変更監視ルールの作成と編集

ファイルとフォルダー、レジストリキー、値に対して、監視の範囲および監視の範囲からの除外リストを作成することで、変更監視ルールを作成できます。変更監視ルールを作成またはインポートした後で、必要に応じてルールの設定を変更できます。

Kaspersky Security Center から変更監視ルールを作成または編集するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護された仮想マシンが所属する管理グループと同じ名前のフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. Light Agent for Windows ポリシーのプロパティウィンドウで、左のリストから[変更監視]を選択します。
  6. 次のいずれかのセクションで、[ファイルとレジストリを監視する]の右側にある[設定]をクリックします:
    • 変更監視の範囲]セクション(リアルタイムでの変更監視ルールを設定する場合)。
    • 変更チェック範囲]セクション(変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合)。

    変更監視ルール]ウィンドウが開きます。

  7. 次のいずれかの手順を実行します:
    • 変更監視ルールを作成する場合は、ルールのリストの上にある[追加]をクリックします。
    • 変更監視ルールを編集するには、リストからルールを選択し、[編集]をクリックします。

    変更監視ルール]ウィンドウが開きます。

  8. ルール名を入力し、このルールが適用されたときに変更監視によって生成されるイベントの重要度を選択します。既定では、[情報]イベントが生成されます。
  9. ファイル]タブでファイルとフォルダーの変更監視の範囲を設定します。

    Kaspersky Security が変更を監視するファイルまたはフォルダーを追加するには:

    1. ファイル]タブの[監視の範囲]の上にある[追加]をクリックします。

      ファイルまたはフォルダー]ウィンドウが開きます。

    2. 変更を監視する必要があるフォルダーの絶対パス、またはフォルダーのパスのマスクを入力します。

      パスのマスクを入力する場合、パスの任意の部分で次の文字を使用できます:

      • *」は \ / : ? " < > | * 以外の任意の文字列を表します。加えて:
        • *」がパスの要素全体の名前を示すために使用されている場合(たとえば、フォルダー名を示すための /*/)、1 文字以上の文字列を表すことができます。
        • *」がパス要素の名前の一部を示すために使用されている場合(たとえば、フォルダー名の一部を示すための /abc*/)、0 文字以上の文字列を表すことができます。
      • ?」は任意の 1 文字と置き換えることができます。

      フォルダーのパスの入力では、環境変数を使用できます。環境変数名の前後に「%」を入力する必要があります。

    3. 指定されたフォルダー内のファイルの変更を監視する必要がある場合は、[ファイル名またはファイルマスク]でファイル名またはファイルのマスクを入力します。

      マスクを入力する場合、次の文字を使用できます:

      • * – ゼロ文字以上の文字列を表します。\ / : ? " < > | * 以外の任意の文字列を表します。
      • ? – 任意の 1 文字を表します。

      ネストされたフォルダー内の指定されたファイルに対する変更も監視する場合は、[サブフォルダー中のファイルを含める]をオンにします。

    4. ファイルまたはフォルダー]ウィンドウで[OK]をクリックします。

    ファイルまたはフォルダーのパスが、[監視の範囲]のパスのリストに表示されます。

    Kaspersky Security は、リアルタイムでの変更監視の開始時点(ポリシーが適用されたとき、またはリアルタイムでの変更監視が有効になったとき)に電源が入っていたドライブ上のファイルやフォルダーの変更のみを監視します。リアルタイムでの変更監視の開始時点でドライブの電源が入っていなかった場合、そのドライブ上のファイルやフォルダーの変更は、ファイルやフォルダーが監視範囲に追加された場合でも、監視されません。

    リストでキーワード検索を実行し、[削除]を使用して、リストからファイルとフォルダーを削除できます。

  10. 必要に応じて、監視の範囲から除外されるファイルまたはフォルダーのパスのリストを同じように設定できます。Kaspersky Security は、[除外リスト]でパスのリストに追加されているファイルとフォルダーの変更を監視しません。

    除外のリストを設定するには、[ファイル]タブの[除外リスト]の上にある[追加]および[削除]を使用します。

  11. レジストリ]タブでレジストリキーと値の変更監視の範囲を設定します。

    Kaspersky Security が変更を監視するレジストリキーまたはキーのパラメータを追加するには:

    1. レジストリ]タブの[監視の範囲]の上にある[追加]をクリックします。

      レジストリキー]ウィンドウが開きます。

    2. 変更を監視する必要があるレジストリキーの名前を入力します。

      HKEY_CURRENT_USER キーはサポートされません。HKEY_USER から次のようにレジストリキーへのパスを指定できます:HKEY_USERS\<ユーザープロファイルID>\<key>

    3. Kaspersky Security でネストされたキーも監視する場合は、[ネストされたキーを含める]をオンにします。
    4. 指定されたキーのパラメータに対する変更を監視する必要がある場合は、[キーパラメータの名前またはマスク]でパラメータの名前またはマスクを入力します。

      マスクを入力するときに、ワイルドカード *(任意の文字列)および? (任意の単一文字)を使用できます。

    5. レジストリキー]ウィンドウで[OK]をクリックします。

    キーおよびキーのパラメータの名前(指定された場合)が、[監視の範囲]のキーおよびレジストリの値のリストに表示されます。

    リストでキーワード検索を実行し、[削除]を使用して、リストからキーを削除できます。

  12. 必要に応じて、監視の範囲から除外されるキーとレジストリの値のリストを同じように設定できます。Kaspersky Security は、[除外リスト]でパスのリストに追加されるキーとレジストリの値の変更を監視しません。

    除外のリストを設定するには、[レジストリ]タブの[除外リスト]の上にある[追加]および[削除]を使用します。

  13. 変更監視ルール]ウィンドウで[OK]をクリックします。

    ルールが、[変更監視ルール]ウィンドウのルールのリストに表示されます。

  14. 変更監視ルール]ウィンドウで[OK]をクリックします。
  15. 適用]をクリックします。

ローカルインターフェイスから変更監視ルールを作成または編集するには:

  1. 保護された仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[エンドポイントコントロール]セクションで、[変更監視]を選択します。

    ウィンドウの右側に、変更監視の設定が表示されます。

  3. 次のいずれかの手順を実行します:
    • リアルタイムでの変更監視ルールを設定する場合は、[変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。
    • 変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合は、[変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。

    変更監視ルール]ウィンドウが開きます。

  4. 前の手順のステップ 7 ~ 14 を実行します。

    ローカルインターフェイスで設定を行えない場合は、ポリシーによって定義された設定の値が、管理グループのすべての保護された仮想マシンに対して使用されていることを意味します。

  5. 変更を保存するには[保存]をクリックします。
ページのトップに戻る