リアルタイムシステム変更監視

システム変更監視により、オペレーティングシステムの変更をリアルタイムで追跡できます。コンピューターでのセキュリティ侵害を示す可能性がある変更を追跡することが可能です。このコンポーネントを使用すると、これらの変更をブロックすることも、変更イベントをただログ記録することもできます。

システム変更監視が機能するには、ルールを少なくとも 1 つ追加する必要があります。システム変更監視ルールとは、ファイルおよびレジストリへのユーザーのアクセスを定義する一連の条件です。システム変更監視は、指定された監視範囲内のファイルとレジストリの変更を検知します。監視範囲は、システム変更監視ルールの条件の 1 つです。

リアルタイムシステム変更監視モード

システム変更監視ルールにより、オペレーティングシステムやその他のサービスの機能にとって重要なリソースに対する操作がブロックされないようにするには、テストモードを有効化し、コンポーネントがシステムに与える影響について分析することを推奨します。テストモードをオンにすると、Kaspersky Endpoint Security はルールで禁止されているユーザー動作をブロックせず、代わりに警告 警告イベントのアイコン。イベントを生成します。

リアルタイムシステム変更監視コンポーネントには、次の 2 つのモードがあります:

リアルタイムシステム変更監視の有効化

管理コンソール(MMC)でリアルタイムシステム変更監視を有効にする方法

Web コンソールでリアルタイムシステム変更監視を有効にする方法

本製品のインターフェイスでリアルタイムシステム変更監視を有効にする方法

リアルタイムシステム変更監視ルールの設定

パラメータ

説明

ルール名

リアルタイムシステム変更監視ルールの名前

レジストリによる操作

  • 許可:システム変更監視は、監視範囲内のファイルとレジストリキーに対する操作を許可します。
  • ブロック:システム変更監視の挙動は、選択したモードによって異なります。システム保護モードを選択した場合、システム変更監視は、監視範囲内のファイルとレジストリキーに対する操作をブロックし、対応するイベントを生成して、Kaspersky Security Center コンソールでデバイスのステータスを変更します。テストモードを選択した場合、システム変更監視は、監視範囲内のファイルやレジストリキーに対する操作を許可します。

イベントの深刻度

Kaspersky Endpoint Security は、監視範囲内のファイルまたはレジストリキーが変更された場合にファイル変更イベントを記録します。情報 情報イベントのアイコン。警告 警告イベントのアイコン。緊急 重大なイベントのアイコン。 のイベントセキュリティレベルが利用可能です。

監視範囲

  • ファイル:コンポーネントによって監視されるファイルとフォルダーのリスト。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。

    マスクを使用する

    • *」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。
    • 2 つの連続した「*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。
    • ?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
  • レジストリ:コンポーネントによって監視されるレジストリキーと値のリスト。Kaspersky Endpoint Security はマスクの入力時の文字「*」および「?」 をサポートします。

除外リスト

  • ファイル:監視範囲からの除外リストです。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。例:「C:\Folder\Application\*.log」。除外項目は監視範囲項目よりも優先されます。

    マスクを使用する

    • *」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。
    • 2 つの連続した「*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。
    • ?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
  • レジストリ:監視範囲からの除外リストです。Kaspersky Endpoint Security はマスクの入力時の文字「*」および「?」 をサポートします。除外項目は監視範囲項目よりも優先されます。

信頼するユーザーまたはユーザーグループ

信頼済みユーザーとは、監視範囲内のファイルとレジストリキーに対して操作を実行することが許可されたユーザーです。Kaspersky Endpoint Security が信頼済みユーザーによる操作を検知すると、システム変更監視は情報 情報イベントのアイコン。イベントを生成します。

ユーザーは、Active Directory または Kaspersky Security Center のアカウントのリストで選択するか、ローカルユーザー名を手入力して選択することができます。ローカルユーザーアカウントを使用するのは、ドメインユーザーアカウントを使用できない特別な状況のみにすることを推奨します。

ファイル操作マーカー / 監視対象の操作

本製品が監視するファイルまたはレジストリキーに対する操作を特徴付けるマーカー。

ハッシュ

編集時にファイルのハッシュを計算します。Kaspersky Endpoint Security は、イベントが生成されるとファイルのハッシュに関する情報を追加します。

ページのトップに戻る