ファイル変更監視ルールの作成と設定

Web プラグインを使用してファイル変更監視ルールを作成および設定するには：

1. Kaspersky Security Center Web コンソールのメインウィンドウで、［デバイス］→［ポリシーとプロファイル］の順に選択します。
2. 設定するポリシー名をクリックします。
3. 表示されたポリシーのプロパティウィンドウで、［アプリケーションの設定］タブを選択します。
4. ［システム監査］セクションを選択します。
5. ［ファイル変更監視］サブセクションで、［設定］をクリックします。

   ［ファイル変更監視］ウィンドウが［ファイル変更監視の設定］タブで開きます。

6. ［追加］をクリックします。

   ［ファイル変更監視ルール］ウィンドウが表示されます。

7. ［次の範囲のファイル操作を監視］で、サポートされているマスクを使用してパスを指定します：
   • <*.ext> - 場所に関係なく、拡張子 <ext> を持つすべてのファイル
   • <*\name.ext> - 場所に関係なく、名前 <name> と拡張子 <ext> を持つすべてのファイル
   • <\dir\*> - フォルダー <\dir> にあるすべてのファイル
   • <\dir\*\name.ext> - フォルダー <\dir> とそのすべてのサブフォルダーにある、名前 <name> と拡張子 <ext> を持つすべてのファイル

   手動で監視範囲を指定する場合、パスが次の形式であることを確認してください：<ボリューム文字>:\<マスク>。ボリューム文字がない場合、Kaspersky Embedded Systems Security for Windows は指定した監視範囲を追加しません。

8. ［信頼するユーザー］タブで、必要に応じて、次のいずれかの方法で信頼するユーザーを指定します：
   • ［追加］をクリックします。
     1. ［追加］をクリックします。
     2. 表示されるウィンドウの［ユーザー名］フィールドに、ユーザーまたはユーザーのグループを SID 形式で指定します。
     3. ［OK］をクリックします。
   • ［管理サーバーのリストから追加する］を使用します：
     1. ［管理サーバーのリストから追加する］をクリックします。
     2. 表示されたウィンドウで、ユーザーまたはユーザーグループをリストから選択します。
     3. ［OK］をクリックします。

   信頼するユーザーは、選択した監視範囲のファイルを操作できます。

   既定では、信頼するユーザーリストに記載されていないすべてのユーザーが信頼しないユーザーとして取り扱われ、重要なイベントが生成されます。信頼するユーザーの場合、統計が収集されます。

9. ［ファイル操作マーカー］タブで、必要に応じて、監視するファイル操作マーカーを指定します：
   1. ［次のマーカーに基づいてファイル操作を検出する］をオンにします。
   2. 使用可能なファイル操作のリストで、監視する操作の横にあるチェックボックスをオンにします。

   既定では、使用可能なすべてのファイル操作マーカーが考慮されます。［認識可能なすべてのマーカーに基づいてファイル操作を検出するオプションがオンになっています。

10. 選択した範囲のすべてのファイル操作をブロックする場合は、［選択した範囲のすべてのファイル動作を検知しブロックする］をオンにします。
11. ファイルの変更後にファイルのチェックサムを計算するには：
    1. ［可能な場合、ファイルのチェックサムを計算する。チェックサムはタスクレポートで表示できます］をオンにします。
       

       チェックボックスをオンにして、少なくとも 1 つの選択したマーカーを持つファイル操作が検知された場合、変更したファイルのチェックサムが計算されます。

       ファイル操作が複数のマーカーによって検知された場合、すべての変更後の最終的なファイルのチェックサムのみが計算されます。

       このチェックボックスをオフにすると、変更したファイルのチェックサムは計算されません。

       次の場合、チェックサムの計算は実行されません：

       • ファイルが利用できなくなった場合（アクセス権限の変更などのため）。
       • ファイル操作が、その後、削除されたファイル内で検知された場合。

       既定では、このチェックボックスはオフです。

    2. ［チェックサム種別］ドロップダウンリストで、次のいずれかのオプションを選択します：
       • SHA256 ハッシュ：
       • MD5 ハッシュ：
12. 必要に応じて、ファイル操作の監視を除外するフォルダーまたはドライブを追加します：
    1. ［除外リスト］タブで、［次のフォルダーをコントロールから除外する］をオンにします。
       

       このチェックボックスは、ファイル操作を監視する必要がないフォルダーにおける除外の使用を無効にします。

       このチェックボックスをオンにすると、ファイル変更監視タスクの実行時に、除外リストで指定した監視範囲がスキップされます。

       このチェックボックスをオフにすると、指定したすべての監視範囲のイベントが記録されます。

       既定では、チェックボックスはオフで、除外リストは空です。

    2. ［追加］をクリックします。
    3. 右側に表示されるウィンドウの［フォルダー名］フィールドに、ファイル操作の監視範囲から除外するフォルダーまたはドライブのパスを入力します。
    4. ［OK］をクリックします。

    指定したフォルダーまたはドライブのパスがリストに表示されます。

13. ［ファイル変更監視ルール］ウィンドウで［OK］をクリックします。

設定されたファイル変更監視ルールは、［ファイル変更監視］ウィンドウの［ファイル変更監視の設定］タブに表示されます。