システム変更監視により、オペレーティングシステムの変更をリアルタイムで追跡できます。コンピューターでのセキュリティ侵害を示す可能性がある変更を追跡することが可能です。このコンポーネントを使用すると、これらの変更をブロックすることも、変更イベントをただログ記録することもできます。
システム変更監視が機能するには、ルールを少なくとも 1 つ追加する必要があります。システム変更監視ルールとは、ファイルおよびレジストリへのユーザーのアクセスを定義する一連の条件です。システム変更監視は、指定された監視範囲内のファイルとレジストリの変更を検知します。監視範囲は、システム変更監視ルールの条件の 1 つです。
リアルタイムシステム変更監視モード
システム変更監視ルールにより、オペレーティングシステムやその他のサービスの機能にとって重要なリソースに対する操作がブロックされないようにするには、テストモードを有効化し、コンポーネントがシステムに与える影響について分析することを推奨します。テストモードをオンにすると、Kaspersky Endpoint Security はルールで禁止されているユーザー動作をブロックせず、代わりに警告 イベントを生成します。
リアルタイムシステム変更監視コンポーネントには、次の 2 つのモードがあります:
このモードで、システム変更監視はシステムの変更を追跡し、ルールに従って操作を実行します:許可またはブロック。システム変更監視はまた、対応するイベントを生成し、Kaspersky Security Center コンソールでデバイスのステータスを変更します。
このモードで、システム変更監視は、監視範囲内のファイルとレジストリキーに対する操作を許可します。ファイルやレジストリに対する操作が禁止されている場合、本製品は次のイベントを生成します:テストモードで禁止された操作が許可されました。ルールがシステムにどのような影響を与えるかを分析するには、レポートを確認できます。
リアルタイムシステム変更監視の有効化
管理コンソール(MMC)でリアルタイムシステム変更監視を有効にする方法
Web コンソールでリアルタイムシステム変更監視を有効にする方法
本製品のインターフェイスでリアルタイムシステム変更監視を有効にする方法
リアルタイムシステム変更監視ルールの設定
パラメータ |
説明 |
---|---|
ルール名 |
リアルタイムシステム変更監視ルールの名前 |
レジストリによる操作 |
|
イベントの深刻度 |
Kaspersky Endpoint Security は、監視範囲内のファイルまたはレジストリキーが変更された場合にファイル変更イベントを記録します。情報 、警告 、緊急 のイベントセキュリティレベルが利用可能です。 |
監視範囲 |
|
除外リスト |
|
信頼するユーザーまたはユーザーグループ |
信頼済みユーザーとは、監視範囲内のファイルとレジストリキーに対して操作を実行することが許可されたユーザーです。Kaspersky Endpoint Security が信頼済みユーザーによる操作を検知すると、システム変更監視は情報 イベントを生成します。 ユーザーは、Active Directory または Kaspersky Security Center のアカウントのリストで選択するか、ローカルユーザー名を手入力して選択することができます。ローカルユーザーアカウントを使用するのは、ドメインユーザーアカウントを使用できない特別な状況のみにすることを推奨します。 |
ファイル操作マーカー / 監視対象の操作 |
本製品が監視するファイルまたはレジストリキーに対する操作を特徴付けるマーカー。 |
ハッシュ |
編集時にファイルのハッシュを計算します。Kaspersky Endpoint Security は、イベントが生成されるとファイルのハッシュに関する情報を追加します。 |