目次

変更監視

このページのトピック
変更監視を有効にして設定する
変更監視機能を有効にします
推奨設定の検索を実行する
リアルタイムスキャンの無効化
変更監視ルールを適用する
コンピュータのベースラインを構築する
変更を定期的に検索する
変更監視をテストする
変更監視検索のパフォーマンスを向上
リソース使用量を制限
コンテンツハッシュアルゴリズムを変更する
変更監視イベントのタグ付け

変更監視保護モジュールは、ファイルやWindowsレジストリのような重要なシステム領域の変更を検出し、不審な活動を示す可能性があることを検出します。このモジュールは、現在の状態を以前に記録されたベースラインの読み取り値と比較することでこれを行います。Workload Securityには、事前定義された変更監視ルールが付属しており、セキュリティアップデートで新しい変更監視ルールを提供します。

変更監視は、システムに加えられた変更を検出しますが、変更を防止したり元に戻したりすることはありません。

変更監視を有効にするには、 Workload Securityライセンスが必要です。

変更監視を有効にして設定する

変更監視は、ポリシー内で有効にすることも、コンピュータレベルで有効にすることもできます:

  1. 変更監視をオンにする
  2. 推奨スキャンを実行
  3. 変更監視ルールを適用する
  4. コンピュータのベースラインを構築する
  5. 変更を定期的に検索する
  6. 変更監視をテストする

変更監視を有効にすると、次の項目についても確認できます。

変更監視機能を有効にします

変更監視は、コンピュータの設定またはポリシーで有効にできます。

  1. ポリシーまたはコンピュータエディターを開きます。
  2. 変更監視 > 一般 に移動します。
  3. 構成については、オンまたは継承済み (オン)を選択します (ポリシー、継承、およびオーバーライド を参照)。
  4. Saveの順にクリックします。

推奨設定の検索を実行する

コンピュータで推奨設定スキャン を実行して、適切なルールの推奨設定を取得してください。推奨された変更監視ルールは、監視対象のエンティティや属性が多すぎる可能性があります。ベストプラクティスは、重要で監視すべき項目を決定し、カスタムルールを作成するか、事前定義されたルールを調整することです。プロセスIDやソースポート番号など、頻繁に変更されるプロパティを監視するルールには特に注意を払い、調整が必要な場合があります。

  1. [コンピュータ] エディタで、[変更監視][一般] に移動します。
  2. [推奨設定] で、[推奨設定の検索] をクリックします。
  3. Workload Securityで検出された推奨設定を実装するかどうかを指定します。

リアルタイムスキャンの無効化

リアルタイム変更監視スキャンを有効にして、いくつかの推奨ルールが多くのイベントを生成することがわかった場合、それらのルールのリアルタイムスキャンを無効にすることができます。

  1. ポリシー > 共通オブジェクト > ルール > 変更監視ルール に移動します。
  2. ルールをダブルクリックします。
  3. オプション タブで、リアルタイム監視を許可 ボックスをオフにします。

変更監視ルールを適用する

推奨スキャン を実行すると、Workload Securityが推奨ルールを実装するか、手動でルールを割り当てることができます。変更監視ルールは、パフォーマンスを向上させ、競合や誤検知を避けるためにできるだけ具体的にする必要があります。例えば、ハードドライブ全体をモニタするルールを作成しないでください。いくつかの変更監視ルールにはローカル設定が必要です。また、組織に関係する特定の変更をモニタするためのカスタムルールを作成することもできます。例えば、新しいユーザが追加されたり、新しいソフトウェアがインストールされたりする場合です。カスタムルールの作成方法については、変更監視ルール言語 を参照してください。これらのルールのいずれかを割り当てるか、これらのルールが自動的に割り当てられると、ルールを設定するように通知が届きます。

  1. コンピュータまたはポリシーエディタで、変更監視 > 一般 に移動します。
  2. 割り当てられた変更監視ルールのリストを確認してください。
  3. 割り当て/割り当て解除をクリックし、変更監視ルールを選択または選択解除してください。
  4. ルールをローカルで編集するには、そのルールを右クリックして [プロパティ] を選択します。
  5. ルールをグローバルに編集するには、そのルールを右クリックして [プロパティ (グローバル)] を選択します。

コンピュータのベースラインを構築する

ベースラインは、変更の検索結果と比較される元の安全な状態です。パッチを適用した後、新しいベースラインスキャンを実行する必要があります。コンピュータで変更の検索の新しいベースラインを作成するには:

  1. コンピュータエディタで、[変更監視]→[一般] に移動します。
  2. ベースラインの再構築をクリックします。

変更を定期的に検索する

次のいずれかの方法で変更監視スキャンを実行します:

  • オンデマンドスキャンは、必要に応じてオンデマンドの変更監視スキャンを開始します
  • コンピュータエディタで、変更監視 > 一般 に移動します。
  • 変更の検索で、整合性のスキャンをクリックします。
  • スケジュールされたスキャンは、他のWorkload Security操作と同様に変更監視スキャンをスケジュールします。Workload Securityはエンティティが監視されているかどうかを確認し、前回のスキャン以降の変更についてイベントを記録します。このスキャンは最後の変更のみを検出し、スキャン間の複数の変更を追跡しません。エンティティの状態に対する複数の変更を検出して報告するには、スケジュールされたスキャンの頻度を増やすか、リアルタイムスキャンを有効にすることを検討してください。スケジュールされたタスクの詳細については、Workload Securityにタスクを実行させるスケジュール を参照してください。
  • [管理]→[予約タスク]→[新規] の順に選択します。
  • 新しい予約タスクウィザードで、整合性の変更についてコンピュータをスキャンを選択します。
  • 予約検索の頻度を選択してください。
  • 新しい予約タスクウィザードによって要求される情報を指定してください。
  • リアルタイム検索はリアルタイムで変更をモニタし、検索が変更を検出すると変更監視イベントを作成します。イベントは、syslogを介してセキュリティ情報およびイベント管理 (SIEM) にリアルタイムで転送されるか、次回のWorkload Securityへのハートビート通信時に転送されます。64ビットLinuxプラットフォーム上のエージェントバージョン11.0以降および64ビットWindowsサーバー上のエージェントバージョン11.2以降では、リアルタイム検索結果にファイルを変更したユーザおよびプロセスが表示されます。この機能をサポートするプラットフォームの詳細については、プラットフォーム別サポート機能 を参照してください。

ディスク全体のリアルタイム変更監視はパフォーマンスに影響を与え、変更監視イベントが多すぎる結果になる可能性があります。トレンドマイクロは、ルートドライブ以外のフォルダを指定することを推奨します。ルートドライブ (C:) をリアルタイムでモニタする場合、Workload Security は実行可能ファイルとスクリプトのみをモニタします。

  1. コンピュータまたはポリシーエディタで、変更監視 > 一般 に移動します。
  2. リアルタイムを選択します。

変更監視をテストする

変更監視の設定を続行する前に、ルールとベースラインが正しく機能するかテストしてください:

  1. 変更監視が有効 であることを確認してください。
  2. コンピュータまたはポリシーエディタから、変更監視 > 割り当てられた変更監視ルールに移動します。
  3. [割り当て/割り当て解除] をクリックします。

  4. OSに適切なルールを有効にする:

    • Windowsの場合、1002773 - Microsoft Windows - 'Hosts'ファイルが変更されましたを検索し、ルールを有効にします。このルールは、変更が行われたときにアラートを発生させます。
      C:\windows\system32\drivers\etc\hosts.
    • Linuxの場合、1003513 - Unix - /etc場所のファイル属性の変更を検索し、ルールを有効にします。このルールは、/etc/hostsファイルに変更が加えられたときにアラートを発生させます。

  5. hostsファイルを変更して保存します。

  6. 変更監視 > 一般 に移動します。
  7. 変更の検索をクリックします。
  8. イベントとレポート > 変更監視イベント に移動します。
  9. 変更されたホストファイルの記録を確認してください。検出の記録は、変更監視が正しく機能していることを示します。

変更監視検索のパフォーマンスを向上

以下の設定を変更すると、変更監視スキャンのパフォーマンスが向上する可能性があります。

リソース使用量を制限

変更監視は、ベースラインを作成し、後の状態をベースラインと比較する際に、ローカルの中央処理装置 (CPU) リソースを使用します。変更監視が望む以上にリソースを消費している場合、CPU使用率を以下のレベルに制限することができます:

  • は一時停止せずに、ファイルを順次検索します。
  • は、CPUリソースを節約するためにファイルのスキャン間隔を一時停止します。
  • は、中設定よりもファイルのスキャン間隔が長くなります。

変更監視のCPU使用率レベルを変更するには:

  • コンピュータまたはポリシーエディタを開き、変更監視 > 高度 に移動します。

コンテンツハッシュアルゴリズムを変更する

変更監視がベースライン情報を保存するために使用するハッシュアルゴリズムを選択できます。パフォーマンスに悪影響を与えないように、複数のアルゴリズムを使用するのは避けてください。

変更監視イベントのタグ付け

イベントのタグ付けを行うと、イベントをソートしやすくなり、問題のないイベントと詳細な調査が必要なイベントを判別しやすくなります。

イベントを右クリックしてタグを追加を選択することで、イベントに手動でタグを適用できます。選択したイベントのみにタグを適用するか、類似の変更監視イベントに適用するかを選択できます。また、自動タグ付けを使用して複数のイベントをグループ化し、ラベルを付けることもできます。

これらのソースを使用してタグ付けを実行できます。

  • 信頼済みのローカルコンピュータ
  • トレンドマイクロのソフトウェア安全性評価サービス
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。

[信頼済みの共通ベースライン]は2022年1月1日をもって利用できなくなりました。2021年7月12日以前にタグ付けされたイベントはタグを保持しますが、新しい変更監視イベントにタグを付けるには他の方法を使用する必要があります。{: .note}

イベントのタグ付けの詳細については、「イベントを識別およびグループ化するためのタグの適用」を参照してください。

自動タグ付けを設定するには、[イベントとレポート] > [変更監視イベント] > [自動タグ付け] > [新しい信頼できるソース]に移動します。