目次
このページのトピック

変更監視

変更監視 モジュールを設定して、ポリシーの動作を定義します。モジュールの動作を設計し、APIを使用して実装する場合は、 About 変更監視に記載されているのと同じ背景情報とガイダンスを使用してください。

ポリシーオブジェクトには、 変更監視 モジュールの設定に使用する2つのオブジェクトが含まれます。

  • IntegrityMonitoringPolicyExtension:モジュールの状態(リアルタイム、オン、またはオフ)を制御し、モジュールに割り当てられた 変更監視 ルールを識別します。
  • PolicySettings: ポリシー設定には、推奨設定の検索の適用、リアルタイム検索の有効化の有無、パフォーマンス関連の設定、使用するSyslog設定など、モジュールの実行時の動作を制御する変更監視関連の設定が多数含まれています。 ポリシーと初期設定のポリシー設定 を参照してください。

これらのオブジェクトを作成してPolicyオブジェクトに追加したら、 PoliciesApi クラスを使用して Policy オブジェクトに基づいて既存のポリシーを変更します。

次のJSONは、 IntegrityMonitoringPolicyExtension オブジェクトのデータ構造を表します。

{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}

moduleStatus プロパティは読み取り専用です。変更監視モジュールの実行時のステータスが表示されます。 コンピュータのステータスに関するレポート]を参照してください。

一般手順

変更監視 モジュールを設定するには、次の手順を実行します。

  1. IntegrityMonitoringPolicyExtension オブジェクトを作成し、プロパティ値を設定します。
  2. PolicySettings オブジェクトを作成して、モジュールの実行時設定を行います。 ポリシーと初期設定のポリシー設定 を参照してください。
  3. Policy オブジェクトを作成し、 IntegrityMonitoringPolicyExtension オブジェクトと PolicySettings オブジェクトを追加します。
  4. PoliciesApi オブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。

IntegrityMonitoringPolicyExtension オブジェクトを作成し、モジュールの状態を設定します。

python policy_config_integrity_monitoring = api.IntegrityMonitoringPolicyExtension()
policy_config_integrity_monitoring.state = "on"

ルールIDを設定します。ポリシーに現在割り当てられている 変更監視 ルールは上書きされます。

python policy_config_integrity_monitoring.rule_ids = im_rule_ids

この時点で、変更監視ポリシー拡張が設定されました。次に、 Policy オブジェクトに追加されます。次に、 PoliciesApi オブジェクトを使用して、Workload Securityのポリシーを変更します。

python policy = api.Policy()
policy.integrity_monitoring = policy_config_integrity_monitoring

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

modifyPolicypolicy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。

次の例では、 変更監視 を有効にし、 IntegrityMonitoringPolicyExtension オブジェクトのルールIDを設定します。オブジェクトが Policy オブジェクトに追加されます。このオブジェクトは、 Workload Securityでポリシーを更新するために使用されます。

ソースを表示

# Turn on Integrity Monitoring
policy_config_integrity_monitoring = api.IntegrityMonitoringPolicyExtension()
policy_config_integrity_monitoring.state = "on"

# Add the rule IDs
policy_config_integrity_monitoring.rule_ids = im_rule_ids

# Add to a policy
policy = api.Policy()
policy.integrity_monitoring = policy_config_integrity_monitoring

# Modify the policy on Workload Security

policies_api = api.PoliciesApi(api.ApiClient(configuration))

modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

return modified_policy.id

「APIレファレンス/参照情報」の ポリシーの変更 操作も参照してください。

ポリシーの 変更監視 ルールのみを追加、削除、またはリストする必要がある場合は、 PolicyIntegrityMonitoringRuleAssignmentsApi クラスを使用します。前の例では、 IntegrityMonitoringPolicyExtension, Policyクラスと PoliciesApi クラスを使用してルールを設定していますが、 PolicyIntegrityMonitoringRuleAssignmentsApi クラスのみを使用してルールを設定することもできます。詳細については、APIリファレンスの[Policies]セクションの Policy 変更監視 ルール割り当ておよび 推奨設定 をレファレンス/参照情報。

API呼び出しの認証の詳細については、 Workload Securityを参照してください。

変更監視 ルールの作成

一般に、 変更監視 モジュールのルールを作成するには、次の手順を実行します。

  1. IntegrityMonitoringRule オブジェクトを作成します。
  2. ルールのプロパティを設定します。ルールについては、 変更監視 ルールの作成で説明しています。
  3. ルールを Workload Securityに追加するには、 IntegrityMonitoringRulesApi オブジェクトを使用します。

ルールオブジェクトの Template プロパティを設定して、ルールの定義方法を指定します。

  • ファイル: ルールオブジェクトのプロパティを設定して、ファイルに対する変更を監視する方法を定義します。
  • レジストリ: ルールオブジェクトのプロパティを設定して、Windowsレジストリ値の変更を監視する方法を定義します。
  • カスタム: ディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストールされているソフトウェア、ポート、およびファイルに対する変更を監視する方法を定義する、XML(base64エンコード)を提供します。カスタムXMLは、ルールオブジェクトの CustomXML プロパティの値として使用されます。XMLをbase64エンコードする必要があります。

セキュリティログ監視 ルールには、 変更監視 ルールとは異なるプロパティがありますが、ルールを作成する方法は似ています。 基本的なセキュリティログ監視 ルール および XMLを使用したセキュリティログ監視 ルール の例を参考にしてください。

変更監視 ルールには、APIを使用してアクセスすることはできません。これらのオプションを変更するには、 Workload Security コンソールでルールのプロパティを開き、[設定]タブをクリックします。

APIを使用して変更監視ルールを作成するには、POST要求を integritymonitoringrules エンドポイントに送信します。 「APIレファレンス/参照情報」の 変更監視ルールの作成 オペレーションを参照してください。