目次

変更監視

変更監視保護モジュールは、不審なアクティビティを示している可能性があるファイルや重要なシステム領域 (Windowsレジストリなど) への変更を検出します。検出では、現在の状況が、以前に記録されたベースラインの読み取り値と比較されます。Workload Security には、事前定義済みの 変更監視 ルールと新しい 変更監視 ルールが含まれています。

変更監視は、システムに加えられた変更を検出しますが、変更を防止したり元に戻したりすることはありません。

変更監視を有効にするには、 Workload Securityライセンスが必要です。

変更監視を有効にして設定する

変更監視は、次の手順でポリシーまたはコンピュータレベルで有効にできます。

  1. 変更監視を有効にする
  2. 推奨設定の検索を実行する
  3. 変更監視ルールを適用する
  4. コンピュータのベースラインを構築する
  5. 変更を定期的に検索する
  6. 変更監視をテストする

変更監視を有効にすると、次の項目についても確認できます。

変更監視機能を有効にします

変更監視は、コンピュータの設定またはポリシーで有効にできます。これを行うには、 Policy または Computer エディタを開き、 [変更監視]→[一般]の順に選択します。 [ Configuration ] を [ On ] または [ Inherited (On)] に設定し、 [ Save] をクリックします。

変更監視設定

推奨設定の検索を実行する

コンピュータで推奨設定の検索を実行して、適切なルールに関する推奨設定を取得します。これを行うには、 Computer エディタを開き、 [変更監視]→[一般]の順に選択します。 [ Recommendations ] セクションで、 [ Scan for Recommendations] をクリックします。オプションで、検出されたルールの推奨事項をWorkload Securityが実装するように指定できます。

推奨される変更監視ルールを適用すると、監視対象のエンティティと属性が多くなりすぎる可能性があります。重要で監視すべき対象を特定し、カスタムルールを作成するかまたは事前定義されたルールを調整することをお勧めします。頻繁に変更されるプロパティ (プロセスIDや送信元ポート番号など) を監視するルールでは、検出数が多くなりがちなため、調整が必要になることがあるので、注意が必要です。

リアルタイムの変更監視の検索を有効にしていて、頻繁に変更されるディレクトリを監視しているため一部の推奨ルールで生成されるイベントが多すぎる場合は、そのルールのリアルタイム検索を無効にできます。[ポリシー]→[共通オブジェクト]→[ルール]→[変更監視ルール] に移動して、ルールをダブルクリックします。[ オプション] タブで、[ リアルタイム監視を有効にする ]チェックボックスをオフにします。

変更監視ルールを適用する

上記のとおり、推奨設定の検索を実行すると、 Workload Security で自動的に推奨ルールが実装されます。また、手動でルールを割り当てることも可能です。

Computer または Policy エディタで、 [ 変更監視]→[一般] の順に選択します。 [ 割り当て済み変更監視ルール ] セクションには、このポリシーまたはコンピュータに対して有効なルールが表示されます。変更監視ルールを追加または削除するには、[ の割り当て/割り当て解除] をクリックします。使用可能なすべての変更監視ルールを表示するウィンドウが開き、ルールを選択または選択解除できます。

変更監視ルール

トレンドマイクロが作成した変更監視ルールの中には、正しく機能させるためにローカル設定を必要とするものがあります。これらのルールのいずれかをコンピュータに割り当てた場合、またはこれらのルールのいずれかが自動的に割り当てられた場合は、設定が必要であることを通知するアラートが表示されます。

変更監視ルールは、ローカルで編集して編集中のコンピュータまたはポリシーにのみ変更内容を適用することも、グローバルに編集してルールを使用する他のすべてのポリシーまたはコンピュータに変更内容を適用することもできます。ルールをローカルで編集するには、そのルールを右クリックして [プロパティ] をクリックします。ルールをグローバルに編集するには、そのルールを右クリックして [プロパティ (グローバル)] をクリックします。

組織にとって重要な特定の変更 (新しいユーザの追加や新しいソフトウェアのインストールなど) を監視するために、カスタムルールを作成することもできます。カスタムルールの作成方法の詳細については、「変更監視ルールの言語」を参照してください。

パフォーマンスを向上させ、競合や誤検出を避けるためには、できるだけ具体的な変更監視ルールを作成します。たとえば、ハードドライブ全体を監視するルールは作成しないでください。

コンピュータのベースラインを構築する

ベースラインは、変更検索の結果を比較する元のセキュリティ状態です。コンピュータで変更検索の新しいベースラインを作成するには、 Computer エディタを開き、 [変更監視]→[一般 ] の順に選択し、 [ Rebuild Baseline] をクリックします。

パッチの適用後は、新しいベースライン検索を実行する必要があります。

現在のベースラインデータを表示するには、[ベースラインの表示] をクリックします。

2021年7月12日以降にWorkload Securityをサブスクライブし、Agentバージョン20.0.0-2593以降を使用している場合、 [ベースラインの表示 ] ボタンは表示されなくなります。 2021年7月12日より前に登録した場合、ボタンは2022年1月1日まで使用できます。

詳細については、Trend Cloud One - Endpoint & Workload Securityからの変更監視ビューのベースラインオプションの削除 を参照してください。

変更を定期的に検索する

オンデマンド検索を実行するには、 コンピュータの エディタを開き、[ 変更監視]→[一般 ] の順に選択し、[ 変更の検索]をクリックします。 定期的に検索を実行する予約タスク を作成することもできます。

変更監視をテストする

以降の変更監視設定の手順に進む前に、ルールとベースラインが正常に動作しているかどうかをテストします。

  1. 変更監視が有効になっていることを確認します。
  2. コンピュータまたはポリシーエディタ> 変更監視 >割り当てられた 変更監視 ルールに移動します。[割り当て/割り当て解除] をクリックします。
  3. Windowsユーザの場合:

    • [1002773 - Microsoft Windows - 'Hosts' file modified] を検索し、このルールを有効にします。このルールを変更すると、アラートが発生します。
      C:\windows\system32\drivers\etc\hosts.

    Linuxユーザの場合:

    • [1003513 - Unix - File attributes changes in /etc location] を検索し、このルールを有効にします。このルールは、/etc/hostsファイルに変更が加えられた場合にアラートを発令します。
  4. 上記のファイルを変更し、変更を保存します。

  5. 移動先コンピュータエディタ>変更監視>一般をクリックします。整合性の検索
  6. Events&Reports> 変更監視 Events に移動し、変更されたホストファイルのレコードを確認します。検出が記録されていれば、変更監視モジュールは正常に動作しています。

変更監視検索のタイミング

変更監視検索を実行するためのオプションは3つあります。

  • オンデマンド検索: 必要に応じて、コンピュータエディタを開き、[ 変更監視]→[一般] の順に選択して、オンデマンドの変更監視検索を開始できます。 [ 変更の検索 ] セクションで、[ 変更の検索] の順にクリックします。
  • 予約検索: 他のWorkload Security処理と同様に、変更監視検索を予約できます。 Workload Securityは、監視対象のエンティティをチェックし、前回の検索実行以降に変更があったかどうかを特定してイベントを記録します。監視対象エンティティに対する複数の変更は追跡されず、最後の変更のみが検出されます。エンティティの状態に対する複数の変更を検出してレポートするには、予約検索の頻度を増やす (たとえば、毎週ではなく毎日) ことを検討するか、頻繁に変更されるエンティティのリアルタイム検索を有効にします。変更監視検索の予約を有効にするには、 [管理]→[予約タスク]→[新規] の順に選択します。 新規予約タスク ウィザードで、[ Scan Computers for Integrity Changes] と予約検索の頻度を選択します。 新規予約タスク ウィザードで要求される情報に、必要な仕様を入力します。スケジュールされたタスクの詳細については、タスクを実行するようにワークロードセキュリティをスケジュールする を参照してください。
  • リアルタイム検索: リアルタイム検索を有効にできます。このオプションを選択すると、Workload Securityはエンティティの変更をリアルタイムで監視し、変更を検出すると変更監視イベントを発生させます。イベントは、Syslogを介してリアルタイムでSIEMに転送されるか、Workload Securityとの次のハートビート通信が発生したときに転送されます。リアルタイム検索を有効にするには、 コンピュータエディタまたはポリシーエディタで、[変更監視]→[一般 ] の順に選択し、 [ Real Time] を選択します。 Agentバージョン11.0以降を64ビットLinuxプラットフォームで使用し、Agentバージョン11.2以降を64ビットWindowsサーバで使用する場合、リアルタイム検索の結果は、ファイルを変更したユーザとプロセスを示します。この機能をサポートするプラットフォームの詳細については、プラットフォームごとにサポートされる機能 を参照してください。

ディスク全体を対象にファイルの変更をリアルタイムで監視するとパフォーマンスに影響し、変更監視イベントが大量に記録されることになります。安全対策として、ルートドライブの監視を選択した場合 (C:) をリアルタイムで実行する場合、 Workload Security は実行可能ファイルとスクリプトのみを監視します。リアルタイムですべてのファイルを監視する必要がある場合は、ルートドライブ以外のフォルダを指定してください。

変更監視検索パフォーマンスの設定

次の設定を変更すると、変更監視検索のパフォーマンスが向上する場合があります。

CPUの使用率を制限する

変更監視のシステム検索ではローカルのCPUリソースを消費します。これは、最初に初期ベースラインが作成され、その後のシステム検索時にはシステムの状態がベースラインと照合されるためです。変更監視が予想以上にリソースを消費していることが判明した場合、CPUの使用率を次のレベルに制限することができます。

  • :一時停止せずにファイルを1つずつ検索します。
  • :ファイルを検索してCPUリソースを節約するために一時停止します。
  • :ファイルを検索する間隔がメディア設定よりも長い間隔で一時停止します。

変更監視 CPU使用率 設定を変更するには、コンピュータまたはポリシーエディタを開き、[ 変更監視 ]→[高度な]に移動します。

コンテンツハッシュアルゴリズムを変更する

変更監視モジュールがベースライン情報を格納するために使用するハッシュアルゴリズムを選択できます。複数のアルゴリズムを選択できますが、パフォーマンスに悪影響を与えるため、お勧めしません。

コンテンツのハッシュアルゴリズムを変更できます。

変更監視イベントのタグ付け

変更監視 モジュールによって生成されたイベントは、 Workload Security コンソールの イベント&レポート> 変更監視 イベントに表示されます。イベントのタグ付けを行うと、イベントをソートしやすくなり、問題のないイベントと詳細な調査が必要なイベントを判別しやすくなります。

タグは、イベントを右クリックして [タグの追加] をクリックすることにより、手動でイベントに適用できます。タグを選択したイベントにのみ適用するか、同様のすべての変更監視イベントに適用するかを選択できます。

また、自動タグ付け機能を使用し、複数のイベントをグループ化してラベルを付けることもできます。この機能を Workload Security コンソールで設定するには、[ イベントとレポート]→[ 変更監視 イベント]→[自動タグ設定]→[新しい信頼するソース]に移動します。タグ付けの実行に使用できるソースは3つあります。

  • 信頼済みのローカルコンピュータ
  • トレンドマイクロのソフトウェア安全性評価サービス
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。

イベントのタグ付けの詳細については、「イベントを識別およびグループ化するためのタグの適用」を参照してください。