監視範囲の編集
ファイル変更監視は監視範囲を設定しない場合は動作できません。ファイル変更監視が変更をコントロールするファイルやフォルダーのパスを入力する必要があります。管理者のみがアクセス可能なオブジェクトや、めったに変更されないオブジェクトを追加することを推奨します。これにより、ファイル変更監視イベントの数を減らすことができます。
イベント数を減らすため、監視ルールに除外を設定することも可能です。除外項目は監視範囲項目よりも優先されます。たとえば、組織で使用しているアプリケーションのファイルに対して整合性を監視しようとしたと場合を想定してみます。これを行うには、製品を含むフォルダーへのパスを追加する必要があります(例:C:\Users\Testadmin\Desktop\Utilities)。このようなアプリケーションのファイルはシステムの整合性に影響がないと判断できるので、監視ルールからログファイルを除外できると考えられます。また、頻繁にログファイルが更新されると、類似したイベントが大量に記録されることになります。このような状態を避けるために、ログファイルを除外リストに追加します(例:C:\Users\Testadmin\Desktop\Utilities\*.log)。
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[ポリシー]を選択します。
- 目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
- ポリシーウィンドウで、[セキュリティコントロール]→[ファイル変更監視]の順に選択します。
- [ファイル変更監視]がオンになっていることを確認してください。
- [監視ルール]ブロックの[追加]をクリックします。
- ウィンドウが表示されるので、そのウィンドウで監視ルールを設定します:
- ルール名:「アプリケーション A の監視」などのルール名を入力します。
- イベントの深刻度:情報(
)、警告(
)、緊急(
)などのファイル変更監視が記録するイベントの重大度を選択します。 - 監視範囲:フォルダーまたはファイルのパスを入力します。
監視範囲を設定する際、ドライブ文字で始まるファイルまたはフォルダーのパス、システム環境変数を確認してください。本製品はユーザー環境変数をサポートしていません。フォルダーまたはファイルのパスが誤って指定されていると、Kaspersky Endpoint Security は指定した監視範囲を追加しません。
マスクを使用する
- 「
*」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。 - 2 つの連続した「
*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。 - 「
?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
- 「
- 除外リスト:フォルダーまたはファイルのパスを入力します。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「
*」および「?」をサポートします。除外項目は監視範囲項目よりも優先されます。
- [OK]をクリックします。
新しいルールが監視ルールのリストに追加されました。ルールのリストから監視ルールを削除しなくても監視ルールを無効にすることができます。そのためには、オブジェクトの横にあるチェックボックスをオフにします。
- 変更内容を保存します。
- Web コンソールのメインウィンドウで[デバイス]→[ポリシーとプロファイル]の順に選択します。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [セキュリティコントロール]→[ファイル変更監視]に移動します。
- [ファイル変更監視]がオンになっていることを確認してください。
- [監視ルール]ブロックの[追加]をクリックします。
- ウィンドウが表示されるので、そのウィンドウで監視ルールを設定します:
- ルール名:「アプリケーション A の監視」などのルール名を入力します。
- イベントの深刻度:情報()、警告()、緊急()などのファイル変更監視が記録するイベントの重大度を選択します。
- 監視範囲:フォルダーまたはファイルのパスを入力します。
監視範囲を設定する際、ドライブ文字で始まるファイルまたはフォルダーのパス、システム環境変数を確認してください。本製品はユーザー環境変数をサポートしていません。フォルダーまたはファイルのパスが誤って指定されていると、Kaspersky Endpoint Security は指定した監視範囲を追加しません。
マスクを使用する
- 「
*」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。 - 2 つの連続した「
*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。 - 「
?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
- 「
- 除外リスト:フォルダーまたはファイルのパスを入力します。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「
*」および「?」をサポートします。除外項目は監視範囲項目よりも優先されます。
- [OK]をクリックします。
新しいルールが監視ルールのリストに追加されました。ルールのリストから監視ルールを削除しなくても監視ルールを無効にすることができます。そうするには、オブジェクトの隣にあるトグルスイッチをオフの位置に移動します。
- 変更内容を保存します。
- メインウィンドウで、
をクリックします。 - 本製品の設定ウィンドウで、[セキュリティコントロール]→[ファイル変更監視]を選択します。
- [ファイル変更監視]がオンになっていることを確認してください。
- [監視ルール]ブロックで、[ルール設定]をクリックします。
- [監視ルール]ブロックの[追加]をクリックします。
- ウィンドウが表示されるので、そのウィンドウで監視ルールを設定します:
- ルール名:「アプリケーション A の監視」などのルール名を入力します。
- イベントの深刻度:情報()、警告()、緊急()などのファイル変更監視が記録するイベントの重大度を選択します。
- 監視範囲:フォルダーまたはファイルのパスを入力します。
監視範囲を設定する際、ドライブ文字で始まるファイルまたはフォルダーのパス、システム環境変数を確認してください。本製品はユーザー環境変数をサポートしていません。フォルダーまたはファイルのパスが誤って指定されていると、Kaspersky Endpoint Security は指定した監視範囲を追加しません。
マスクを使用する
- 「
*」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。 - 2 つの連続した「
*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。 - 「
?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
- 「
- 除外リスト:フォルダーまたはファイルのパスを入力します。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「
*」および「?」をサポートします。除外項目は監視範囲項目よりも優先されます。
- [OK]をクリックします。
新しいルールが監視ルールのリストに追加されました。ルールのリストから監視ルールを削除しなくても監視ルールを無効にすることができます。そうするには、オブジェクトの隣にあるトグルスイッチをオフの位置に移動します。
- 変更内容を保存します。