ビュー:
変更監視保護モジュールは、ファイルやWindowsレジストリのような重要なシステム領域の変更を検出し、不審な活動を示す可能性がある変更を検出します。このモジュールは、現在の状態を以前に記録されたベースラインと比較することでこれを行います。Server & Workload Protectionには事前定義された変更監視ルールがあり、セキュリティ更新で新しい変更監視ルールを提供します。
変更監視はシステムに加えられた変更を検出しますが、変更を防止したり元に戻したりすることはありません。
注意
注意
変更監視を有効にするには、ワークロードライセンスが必要です。

変更監視を有効にする 親トピック

ポリシーまたはコンピュータレベルで変更監視を有効にできます。変更監視を有効にするには、いくつかの手順が含まれます。

手順

  1. 変更監視を有効にする
  2. 推奨設定の検索を実行する
  3. 変更監視ルールを適用する
  4. コンピュータのベースラインを作成する
  5. 変更を定期的に検索する定期的に変更をスキャンします。
  6. 変更監視のテスト

次に進む前に

変更監視を有効にすると、その機能について詳しく知る必要があります。

変更監視をオンにする 親トピック

変更監視はコンピュータの設定またはポリシーで有効にできます。

手順

  1. ポリシーまたはコンピュータエディタを開きます。
  2. [Integrity Monitoring ][ General]に移動します。
  3. [設定]を選択してください:
  4. [保存] をクリックします。

推奨設定の検索を実行 親トピック

コンピュータで推奨スキャンを実行して、適切なルールの推奨を取得します。推奨される変更監視ルールは、監視対象のエンティティや属性が多すぎる結果になることがあります。ベストプラクティスは、重要で監視すべきものを決定し、カスタムルールを作成するか、事前定義されたルールを調整することです。プロセスIDや送信元ポート番号など、頻繁に変更されるプロパティを監視するルールには特に注意を払ってください。これらのルールはノイズが多く、調整が必要になる場合があります。

手順

  1. コンピュータエディタから、[変更監視][一般]に移動します。
  2. [一般]タブの推奨事項の下にある[推奨設定の検索]をクリックします。
  3. Server & Workload Protectionが見つけた推奨事項を実装するかどうかを指定してください。

リアルタイムスキャンの無効化 親トピック

リアルタイム変更監視スキャンを有効にして、いくつかの推奨ルールが多くのイベントを生成することがわかった場合、それらのルールのリアルタイムスキャンを無効にすることができます。

手順

  1. [Policies ][ Common Objects ][ Rules ][ Integrity Monitoring Rules]
  2. ルールをダブルクリックします。
  3. [オプション] タブで、[リアルタイム監視を許可] ボックスをクリアします。

変更監視ルールを適用する 親トピック

推奨スキャンを実行すると、Server & Workload Protectionが推奨ルールを自動的に実装するか、手動でルールを割り当てることができます。ルールをローカルで編集して、その変更をそのコンピュータまたはポリシーにのみ適用するか、グローバルで編集して、その変更をそのルールを使用するすべてのポリシーまたはコンピュータに適用することができます。また、新しいユーザが追加されたり、新しいソフトウェアがインストールされたりするなど、組織に関係する特定の変更を監視するためのカスタムルールを作成することもできます。カスタムルールの作成方法については、変更監視ルール言語を参照してください。
一部の変更監視ルールにはローカル構成が必要です。これらのルールのいずれかをコンピュータに割り当てるか、これらのルールのいずれかが自動的に割り当てられると、ルールを構成するように通知するアラートが表示されます。
ヒント
ヒント
パフォーマンスを向上させ、競合や誤検出を回避するには、変更監視ルールをできるだけ具体的に設定する必要があります。たとえば、ハードドライブ全体を監視するルールは作成しないでください。

手順

  1. コンピュータまたはポリシーエディタで、[Integrity Monitoring ][ General]に移動します。
  2. [現在割り当てられている変更監視ルール]のリストを確認してください。
  3. ルールを割り当てるまたは割り当て解除するには:
    1. [割り当て/割り当て解除]をクリックしてください。
    2. ルールを選択または選択解除します。
  4. ルールをローカルで編集するには、ルールを右クリックして[プロパティ]を選択します。
  5. ルールをグローバルに編集するには、ルールを右クリックして[Properties (Global)]を選択します。

コンピュータのベースラインを構築する 親トピック

ベースラインは、整合性スキャンの結果と比較される元の安全な状態です。ベストプラクティスは、パッチを適用した後に新しいベースラインスキャンを実行することです。
コンピュータで整合性スキャンの新しいベースラインを作成するには:

手順

  1. コンピュータエディタで、[Integrity Monitoring ][ General]に移動します。
  2. [ベースラインの再構築]をクリックします。

変更を定期的に検索する 親トピック

次のいずれかの方法で変更監視スキャンを実行します:
  • [On-demand scans] が必要に応じてオンデマンドの変更監視スキャンを開始します。
    1. コンピュータエディタから、[変更監視][一般]に移動します。
    2. [変更の検索]の下で、[変更の検索]をクリックします。
  • [Scheduled scans]は他のServer & Workload Protection操作と同様に変更監視スキャンをスケジュールします。Server & Workload Protectionはエンティティが監視されているかどうかを確認し、前回のスキャン以降の変更についてイベントを記録します。このスキャンは最後の変更のみを検出し、スキャン間の複数の変更を追跡しません。エンティティの状態に対する複数の変更を検出して報告するには、スケジュールされたスキャンの頻度を増やすか、リアルタイムスキャンを有効にしてください。スケジュールされたタスクの詳細については、タスクを実行するためのServer & Workload Protectionのスケジュールを参照してください。
    1. [Administration ][ Scheduled Tasks ][ New]を選択します。
    2. 新しいスケジュールタスクウィザードで、[コンピュータの変更を検索]を選択します。
    3. スケジュールされたスキャンの頻度を選択してください。
    4. 新しいスケジュールタスクウィザードによって要求された情報を指定してください。
  • [Real-time scans]はリアルタイムで変更をモニタし、検索で変更を検出すると変更監視イベントを作成します。イベントは、syslogを介してセキュリティ情報およびイベント管理 (SIEM) にリアルタイムで転送されるか、次のハートビート通信時にServer & Workload Protectionに転送されます。64ビットLinuxプラットフォーム上のエージェントバージョン11.0以降および64ビットWindowsサーバー上のエージェントバージョン11.2以降では、リアルタイム検索結果にファイルを変更したユーザおよびプロセスが表示されます。この機能をサポートするプラットフォームの詳細については、プラットフォーム別サポート機能を参照してください。
    ディスク全体のリアルタイムモニタリングは、パフォーマンスに影響を与え、イベントが多すぎる結果になる可能性があります。トレンドマイクロは、ルートドライブ以外のフォルダを指定することを推奨します。ルートドライブ (C:) をリアルタイムでモニタリングする場合、Server & Workload Protectionは実行可能ファイルとスクリプトのみをモニタします。
    1. コンピュータまたはポリシーエディタから、[ Integrity Monitoring ][ General]に移動します。
    2. [リアルタイム]を選択してください。

変更監視のテスト 親トピック

変更監視の設定を続行する前に、ルールとベースラインが正しく機能していることを確認してください:

手順

  1. 変更監視が有効であることを確認してください。
  2. コンピュータまたはポリシーエディタから、[ Integrity Monitoring ][ Assigned Integrity Monitoring Rules]に移動します。
  3. [割り当て/割り当て解除]をクリックします。
  4. OSに適切なルールを有効にする:
    • Windowsの場合、[1002773 - Microsoft Windows - 'Hosts' file modified]を検索してルールを有効にします。このルールは、C:\windows\system32\drivers\etc\hosts.に変更が加えられたときにアラートを発します
    • Linuxの場合、[1003513 - Unix - File attributes changes in /etc location]を検索してルールを有効にします。このルールは、/etc/hostsファイルに変更が加えられたときにアラートを発します。
  5. hostsファイルを変更して保存します。
  6. [ Integrity Monitoring ][ General]に移動します。
  7. [変更の検索]をクリックします。
  8. [Events & Reports ][ Integrity Monitoring Events]に移動します。
  9. 変更されたホストファイルの記録を確認してください。検出の記録は、変更監視が正しく機能していることを示します。

変更監視スキャンのパフォーマンスを向上させる 親トピック

変更監視スキャンのパフォーマンスを向上させるために、以下の設定を変更できます。

リソース使用量を制限 親トピック

変更監視は、ベースラインの作成および後の状態をベースラインと比較する際に、ローカルの中央処理装置 (CPU) リソースを使用します。変更監視が望む以上にリソースを消費している場合は、CPU使用率を以下のレベルに制限することができます。
  • [高]はファイルを一つずつ休止せずにスキャンします。
  • [中]は、CPUリソースを節約するためにファイルのスキャンの合間に一時停止します。
  • [低]は、ファイルのスキャン間隔を中設定よりも長く一時停止します。
[Integrity Monitoring CPU Usage Level]を変更するには:

手順

  • コンピュータまたはポリシーエディタを開き、[Integrity Monitoring ][ Advanced]に移動します。

コンテンツハッシュアルゴリズムを変更する 親トピック

変更監視がベースライン情報を保存するために使用するハッシュアルゴリズムを選択できます。パフォーマンスに悪影響を与えないように、複数のアルゴリズムを使用することは避けてください。

変更監視イベントのタグ付け 親トピック

イベントタグ付けは、イベントを分類し、どれが正当なものであり、どれがさらに調査が必要かを判断するのに役立ちます。
イベントを右クリックして[タグの追加]を選択することで、イベントにタグを手動で適用します。選択したイベントのみにタグを適用するか、類似の変更監視イベントに適用することができます。また、自動タグ付けを使用して複数のイベントをグループ化し、ラベルを付けることもできます。
これらのソースを使用してタグ付けを行うことができます:
  • 信頼済みのローカルコンピュータ
  • トレンドマイクロのソフトウェア安全性評価サービス
  • 信頼済みの共通ベースライン。コンピュータグループから収集された、ファイルのステータスのセットです。
    2022年1月1日をもって、Trusted Common Baselineは利用できなくなりました。2021年7月12日以前にタグ付けされたイベントはタグを保持しますが、新しい変更監視イベントにタグを付けるには他の方法を使用する必要があります。
イベントのタグ付けの詳細については、「タグを適用してイベントを識別およびグループ化する

手順

  • 自動タグ付けを設定するには、[Events and Reports ][ Integrity Monitoring Events ][ Auto-Tagging ][ New Trusted Source]に移動します。