が格納されているキーは、さらに別のキーに格納されている場合があります。これは、ファイルシステム内でのディレクトリとファイルの関係によく似ています。この表記法では、値に対する「キーパス」は、ファイルに対するパスのようなものです。たとえば、AgentのInstallationFolder値への「キーパス」は、次のようになります。

HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\Deep Security Agent\InstallationFolder

このキーパスに対して、RegistryValueSetのincludeおよびexcludeの「キー」値が照合されます。このパターンは、「/」で区切られたパターンのセクションからなる階層型のパターンであり、「/」で区切られたキーパスのセクションに対して照合されます。

初期設定値

各レジストリキーには、不特定の値 (初期設定値) があります。

パターンの末尾に「/」を使用することで、この値を含める/除外することを明示的に指定できます。たとえば、, **/ はすべての下位の名前のない値に一致し、「 Agent//」は、「 Agent」に一致するキーの下の名前のないすべての値に一致します。

レジストリ値の名前には、引用符、バックスラッシュ、「@」記号など、任意の文字が含まれている可能性があります。

Agentは、これらの文字がエンティティのキー名に含まれている場合、バックスラッシュをエスケープ記号として使用して対処しますが、この処理によってエスケープされるのはバックスラッシュ自体だけです。このように処理されるのは、バックスラッシュを含む値名と、レジストリパスの一部として使用されているバックスラッシュを区別できるようにするためです。つまり、バックスラッシュで終了する値名は、初期設定/不特定の値に対して一致するように設計されたルールと一致することになります。

次の表に、レジストリ値の名前と生成されるエンティティキーの例を示します。

エスケープ形式
Hello Hello HKLM\Software\Sample\Hello
"Quotes" "Quotes" HKLM\Software\Sample\"Quotes"
back\slash back\\slash HKLM\Software\Sample\back\\slash
trailing\ trailing\\ HKLM\Software\Sample\trailing\\
HKLM\Software\Sample\
@ @ HKLM\Software\Sample\@

サブエレメント

  • Include
  • Exclude

これらのエレメントに指定できる属性とサブエレメントの「include」と「exclude」の概要は、「変更監視ルールの言語」を参照してください。