システム変更監視
2024年1月10日
ID 132947
このセクションで説明する Kaspersky Security の機能は、Enterprise ライセンスで本製品を使用しており、Windows サーバー向けオペレーティングシステムおよび NTFS または FAT32 ファイルシステムで動作する仮想マシンに本製品をインストールしている場合にのみ使用できます。
システム変更監視は、保護対象仮想マシンにインストールされた Windows オペレーティングシステム上の変更を監視できます。次のオブジェクトを監視できます:
- ファイルとレジストリ。システム変更監視は監視の範囲に含まれるレジストリとファイルに対して行われた変更を監視します。
- 外部ドライブ。システム変更監視は次の種別の外部デバイスの接続を監視します:
- ハードディスク用のディスクドライブ
- 光学ドライブ用のディスクドライブ(CD/DVD/Blu-ray)
- USB デバイス
- カメラおよびスキャナー
- 外部ネットワークアダプター
システム変更監視はリアルタイムで動作します。また、スケジュールによって定期的に、または手動でシステム変更チェックを実行できます。
リアルタイムでの動作中、システム変更監視により、システム変更監視の範囲に含まれる監視対象のオブジェクトの変更を監視できます。
定期的または手動でのシステム変更チェックは、システム変更チェックタスクを使用して行われます。システム変更チェックは、システム変更チェック範囲に含まれるオブジェクトの現在の状態と、システムのベースラインに前もって記録されたオブジェクトの状態とを比較することにより実行されます。
システム変更チェックは次のいずれかのモードで実行できます:
- 完全スキャンファイルの変更をチェックする際、ファイルの属性とその内容がすべて分析されます。
- 簡易スキャン。ファイルの変更をチェックする際に、ファイルの属性のみがチェックされます。ファイルの内容はチェックされません。
レジストリ変更と外部デバイスの接続は、定義されたシステム変更チェック範囲に従って、どのモードでも監視されます。
システム状態スナップショット(ベースライン)は、ベースラインのアップデートタスクの実行結果として、仮想マシンで取得されます。ベースラインが作成またはアップデートされる時に、システム変更チェック範囲に含まれるオブジェクトの状態が記録されます。
次のいずれかのモードでベースラインをアップデートできます:
- 完全アップデート – スキャン範囲内のすべてのオブジェクトが対象。
- 差分アップデート – スキャン範囲内で変更されたオブジェクトまたは新しいオブジェクトのみが対象。
システム変更監視の設定は、Light Agent for Windows ポリシーまたは Light Agent for Windows のローカルインターフェイスで定義されます。リアルタイムでのシステム変更監視を有効または無効にすること、および次の設定が行えます:
- リアルタイムでのシステム変更監視の範囲:
- リアルタイムでのシステム変更監視により監視する必要のあるオブジェクトのリスト。
- ファイルとレジストリの変更をコンポーネントが監視する方法を管理するシステム変更監視ルールのリスト。ルールを作成するか、製品配布キットの一部であるテンプレートからの事前に定義されたルールを使用できます。
- システム変更チェックの範囲:既定では、システム変更チェックの範囲はシステム変更監視の範囲と同じです。定期的に行うシステム変更チェックと手動で行うシステム変更チェックに対して別の範囲を指定できます。この範囲はベースラインのアップデートタスクにも使用されます:
- チェックが必要な状態にあるオブジェクトのリスト。これらのオブジェクトの状態はベースラインに記録されます。
- ファイルとレジストリの変更をコンポーネントがチェックする方法を管理するシステム変更監視ルールのリスト。ベースラインは、ファイルとフォルダーの状態、およびルールに定義されているレジストリキーを記録します。ルールを作成するか、製品配布キットの一部であるテンプレートからの事前に定義されたルールを使用できます。
システム変更チェックの範囲が定義されていない場合、システム変更監視の範囲がシステム変更チェックタスクとベースラインのアップデートタスクに適用されます。
- システム変更監視がリアルタイムでシステム変更を検知した時、およびシステム変更チェックタスクの結果として生成されるイベントの重要度。
Kaspersky Security Center と Light Agent for Windows のローカルインターフェイスに、システム変更監視の動作結果に関する情報を表示できます。