Kaspersky Security for Virtualization 5.2 Light Agent
5.2
日本語‪(日本)

目次

システム変更監視

このセクションで説明する Kaspersky Security の機能は、Enterprise ライセンスで本製品を使用しており、Windows サーバー向けオペレーティングシステムおよび NTFS または FAT32 ファイルシステムで動作する仮想マシンに本製品をインストールしている場合にのみ使用できます。

システム変更監視は、保護対象仮想マシンにインストールされた Windows オペレーティングシステム上の変更を監視できます。次のオブジェクトを監視できます:

  • ファイルとレジストリ。システム変更監視は監視の範囲に含まれるレジストリとファイルに対して行われた変更を監視します。
  • 外部ドライブ。システム変更監視は次の種別の外部デバイスの接続を監視します:
    • ハードディスク用のディスクドライブ
    • 光学ドライブ用のディスクドライブ(CD/DVD/Blu-ray)
    • USB デバイス
    • カメラおよびスキャナー
    • 外部ネットワークアダプター

システム変更監視はリアルタイムで動作します。また、スケジュールによって定期的に、または手動でシステム変更チェックを実行できます。

リアルタイムでの動作中、システム変更監視により、システム変更監視の範囲に含まれる監視対象のオブジェクトの変更を監視できます。

定期的または手動でのシステム変更チェックは、システム変更チェックタスクを使用して行われます。システム変更チェックは、システム変更チェック範囲に含まれるオブジェクトの現在の状態と、システムのベースラインに前もって記録されたオブジェクトの状態とを比較することにより実行されます。

システム変更チェックは次のいずれかのモードで実行できます:

  • 完全スキャンファイルの変更をチェックする際、ファイルの属性とその内容がすべて分析されます。
  • 簡易スキャン。ファイルの変更をチェックする際に、ファイルの属性のみがチェックされます。ファイルの内容はチェックされません。

レジストリ変更と外部デバイスの接続は、定義されたシステム変更チェック範囲に従って、どのモードでも監視されます。

システム状態スナップショット(ベースライン)は、ベースラインのアップデートタスクの実行結果として、仮想マシンで取得されます。ベースラインが作成またはアップデートされる時に、システム変更チェック範囲に含まれるオブジェクトの状態が記録されます。

次のいずれかのモードでベースラインをアップデートできます:

  • 完全アップデート – スキャン範囲内のすべてのオブジェクトが対象。
  • 差分アップデート – スキャン範囲内で変更されたオブジェクトまたは新しいオブジェクトのみが対象。

システム変更監視の設定は、Light Agent for Windows ポリシーまたは Light Agent for Windows のローカルインターフェイスで定義されます。リアルタイムでのシステム変更監視を有効または無効にすること、および次の設定が行えます:

  • リアルタイムでのシステム変更監視の範囲:
    • リアルタイムでのシステム変更監視により監視する必要のあるオブジェクトのリスト。
    • ファイルとレジストリの変更をコンポーネントが監視する方法を管理するシステム変更監視ルールのリスト。ルールを作成するか、製品配布キットの一部であるテンプレートからの事前に定義されたルールを使用できます。
  • システム変更チェックの範囲:既定では、システム変更チェックの範囲はシステム変更監視の範囲と同じです。定期的に行うシステム変更チェックと手動で行うシステム変更チェックに対して別の範囲を指定できます。この範囲はベースラインのアップデートタスクにも使用されます:
    • チェックが必要な状態にあるオブジェクトのリスト。これらのオブジェクトの状態はベースラインに記録されます。
    • ファイルとレジストリの変更をコンポーネントがチェックする方法を管理するシステム変更監視ルールのリスト。ベースラインは、ファイルとフォルダーの状態、およびルールに定義されているレジストリキーを記録します。ルールを作成するか、製品配布キットの一部であるテンプレートからの事前に定義されたルールを使用できます。

    システム変更チェックの範囲が定義されていない場合、システム変更監視の範囲がシステム変更チェックタスクとベースラインのアップデートタスクに適用されます。

  • システム変更監視がリアルタイムでシステム変更を検知した時、およびシステム変更チェックタスクの結果として生成されるイベントの重要度。

Kaspersky Security Center と Light Agent for Windows のローカルインターフェイスに、システム変更監視の動作結果に関する情報を表示できます。

このヘルプセクションの内容

リアルタイムでのシステム変更監視の有効化と無効化

システム変更監視の範囲とシステム変更チェックの範囲の設定

ベースラインの作成とアップデート

定期的または手動でのシステム整合性のチェック

仮想マシンでのシステム整合性に関する情報の表示

システム変更ステータスのリセット
ページのトップに戻る
[Topic 132947]

リアルタイムでのシステム変更監視の有効化と無効化

リアルタイムでのシステム変更監視を有効または無効にできます。既定では、リアルタイムでのシステム変更監視は無効になっています。

リアルタイムでのシステム変更監視を有効にしたり無効にしたりしても、システム変更チェックタスクやベースラインのアップデートタスクのパフォーマンスには影響しません。

リアルタイムでのシステム変更監視は、管理コンソールを使用して Light Agent for Windows ポリシーのプロパティで、または Light Agent for Windows のローカルインターフェイスで有効または無効にできます。また、Web コンソールでの Light Agent for Windows ポリシー設定([アプリケーション設定] → [エンドポイントコントロール] → [システム変更監視])の作成、編集時にも設定できます。

管理コンソールで、リアルタイムでのシステム変更監視を有効または無効にするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[システム変更監視]セクションを選択します。
  6. ウィンドウの右側で、次のいずれかの手順を実行します:
    • リアルタイムでのシステム変更監視を有効にする場合は、[リアルタイムでのシステム変更監視]をオンにします。
    • リアルタイムでのシステム変更監視を無効にする場合は、[リアルタイムでのシステム変更監視]をオフにします。
  7. 適用]をクリックします。

Light Agent for Windows のローカルインターフェイスでは、2 通りの方法でリアルタイムコンポーネントを有効または無効にできます:

ローカルインターフェイスでコンポーネントを設定できない場合は、ポリシーが定義した設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

メインウィンドウの[プロテクションとコントロール]タブで、リアルタイムでのシステム変更監視を有効または無効にするには:

  1. 保護対象仮想マシンでメインウィンドウを開きます。
  2. プロテクションとコントロール]タブを選択します。
  3. エンドポイントコントロール]セクションを開きます。
  4. システム変更監視]のコンテキストメニューを開き、次のいずれかの操作を実行します:
    • リアルタイムでのシステム変更監視を有効にする場合は、[有効]を選択します。
    • リアルタイムでのシステム変更監視を無効にする場合は、[無効]を選択します。

アプリケーション設定ウィンドウからリアルタイムでのシステム変更監視を有効または無効にするには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[エンドポイントコントロール]セクションで、[システム変更監視]を選択します。
  3. 次のいずれかの手順を実行します:
    • リアルタイムでのシステム変更監視を有効にする場合は、[リアルタイムでのシステム変更チェック]をオンにします。
    • リアルタイムでのシステム変更監視を無効にする場合は、[リアルタイムでのシステム変更監視]をオフにします。
  4. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 130995]

システム変更監視の範囲とシステム変更チェックの範囲の設定

システム変更監視の正しい動作のために、コンポーネントの範囲を設定する必要があります。すなわち、システム変更監視によってステータスを監視する必要のあるオブジェクトを選択します。この範囲は、Light Agent for Windows ポリシーまたは Light Agent for Windows のローカルインターフェイスで設定します。

コンポーネントのリアルタイム動作に対してシステム変更監視の範囲を設定することや、定期的または手動でのシステム変更チェックの範囲を個別に設定できます。この範囲はベースラインのアップデートタスクにも使用されます。システム変更チェックの範囲が定義されていない場合、システム変更監視の範囲がシステム変更チェックタスクとベースラインのアップデートタスクに適用されます。

このセクションでは、管理コンソールと Light Agent for Windows のローカルインターフェイスを使用して変更チェックの範囲を設定する方法について説明します。変更チェックの範囲は、Web コンソールでの Light Agent for Windows ポリシー設定([アプリケーション設定]→[エンドポイントコントロール]→[システム変更監視])の作成、編集時にも設定できます。

管理コンソールでシステム変更監視の範囲を設定するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[システム変更監視]セクションを選択します。
  6. ウィンドウの右側の[システム変更監視の範囲]セクションで、リアルタイムでのシステム変更監視の範囲を設定します:
    1. 保護対象仮想マシンでの外部デバイスの接続をシステム変更監視によってリアルタイムで監視する場合は、[デバイスを監視する]をオンにします。
    2. ドロップダウンリストで、外部デバイスの接続を検出した時にシステム変更監視によって生成されるイベントの重要度を選択します。既定では、[情報]イベントが生成されます。
    3. 保護対象仮想マシンでファイルとレジストリに対して行われた変更をシステム変更監視によってリアルタイムで監視する場合は、[ファイルとレジストリを監視する]をオンにします。
    4. 設定]をクリックします。
    5. 表示された[システム変更監視ルール]ウィンドウで、リアルタイムでのシステム変更監視が実行している時に適用されるルールのリストを作成します。

      システム変更監視ルールの設定の編集では、次の操作を実行できます:

    6. システム変更監視ルール]ウィンドウで[OK]をクリックします。
  7. 定期的または手動でのシステム変更チェックに対して個別の範囲を設定する場合は、[システム変更チェック範囲]セクションで次の操作を実行します:
    1. システム変更チェック範囲を定義する]をオンにします。

      システム変更チェックの範囲]設定グループがチェックボックスの下に表示されます。

    2. この手順のステップ 6 で示したように[システム変更チェックの範囲]セクションで設定を指定します。これらの設定は、システム変更チェックタスクとベースラインのアップデートタスクが実行される時に適用されます。
  8. 適用]をクリックします。

ローカルインターフェイスでシステム変更監視の範囲を設定するには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[エンドポイントコントロール]セクションで、[システム変更監視]を選択します。

    ウィンドウの右側に、システム変更監視の設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. リアルタイムでのシステム変更監視の範囲を設定するには、[システム変更監視の設定]セクションで次の操作を実行します:
    1. 保護対象仮想マシンでの外部デバイスの接続をシステム変更監視によってリアルタイムで監視する場合は、[システム変更監視の設定]セクションの名前の下にある[デバイスを監視する]をオンにします。
    2. ドロップダウンリストで、外部デバイスの接続を検出した時にシステム変更監視によって生成されるイベントの重要度を選択します。既定では、[情報]イベントが生成されます。
    3. 保護対象仮想マシンでファイルとレジストリに対して実行された変更をシステム変更監視によってリアルタイムで監視する場合は、[システム変更監視の設定]セクションの上部にある[ファイルとレジストリを監視する]をオンにします。
    4. 前の手順のステップ 6d ~6f を実行します。
  4. 定期的または手動でのシステム変更チェックに対して個別の範囲を設定する場合は、[システム変更監視の設定]セクションで次の操作を実行します:
    1. システム変更チェック範囲を定義する]をオンにします。

      チェックボックスの下に設定セクションが表示されます。

    2. 前の手順のステップ 6 で示したように、このセクションで設定を行います。これらの設定は、システム変更チェックタスクとベースラインのアップデートタスクが実行される時に適用されます。
  5. 変更内容を保存するには[保存]をクリックします。

このセクションの内容:

システム変更監視ルールの作成と編集

システム変更監視ルールのインポートとエクスポート

システム変更監視ルールの有効化と無効化
ページのトップに戻る
[Topic 65366]

システム変更監視ルールの作成と編集

ファイルとフォルダー、レジストリキー、値に対して、監視の範囲および監視の範囲からの除外リストを作成することで、システム変更監視ルールを作成できます。システム変更監視ルールを作成またはインポートした後で、必要に応じてルールの設定を変更できます。

Kaspersky Security Center で、システム変更監視ルールを作成または編集するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[システム変更監視]セクションを選択します。
  6. ウィンドウの右側で、次のいずれかのセクションの[ファイルとレジストリを監視する]チェックボックスの右側にある[設定]をクリックします:
    • システム変更監視の範囲]セクション(リアルタイムでのシステム変更監視ルールを設定する場合)。
    • システム変更チェックの範囲]セクション(システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合)。
  7. 表示される[システム変更監視]ウィンドウで、次のいずれかの動作を実行します:
    • システム変更監視ルールを作成する場合は、ルールのリストの上にある[追加]をクリックします。
    • システム変更監視ルールを編集するには、リストからルールを選択し、[編集]をクリックします。
  8. 表示される[システム変更監視ルール]ウィンドウでルール名を入力し、このルールの適用時にシステム変更監視が生成するイベントの重要度を選択します。既定では、[情報]イベントが生成されます。
  9. ファイル]タブでファイルとフォルダーの監視範囲を設定します。

    Kaspersky Security が変更を監視するファイルまたはフォルダーを追加するには:

    1. ファイル]タブの[監視の範囲]の上にある[追加]をクリックします。
    2. 表示される[ファイルまたはフォルダー]ウィンドウで、監視対象とするフォルダーの絶対パス、またはパスのマスクを入力します。

      パスのマスクを入力する場合、パスの任意の部分で次の文字を使用できます:

      • *」文字は \ / : 以外の文字を表すことができます。加えて:
        • *」がパスの要素全体の名前を示すために使用されている場合(たとえば、フォルダー名を示すための /*/)、1 文字以上の文字列を表すことができます。
        • *」がパス要素の名前の一部を示すために使用されている場合(たとえば、フォルダー名の一部を示すための /abc*/)、0 文字以上の文字列を表すことができます。
      • ?」は任意の 1 文字と置き換えることができます。

      フォルダーのパスの入力では、環境変数を使用できます。環境変数名の前後に「%」を入力する必要があります。

    3. 指定されたフォルダー内のファイルの変更を監視する必要がある場合は、[ファイル名またはファイルマスク]でファイル名またはファイルのマスクを入力します。

      マスクを入力する場合、次の文字を使用できます:

      • * – ゼロ文字以上の文字列を表します。\ / : 以外の任意の文字列を表します:
      • ? は任意の単一文字を表します

      下位のフォルダー内の指定されたファイルに対する変更も監視する場合は、[サブフォルダー内のファイルを含める]をオンにします。

    4. ファイルまたはフォルダー]ウィンドウで[OK]をクリックします。

    ファイルまたはフォルダーのパスが、[監視の範囲]のパスのリストに表示されます。

    Kaspersky Security は、リアルタイムでのシステム変更監視の開始時点(ポリシーが適用された時、またはリアルタイムでのシステム変更監視が有効になった時)に接続されているドライブ上のファイルやフォルダーの変更のみを監視します。リアルタイムでのシステム変更監視の開始時点でドライブがパワーオンの状態でなかった場合、そのドライブ上のファイルやフォルダーの変更は、ファイルやフォルダーが監視範囲に追加された場合でも、監視されません。

    リストでキーワード検索を実行し、[削除]を使用して、リストからファイルとフォルダーを削除できます。

  10. 必要に応じて、監視の範囲から除外されるファイルまたはフォルダーのパスのリストを同じように設定できます。Kaspersky Security は、[除外リスト]でパスのリストに追加されているファイルとフォルダーの変更を監視しません。

    除外のリストを設定するには、[ファイル]タブの[除外リスト]の上にある[追加]および[削除]を使用します。

  11. レジストリ]タブでレジストリキーと値の監視範囲を設定します。

    Kaspersky Security が変更を監視するレジストリキーまたはキーのパラメータを追加するには:

    1. レジストリ]タブの[監視の範囲]の上にある[追加]をクリックします。

      レジストリキー]ウィンドウが表示されます。

    2. 変更を監視する必要があるレジストリキーの名前を入力します。

      HKEY_CURRENT_USER キーはサポートされません。HKEY_USER からのレジストリキーへのパスは次のように指定できます:HKEY_USERS\<ユーザープロファイル ID>\<キー>。

    3. Kaspersky Security でネストされたライセンスも監視する場合は、[ネストされたライセンスを含める]をオンにします。
    4. 指定されたキーのパラメータに対する変更を監視する必要がある場合は、[キーパラメータの名前またはマスク]でパラメータの名前またはマスクを入力します。

      マスクを入力する時に、ワイルドカード *(任意の文字列)および ?(任意の 1 文字)を使用できます。

    5. レジストリキー]ウィンドウで[OK]をクリックします。

    キーおよびキーのパラメータの名前(指定された場合)が、[監視の範囲]のキーおよびレジストリの値のリストに表示されます。

    リストでキーワード検索を実行し、[削除]を使用して、リストからキーを削除できます。

  12. 必要に応じて、監視の範囲から除外されるキーとレジストリの値のリストを同じように設定できます。Kaspersky Security は、[除外リスト]でパスのリストに追加されるキーとレジストリの値の変更を監視しません。

    除外のリストを設定するには、[レジストリ]タブの[除外リスト]の上にある[追加]および[削除]を使用します。

  13. システム変更監視ルール]ウィンドウで[OK]をクリックします。

    ルールが、[システム変更監視ルール]ウィンドウのルールのリストに表示されます。

  14. システム変更監視ルール]ウィンドウで[OK]をクリックします。
  15. 適用]をクリックします。

ローカルインターフェイスで、システム変更監視ルールを作成または編集するには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[エンドポイントコントロール]セクションで、[システム変更監視]を選択します。

    ウィンドウの右側に、システム変更監視の設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 次のいずれかの手順を実行します:
    • リアルタイムでのシステム変更監視ルールを設定する場合は、[システム変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。
    • システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合は、[システム変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。

    システム変更監視ルール]ウィンドウが表示されます。

  4. 前述の手順のうち、ステップ 7 ~ 14 を実行します。
  5. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 74318]

システム変更監視ルールのインポートとエクスポート

設定されたシステム変更監視ルールのリストをファイルに保存して、以前保存したルールのリストをファイルからインポートできます。ルールのリストをインポートまたはエクスポートするには、XML 形式のファイルを使用できます。

Kaspersky Security Center からシステム変更監視を設定する場合、Kaspersky Security 製品の配布キットに含まれるテンプレートからシステム変更監視ルールのリストをインポートできます。テンプレートには、ファイルとフォルダーへのパス、およびレジストリキーと特定のアプリケーションの動作に使用される値が含まれます。テンプレートからインポートされたルールで、この製品の動作に関連付けられた変更を監視できます。

Kaspersky Security Center で、システム変更監視ルールのリストをインポートまたはエクスポートするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[システム変更監視]セクションを選択します。
  6. ウィンドウの右側で、次のいずれかのセクションの[ファイルとレジストリを監視する]チェックボックスの右側にある[設定]をクリックします:
    • システム変更監視の範囲]セクション(リアルタイムでのシステム変更監視ルールを設定する場合)。
    • システム変更チェックの範囲]セクション(システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合)。
  7. システム変更監視ルールのリストをインポートするには、[ システム変更監視]ウィンドウで、 [インポート]をクリックして次のいずれかを実行します:
    • テンプレートからルールをインポートするには、[テンプレートから]をドロップダウンリストから選択します。表示されるウィンドウで、テンプレート名を選択し[OK]をクリックします。

      選択されたテンプレートのルールが、[システム変更監視ルール]ウィンドウのルールのリストに追加されます。

    • ファイルからルールをインポートするには、ドロップダウンリストで[ファイルから]を選択し、表示されたウィンドウで XML ファイルのパスを指定します。

      選択されたファイルのルールが、[システム変更監視ルール]ウィンドウのルールのリストに追加されます。

  8. システム変更監視ルールのリストをエクスポートする場合は、[エクスポート]をクリックして、ルールのリストを保存するファイルのパスを指定します。
  9. システム変更監視ルール]ウィンドウで[OK]をクリックします。
  10. 適用]をクリックします。

ローカルインターフェイスでシステム変更監視ルールのリストをインポートまたはエクスポートするには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[エンドポイントコントロール]セクションで、[システム変更監視]を選択します。

    ウィンドウの右側に、システム変更監視の設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 次のいずれかの手順を実行します:
    • リアルタイムでのシステム変更監視ルールを設定する場合は、[システム変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。
    • システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合は、[システム変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。

    システム変更監視ルール]ウィンドウが表示されます。

  4. 前述の手順のうち、ステップ 7 ~ 9 を実行します。
  5. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 67449]

システム変更監視ルールの有効化と無効化

すべてのシステム変更監視ルールは、[有効]のステータスでルールのリストに追加されます。ルールが有効になっている場合、システム変更監視がルールを適用します。

システム変更監視ルールは無効にできます。ルールが無効になっている場合、システム変更監視は一時的にルールの適用を停止します。

Kaspersky Security Center で、システム変更監視ルールを有効または無効にするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象とする保護対象仮想マシンが所属する管理グループのフォルダーを開きます。
  3. 作業領域で、[ポリシー]タブを選択します。
  4. ポリシーのリストから Light Agent for Windows ポリシーを選択し、ダブルクリックしてポリシーのプロパティウィンドウを開きます。
  5. ポリシーのプロパティウィンドウで、左のリストから[システム変更監視]セクションを選択します。
  6. ウィンドウの右側で、次のいずれかのセクションの[ファイルとレジストリを監視する]チェックボックスの右側にある[設定]をクリックします:
    • システム変更監視の範囲]セクション(リアルタイムでのシステム変更監視ルールを設定する場合)。
    • システム変更チェックの範囲]セクション(システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合)。
  7. 表示される[システム変更監視]ウィンドウのシステム変更監視ルールのリストで、必要なルールを選択し、[ステータス]列で次のいずれかの動作を実行します:
    • ルールを有効にする場合は、値[オン]を選択します。
    • ルールを無効にする場合は、値[オフ]を選択します。
  8. システム変更監視ルール]ウィンドウで[OK]をクリックします。
  9. 適用]をクリックします。

ローカルインターフェイスでシステム変更監視ルールを有効または無効にするには:

  1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
  2. ウィンドウの左側の[エンドポイントコントロール]セクションで、[システム変更監視]を選択します。

    ウィンドウの右側に、システム変更監視の設定が表示されます。

    ローカルインターフェイスで設定が編集できない場合は、ポリシーが定義する設定値が、管理グループのすべての保護対象仮想マシンに対して使用されていることを意味します。

  3. 次のいずれかの手順を実行します:
    • リアルタイムでのシステム変更監視ルールを設定する場合は、[システム変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。
    • システム変更チェックタスクとベースラインのアップデートタスクのルールを設定する場合は、[システム変更監視の設定]の上の[ファイルとレジストリを監視する]の右側にある[設定]をクリックします。

    システム変更監視ルール]ウィンドウが表示されます。

  4. 前述の手順のうち、ステップ 7 ~ 8 を実行します。
  5. 変更内容を保存するには[保存]をクリックします。
ページのトップに戻る
[Topic 74063]

ベースラインの作成とアップデート

ベースラインのアップデートタスクを使用して、保護対象仮想マシンのベースラインを作成してからアップデートできます。

管理グループ内の保護対象仮想マシンのベースラインのアップデートタスクは、Kaspersky Security Center 管理コンソールまたはWeb コンソールを使用して作成、設定できます。1 つの仮想マシンのベースラインのアップデートタスクを、Light Agent for Windows のローカルインターフェイスで設定することもできます。

タスクは仮想マシン上で実行され、特別な形式を使用して、システム変更チェック範囲に含めた監視対象オブジェクトのステータスに関する情報を保存します。システム変更チェック範囲を定義していない場合、オブジェクトの範囲はシステム変更監視の範囲によって決定されます。システム変更チェックとシステム変更監視の範囲は、仮想マシンで適用されるポリシー、または Light Agent for Windows のローカルインターフェイスで設定されます。

管理コンソールで、Kaspersky Security Center から仮想マシンのベースラインを作成またはアップデートするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. 次のいずれかの手順を実行します:
    • 選択した管理グループ内の仮想マシンのタスクを作成するには、この管理グループの名前のフォルダーをコンソールツリーで選択し、ワークスペースで[タスク]タブを選択します。
    • 1 台以上の仮想マシンのタスク(デバイスのセット向けのタスク)を作成するには、コンソールツリーで[タスク]を選択します。
  3. 新規タスク]をクリックして、新規タスクウィザードを実行します。
  4. ウィザードの最初のステップで、タスクの種別を選択します。これを行うには、[Kaspersky Security for Virtualization 5.2 Light Agent for Windows]リストで、[ベースラインのアップデート]を選択します。

    新規タスクウィザードの次のステップに進みます。

  5. タスク]フォルダーから新規タスクウィザードを開始した場合、タスク作成の対象となる仮想マシンを選択する方法を指定します。管理サーバーが検出した仮想マシンのリストからの仮想マシンの選択、仮想マシンのアドレスの手動指定、仮想マシンリストのファイルからのインポート、または以前設定したデバイスの抽出の指定が可能です(詳細は、Kaspersky Security Center のオンラインヘルプを参照してください)。指定した仮想マシン選択方法に応じて、表示されたウィンドウで、次のいずれかの操作を実行します:
    • 検出された仮想マシンのリストで、タスクを作成する仮想マシンを指定します。これを行うには、リストの該当する仮想マシン名の左にあるチェックボックスをオンにします。
    • 追加]または[IP アドレス範囲の追加]をクリックし、仮想マシンのアドレスを手動で入力します。
    • インポート]をクリックして表示されたウィンドウで、仮想マシンのアドレスのリストの入った TXT ファイルを選択します。
    • 参照]をクリックして表示されたウィンドウで、タスクを作成する仮想マシンを含む抽出の名前を指定します。

    新規タスクウィザードの次のステップに進みます。

  6. 名前]にベースラインのアップデートタスクの名前を入力します。

    新規タスクウィザードの次のステップに進みます。

  7. 新規タスクウィザード終了後すぐにタスクを開始したい場合は、[ウィザード完了後にタスクを実行する]をオンにします。

    タスクが既定の設定で実行される場合、監視範囲内の新しいオブジェクトまたは変更されたオブジェクトのベースラインのみがアップデートされます(差分アップデート)。

    ウィザードを終了します。

    作成したオブジェクトスキャンタスクがタスクのリストに表示されます。

  8. 完全なベースラインのアップデートを実行する場合は、タスクの設定を次のように変更します:
    1. 作成されたタスクのプロパティウィンドウをダブルクリックして開きます。
    2. 設定]セクションに移動して、[完全アップデート]を選択します。
    3. OK]をクリックします。
  9. ベースラインのアップデートタスクを開始します

タスクが実行されると、タスクの設定で指定した各仮想マシンでベースラインが作成されるか、以前作成されたベースラインがアップデートされます。

Web コンソールで、Kaspersky Security Center から仮想マシンのベースラインを作成またはアップデートするには:

  1. ウィザードの手順に従い、ベースラインのアップデート種別のタスクを作成します。タスクが既定の設定で作成されます。

    タスクを実行すると、監視範囲内の新しいオブジェクトまたは変更されたオブジェクトのベースラインのみがアップデートされます(差分アップデート)。

  2. ベースラインの完全アップデートを実行するには、ウィザードの最後のステップで、[タスクの作成が完了したらタスクの詳細を表示する]をオンにしてウィザードを閉じます。
  3. タスクのプロパティウィンドウの[アプリケーション設定]タブで[完全アップデート]を選択し、[保存]をクリックして変更を保存します。
  4. ベースラインのアップデートタスクを開始します

Light Agent for Windows のローカルインターフェイスで、仮想マシンのベースラインを作成またはアップデートするには:

  1. 必要に応じて、ベースラインのアップデートタスクの設定を指定します。設定するには、次の操作を実行します:
    1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
    2. ウィンドウの左側の[スケジュールされているタスク]セクションで、[ベースラインのアップデート]を選択します。

      ウィンドウの右側に、ベースラインのアップデートタスクの設定が表示されます。

      ベースラインのアップデート]セクションの情報がない場合、管理グループのすべての保護対象仮想マシンのポリシーによって、ローカルタスクの表示と管理が拒否されていることを意味します。Light Agent for Windows ポリシーでローカルタスクの表示と管理を有効または無効にできます([その他の設定]セクションの[詳細設定]サブセクション)。

    3. ベースラインのアップデートの方法を選択します:
      • 完全アップデート]– 監視範囲のすべてのオブジェクトが対象です。
      • 差分アップデート]– 監視範囲の変更されたオブジェクトまたは新しいオブジェクトのみが対象です。
    4. 変更内容を保存するには[保存]をクリックします。
  2. ベースラインのアップデートタスクを開始します
ページのトップに戻る
[Topic 98067]

定期的または手動でのシステム整合性のチェック

システム変更チェックタスクを使用して、保護対象仮想マシンでシステムの整合性を確認できます。

保護対象仮想マシンのシステム変更チェックタスクは、Kaspersky Security Center 管理コンソールまたは Web コンソールを使用して作成、設定できます。Light Agent for Windows のローカルインターフェイスで 1 つの仮想マシンのシステム変更チェックタスクを設定することもできます。

タスクを正常に完了するには、システム変更チェックタスクが開始された時に、ベースラインがシステム変更チェック範囲と完全に一致している必要があります。状態がベースラインに記録されたオブジェクトの構成が、システム変更チェック範囲内のオブジェクトの構成と異なる場合、システム変更チェックタスクがエラーで終了します。

管理コンソールを使用して、仮想マシンのシステム変更をチェックするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. 次のいずれかの手順を実行します:
    • 選択した管理グループ内の仮想マシンのタスクを作成するには、この管理グループの名前のフォルダーをコンソールツリーで選択し、ワークスペースで[タスク]タブを選択します。
    • 1 台以上の仮想マシンのタスク(デバイスのセット向けのタスク)を作成するには、コンソールツリーで[タスク]を選択します。
  3. 新規タスク]をクリックして、新規タスクウィザードを実行します。
  4. ウィザードの最初のステップで、タスクの種別を選択します。これを行うには、[Kaspersky Security for Virtualization 5.2 Light Agent for Windows]リストで、[システム変更チェック]を選択します。

    新規タスクウィザードの次のステップに進みます。

  5. タスク]フォルダーから新規タスクウィザードを開始した場合、タスク作成の対象となる仮想マシンを選択する方法を指定します。管理サーバーが検出した仮想マシンのリストからの仮想マシンの選択、仮想マシンのアドレスの手動指定、仮想マシンリストのファイルからのインポート、または以前設定したデバイスの抽出の指定が可能です(詳細は、Kaspersky Security Center のオンラインヘルプを参照してください)。指定した仮想マシン選択方法に応じて、表示されたウィンドウで、次のいずれかの操作を実行します:
    • 検出された仮想マシンのリストで、タスクを作成する仮想マシンを指定します。これを行うには、リストの該当する仮想マシン名の左にあるチェックボックスをオンにします。
    • 追加]または[IP アドレス範囲の追加]をクリックし、仮想マシンのアドレスを手動で入力します。
    • インポート]をクリックして表示されたウィンドウで、仮想マシンのアドレスのリストの入った TXT ファイルを選択します。
    • 参照]をクリックして表示されたウィンドウで、タスクを作成する仮想マシンを含む抽出の名前を指定します。

    新規タスクウィザードの次のステップに進みます。

  6. 実行予定]ドロップダウンリストで、[手動]を選択します。

    新規タスクウィザードの次のステップに進みます。

  7. 名前]にシステム変更チェックタスクの名前を入力します。

    新規タスクウィザードの次のステップに進みます。

  8. 新規タスクウィザード終了後すぐにタスクを開始したい場合は、[ウィザード完了後にタスクを実行する]をオンにします。

    タスクが既定の設定で実行される場合、システム変更チェックが完全スキャンモードで実行されます(ファイルの変更を確認する時にファイルのすべての属性とファイルの内容が分析されます)。

    ウィザードを終了します。

    作成したオブジェクトスキャンタスクがタスクのリストに表示されます。

  9. ファイルの変更を確認する時に、製品でファイルの属性のみを分析してファイルの内容は分析しない場合、タスクの設定を次のように変更します:
    1. 作成されたタスクのプロパティウィンドウをダブルクリックして開きます。
    2. 設定]セクションに移動して、[簡易スキャン]を選択します。
    3. OK]をクリックします。
  10. システム変更チェックタスクを開始します

システム変更チェックは、タスクの設定で指定した各仮想マシン上で実行されます。管理コンソールで、実行結果を表示できます。

Web コンソールを使用して、仮想マシンのシステム変更をチェックするには:

  1. ウィザードの手順に従い、システム変更チェック種別のタスクを作成します。タスクが既定の設定で作成されます。

    タスクを実行すると、システム変更チェックが完全スキャンモードで実行されます(ファイル変更の確認時に、ファイルの属性と内容がすべて分析されます)。

  2. ファイル変更の確認時に、ファイルの属性のみを分析してファイルの内容は分析しない場合、ウィザードの最後のステップで、[タスクの作成が完了したらタスクの詳細を表示する]をオンにしてウィザードを閉じます。
  3. タスクのプロパティウィンドウの[アプリケーション設定]タブで[簡易スキャン]を選択し、[保存]をクリックして変更を保存します。
  4. システム変更チェックタスクを開始します

システム変更チェックは、タスクの設定で指定した各仮想マシン上で実行されます。Web コンソールで、実行結果を表示できます。

Light Agent for Windows のローカルインターフェイスで、仮想マシンのシステムの整合性を確認するには:

  1. 必要に応じて、システム変更チェックタスクの設定を指定します。設定するには、次の操作を実行します:
    1. 保護対象仮想マシンで、本製品の設定ウィンドウを開きます。
    2. ウィンドウの左側の[スケジュールされているタスク]セクションで、[システム変更チェック]セクションを選択します。

      ウィンドウの右側にシステム変更チェックタスクの設定が表示されます。

      システム変更チェック]セクションの情報がない場合、管理グループのすべての保護対象仮想マシンのポリシーによって、ローカルタスクの表示と管理がブロックされていることを意味します。Light Agent for Windows ポリシーでローカルタスクの表示と管理を有効または無効にできます([その他の設定]セクションの[詳細設定]サブセクション)。

    3. スキャン方法を選択します:
      • 完全スキャン]– ファイルの変更をチェックする際に、すべてのファイルの属性とその内容が分析されます。既定ではこのオプションが選択されます。
      • 簡易スキャン]– ファイルの変更をチェックする際に、ファイルの属性のみがチェックされます。ファイルの内容はチェックされません。
    4. 必要に応じて、タスクの実行方法を変更します。手動開始の実行方法を使用してください。既定ではこの方法が選択されます。
    5. 変更内容を保存するには[保存]をクリックします。
  2. システム変更チェックタスクを開始します。
ページのトップに戻る
[Topic 98069]

仮想マシンでのシステム整合性に関する情報の表示

システム変更監視の結果に関する情報は、次のように表示されます:

  • Kaspersky Security Center のイベントとして。システム変更監視は、外部デバイスが接続された場合、またはファイルやレジストリが保護対象仮想マシンで変更された場合に、Kaspersky Security Center にイベントを送信します。

    システム変更監視のイベントはすべて、Kaspersky Security Center のイベントリストに表示されます。これは、管理コンソールと Web コンソールで共通です。システム変更監視のイベントを表示するために、イベントの選択を設定ができます。イベントの選択に関する詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

    仮想マシン上で前回のシステム変更チェックタスクが実行された時に発生したイベントは、仮想マシンにインストールされる製品のプロパティに表示されます。

  • Kaspersky Security Center で仮想マシンのステータスの変更による。重要度が「緊急」または「重要」のイベントをシステム変更監視から受信した場合、Kaspersky Security Center は、保護対象仮想マシンのクライアントデバイスのステータスを「緊急」または「警告」に変更します。

    管理対象アプリケーションのデバイスステータスの受信を、Kaspersky Security Center の「緊急」、「警告」のステータス割り当て条件のリストで有効にする必要があります。デバイスステータスの割り当て条件は、管理グループのプロパティウィンドウで設定します。

    クライアントデバイスのステータスと、ステータスを変更するすべての理由が、管理グループにあるデバイスのリストに表示されます。クライアントデバイスステータスの詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

    システム変更監視から受信したステータスをリセットできます。

  • Kaspersky Security Center に表示されるシステム変更チェックタスクの結果
  • Kaspersky Security Center のレポート。Kaspersky Security Center では、2 種のレポートが提供されます:
  • Light Agent のローカルインターフェイスのレポート。[レポート]タブの[レポートと保管領域]ウィンドウで、次のレポートを表示できます:
    • リアルタイムでのシステム変更監視のレポート
    • システム変更チェックタスクのレポート
    • ベースラインのアップデートタスクのレポート

このセクションの内容:

最後のシステム変更チェックの実行中に発生したイベントの表示

システム変更監視ルールの適用頻度が高い仮想マシンのレポートの表示

適用頻度が高いシステム変更監視ルールのレポートの表示
ページのトップに戻る
[Topic 67379]

最後のシステム変更チェックの実行中に発生したイベントの表示

システム変更チェックタスクの前回の実行時に発生したイベントを、保護対象仮想マシンにインストールされた Kaspersky Security のプロパティで表示できます。イベントのリストは、管理コンソールまたは Web コンソールを使用して表示できます(仮想マシンにインストールされた Kaspersky Security for Virtualization 5.2 Light Agent のプロパティウィンドウから、[アプリケーション設定]タブの[システム変更監視イベント]セクションへ移動)。

管理コンソールを使用して、システム変更チェックタスクの前回の実行中に仮想マシンで発生したイベントのリストを表示するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象の仮想マシンが所属する管理グループのフォルダーを選択します。
  3. 作業領域で、[デバイス]タブを選択します。
  4. 仮想マシンをリストから選択し、ダブルクリックして仮想マシンの設定ウィンドウを開きます。
  5. 表示されるウィンドウの左側にあるリストで、[アプリケーション]セクションを選択します。
  6. ウィンドウの右側にある仮想マシンにインストールされたアプリケーションのリストで、[Kaspersky Security for Virtualization 5.2 Light Agent]を選択し、ダブルクリックして Kaspersky Security for Virtualization 5.2 Light Agent の設定ウィンドウを開きます。
  7. 表示されるウィンドウで、左のリストから[システム変更監視イベント]セクションを選択します。

    ウィンドウの右側のテーブルに、各イベントに関する次の情報が表示されます:

    • イベント生成日。
    • 名前。
    • システム変更監視により適用されたルール。
    • 変更された管理対象オブジェクト。管理されるオブジェクトの種別に応じて、次の情報が列に表示されます:
      • ファイルのパス(システム変更監視がファイルに対する変更を検知した場合)。
      • レジストリキー(システム変更監視がレジストリでの変更を検知した場合)。
      • デバイス名(システム変更監視が外部デバイスの接続を検知した場合)。
    • システム変更監視により検知された監視対象オブジェクトに対する変更の種別。取り得る値の一覧:
      • 作成
      • 変更
      • 削除する
      • 接続

    イベントのリストで、次の操作を実行できます:

    • イベントのリストをアップデートする。
    • 列の値またはカスタム条件によってイベントのリストをフィルタリングする。
    • 検索機能を使用して、具体的なイベントを検索する。
    • レポートに表示される列の順番と配置を変更する。
    • イベントのリストを列ごとに分類する。
    • レポートを TXT ファイルまたは CSV ファイルに保存する。
ページのトップに戻る
[Topic 64733]

システム変更監視ルールの適用頻度が高い仮想マシンのレポートの表示

管理コンソールでシステム変更監視ルールの適用頻度が高い仮想マシンのレポートを作成する

管理コンソールで、システム変更監視ルールの適用頻度が高い仮想マシンのレポートを表示するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. 管理サーバー <サーバー名>]フォルダーの作業領域で、[レポート]タブを開きます。
  3. 新規レポートテンプレート]をクリックして[新規レポートテンプレートウィザード]を開始します。
  4. ウィザードの指示に従います。
  5. レポートテンプレートの種別の選択]ウィンドウの[その他]セクションで、[ファイル変更監視 / システム整合性監視ルールの適用回数が多い 10 台のデバイス]種別を選択します。
  6. レポートのテンプレートを作成したら、[レポート]タブのテンプレートのリストで選択します。

レポートが作業領域に表示されます。

期間]に、レポートが対象とする期間が表示されます。既定では、レポート生成日を含めた過去 30 日間のレポートが生成されます。

レポートは 2 つの表で構成されています:

  • 概要の表には、システム変更監視ルールの適用頻度が高い保護対象仮想マシンに関する情報が含まれます。
  • 詳細情報の表には、ルールの適用に関する情報が含まれます。

各表の列の表示をカスタマイズできます。レポートの表の列を追加、削除する詳細な方法は、Kaspersky Security Center のオンラインヘルプを参照してください。

概要の表には、次の情報が含まれます:

  • デバイス名 – システム変更監視ルールが適用された保護対象仮想マシンの名前。
  • イベント数 – システム変更監視ルールが保護対象仮想マシンで適用された回数。
  • ルールの数 – 保護対象仮想マシンで適用されたシステム変更監視ルールの数。

    下の行には次の概要情報が表示されます:

    • デバイスの – システム変更監視ルールが適用された保護対象仮想マシンの合計数。
    • イベント数 – システム変更監視ルールが保護対象仮想マシンで適用された回数の合計。
    • イベント受信数が上限に達しました – Kaspersky Security Center がクライアントデバイス上のシステム変更監視から受信できるイベントの最大数に達したかどうかに関する情報。受信できるイベント数の上限は Kaspersky Security Center のレジストリで設定され、既定では 1 日に 15,000 件です。受信したレポートの数が上限を超えた場合、このフィールドに「はい」と表示されます。

詳細情報の表には、次の情報が含まれます:

  • 仮想サーバー – 保護対象仮想マシンを管理する仮想管理サーバー(使用可能な場合)の名前。
  • グループ名 – システム変更監視ルールが適用された保護対象仮想マシンを含むグループの名前。
  • IP アドレス – システム変更監視ルールが適用された保護対象仮想マシンの IP アドレス。
  • 前回の可視 – システム変更監視ルールが適用された保護対象仮想マシンが前回ネットワーク上で管理サーバーからアクセスされた日時。
  • 前回のネットワークエージェントへの接続 – ネットワークエージェントが管理サーバーと前回同期した日時。
  • デバイス名 – システム変更監視ルールが適用された保護対象仮想マシンの名前。
  • NetBIOS 名 – システム変更監視ルールが適用された保護対象仮想マシンの名前。
  • ドメイン名 – システム変更監視ルールが適用された保護対象仮想マシンを含むドメインの名前。
  • DNS 名 – システム変更監視ルールが適用された保護対象仮想マシンの DNS 名。
  • ドメイン DNS 名 – システム変更監視ルールが適用された保護対象仮想マシンを含むドメインの DNS 名。
  • 重要度 – システム変更監視イベントの重要度。取り得る値の一覧:情報メッセージ重要なメッセージ緊急
  • 日時 – イベントが発生した日時。
  • 適用されるルール名 – 適用されたシステム変更監視ルールの名前。
  • オブジェクトのパス – システム変更監視によって変更が検知された監視対象オブジェクトのパス。管理されるオブジェクトの種別に応じて、次の情報が列に表示されます:
    • ファイルまたはフォルダーのパス(システム変更監視がファイルまたはフォルダーに対する変更を検知した場合)。
    • レジストリキー(システム変更監視がレジストリでの変更を検知した場合)。
    • 外部デバイス(システム変更監視が外部デバイスの接続を検知した場合)。
  • 処理 – 監視対象オブジェクトに対する処理。取り得る値の一覧:作成変更削除接続
  • オブジェクト種別 – システム変更監視によって変更が検知された監視対象オブジェクトの種別。取り得る値の一覧:ファイルまたはフォルダーレジストリキー外部デバイス
  • システム変更監視が無効です – イベントの発生時にシステム変更監視が無効になっていたかどうかに関する情報。Kaspersky Security では、このフィールドは常に「いいえ」です。
  • ユーザー – システム変更監視ルールが適用された保護対象仮想マシンのユーザーアカウント。

Web コンソールでシステム変更監視ルールの適用頻度が高い仮想マシンのレポートを作成する

Web コンソールで、システム変更監視ルールの適用頻度が高い仮想マシンのレポートテンプレートを作成するには:

  1. Web コンソールを開始します
  2. 監視とレポート]で、[レポート]を選択します。
  3. レポートテンプレートの上にある[追加]をクリックします。
  4. 表示されたウィンドウの[レポート名]フィールドで、作成したレポートテンプレート名を指定し、[レポート種別]セクションの[その他]サブセクションで、ファイル変更監視 / システム整合性監視ルールの適用回数が多い 10 台のデバイス種別を選択します。
  5. 範囲]ウィンドウで、レポートに表示するデバイス情報を指定します。
  6. レポート期間]ウィンドウで、レポートに表示するデータ期間を指定します。
  7. レポート作成]ウィンドウで、次のいずれかを実行します:
    • 保存して実行]をクリックし、レポートの生成を開始します。
    • 保存]をクリックし、レポートテンプレートを保存します。

作成されたレポートテンプレートが作業領域に表示されます。

Web コンソールで、システム変更監視ルールの適用頻度が高い仮想マシンのレポートを表示するには:

  1. Web コンソールを開始します
  2. 監視とレポート]で、[レポート]を選択します。

    レポートテンプレートのリストが開きます。

  3. ファイル変更監視 / システム変更監視ルールの適用回数が多い 10 台のデバイス種別のレポートテンプレートに隣接するチェックボックスをオンにします。
  4. レポートの表示]をクリックします。

レポートウィンドウが表示されます。

レポートには 2 つのタブがあります:

  • サマリー]タブには、システム変更監視ルールの適用頻度が高い保護対象仮想マシンに関する情報が含まれます:
    • システム変更監視ルールが適用された保護対象仮想マシンの名前。
    • システム変更監視ルールが保護対象仮想マシンで適用された回数。
    • 保護対象仮想マシンで適用されたシステム変更監視ルールの数。
  • 詳細]タブには、各ルールが適用されるイベントに関する情報が含まれます。

レポートのタブの表に表示される列をカスタマイズできます。レポートの表の列を追加、削除する詳細な方法は、Kaspersky Security Center のオンラインヘルプを参照してください。

ページのトップに戻る
[Topic 160051]

適用頻度が高いシステム変更監視ルールのレポートの表示

管理コンソールで適用頻度が高いシステム変更監視ルールのレポートを作成する

管理コンソールで、適用頻度が高いシステム変更監視ルールのレポートを表示するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. 管理サーバー <サーバー名>]フォルダーの作業領域で、[レポート]タブを開きます。
  3. 新規レポートテンプレート]をクリックして[新規レポートテンプレートウィザード]を開始します。
  4. ウィザードの指示に従います。
  5. レポートテンプレートの種別の選択]ウィンドウの[その他]セクションで、[デバイスで適用された回数が多い 10 個のファイル変更監視 / ファイル変更監視ルール]種別を選択します。
  6. レポートのテンプレートを作成したら、[レポート]タブのテンプレートのリストで選択します。

レポートが作業領域に表示されます。

期間]に、レポートが対象とする期間が表示されます。既定では、レポート生成日を含めた過去 30 日間のレポートが生成されます。

レポートは 2 つの表で構成されています:

  • 概要の表には、レポート対象期間中にデバイス上で最も多く適用されたシステム変更監視ルールに関する情報が含まれます。
  • 詳細情報の表には、ルールの適用に関する情報が含まれます。

各表の列の表示をカスタマイズできます。レポートの表の列を追加、削除する詳細な方法は、Kaspersky Security Center のオンラインヘルプを参照してください。

概要の表には、次の情報が含まれます:

  • 適用されるルール名 – 適用されたシステム変更監視ルールの名前。
  • イベント数 – システム変更監視ルールが保護対象の保護対象仮想マシンで適用された回数。
  • デバイスの数 – システム変更監視ルールが適用された保護対象の保護対象仮想マシン保護対象仮想マシンの数。

    下の行には次の概要情報が表示されます:

    • デバイスの – システム変更監視ルールが適用された保護対象仮想マシンの合計数。
    • イベント数 – システム変更監視ルールが保護対象仮想マシンで適用された回数の合計。
    • イベント受信数が上限に達しました – Kaspersky Security Center がクライアントデバイス上のシステム変更監視から受信できるイベントの最大数に達したかどうかに関する情報。受信できるイベント数の上限は Kaspersky Security Center のレジストリで設定され、既定では 1 日に 15,000 件です。受信したレポートの数が上限を超えた場合、このフィールドに「はい」と表示されます。

詳細情報の表には、次の情報が含まれます:

  • 仮想サーバー – 保護対象仮想マシンを管理する仮想管理サーバー(使用可能な場合)の名前。
  • グループ名 – システム変更監視ルールが適用された保護対象仮想マシンを含むグループの名前。
  • IP アドレス – システム変更監視ルールが適用された保護対象仮想マシンの IP アドレス。
  • 前回の可視 – システム変更監視ルールが適用された保護対象仮想マシンが前回ネットワーク上で管理サーバーからアクセスされた日時。
  • 前回のネットワークエージェントへの接続 – ネットワークエージェントが管理サーバーと前回同期した日時。
  • デバイス名 – システム変更監視ルールが適用された保護対象仮想マシンの名前。
  • NetBIOS 名 – システム変更監視ルールが適用された保護対象仮想マシンの名前。
  • ドメイン名 – システム変更監視ルールが適用された保護対象仮想マシンを含むドメインの名前。
  • DNS 名 – システム変更監視ルールが適用された保護対象仮想マシンの DNS 名。
  • ドメイン DNS 名 – システム変更監視ルールが適用された保護対象仮想マシンを含むドメインの DNS 名。
  • 重要度 – システム変更監視イベントの重要度。取り得る値の一覧:情報メッセージ重要なメッセージ緊急
  • 日時 – イベントが発生した日時。
  • 適用されるルール名 – 適用されたシステム変更監視ルールの名前。
  • オブジェクトのパス – システム変更監視によって変更が検知された監視対象オブジェクトのパス。管理されるオブジェクトの種別に応じて、次の情報が列に表示されます:
    • ファイルまたはフォルダーのパス(システム変更監視がファイルまたはフォルダーに対する変更を検知した場合)。
    • レジストリキー(システム変更監視がレジストリでの変更を検知した場合)。
    • 外部デバイス(システム変更監視が外部デバイスの接続を検知した場合)。
  • 処理 – 監視対象オブジェクトに対する処理。取り得る値の一覧:作成変更削除接続
  • オブジェクト種別 – システム変更監視によって変更が検知された監視対象オブジェクトの種別。取り得る値の一覧:ファイルまたはフォルダーレジストリキー外部デバイス
  • システム変更監視が無効です – イベントの発生時にシステム変更監視が無効になっていたかどうかに関する情報。Kaspersky Security では、このフィールドは常に「いいえ」です。
  • ユーザー – システム変更監視ルールが適用された保護対象仮想マシンのユーザーアカウント。

Web コンソールで適用頻度が高いシステム変更監視ルールのレポートを作成する

Web コンソールで、適用頻度が高いシステム変更監視ルールのレポートのテンプレートを作成するには:

  1. Web コンソールを開始します
  2. 監視とレポート]で、[レポート]を選択します。
  3. レポートテンプレートの上にある[追加]をクリックします。
  4. 表示されたウィンドウの[レポート名]フィールドで、作成したレポートテンプレート名を指定し、[レポート種別]セクションの[その他]サブセクションで、デバイスで適用された回数が多い 10 個のファイル変更監視 / ファイル変更監視ルール種別を選択します。
  5. 範囲]ウィンドウで、レポートに表示するデバイス情報を指定します。
  6. レポート期間]ウィンドウで、レポートに表示するデータ期間を指定します。
  7. レポート作成]ウィンドウで、次のいずれかを実行します:
    • 保存して実行]をクリックし、レポートの生成を開始します。
    • 保存]をクリックし、レポートテンプレートを保存します。

作成されたレポートテンプレートが作業領域に表示されます。

Web コンソールで、適用頻度が高いシステム変更監視ルールのレポートを表示するには:

  1. Web コンソールを開始します
  2. 監視とレポート]で、[レポート]を選択します。

    レポートテンプレートのリストが開きます。

  3. デバイスで適用された回数が多い 10 個のファイル変更監視 / システム変更監視ルール種別のレポートテンプレートに隣接するチェックボックスをオンにします。
  4. レポートの表示]をクリックします。

レポートウィンドウが表示されます。

レポートには 2 つのタブがあります:

  • サマリータブには、レポート対象期間中にデバイス上で最も多く適用されたシステム変更監視ルールに関する情報が含まれます:
    • 適用されたシステム変更監視ルールの名前。
    • システム変更監視ルールが保護対象仮想マシンで適用された回数。
    • システム変更監視ルールが適用された保護対象仮想マシンの数。
  • 詳細]タブには、各ルールが適用されるイベントに関する情報が含まれます。

レポートのタブの表に表示される列をカスタマイズできます。レポートの表の列を追加、削除する詳細な方法は、Kaspersky Security Center のオンラインヘルプを参照してください。

ページのトップに戻る
[Topic 160078]

システム変更ステータスのリセット

システム変更監視イベントによって仮想マシンのステータスが[緊急]または[警告]に変更された場合、そのステータスはシステム変更ステータスを表しています。

Kaspersky Security Center でシステム変更ステータスをリセットできます。すなわち、仮想マシンの[緊急]および[警告]ステータスをキャンセルできます。

仮想マシンのプロパティウィンドウで 1 台の仮想マシンのシステム変更ステータスをリセットしたり、管理グループ内の複数の保護対象仮想マシンのシステム変更ステータスをリセットするグループタスクを作成したりできます。

このセクションの内容:

1 台の仮想マシンでのシステム変更ステータスのリセット

システム変更ステータスのリセットタスクの作成
ページのトップに戻る
[Topic 155852]

1 台の仮想マシンでのシステム変更ステータスのリセット

仮想マシンのシステム変更のステータスを、仮想マシンにインストールされた Kaspersky Security のプロパティでリセットできます。管理コンソールまたは Web コンソールを使用して、システム変更ステータスをリセットできます(仮想マシンにインストールされた Kaspersky Security for Virtualization 5.2 Light Agent のプロパティウィンドウから、[アプリケーション設定]タブの[仮想マシンの変更ステータス]セクションへ移動)。

管理コンソールを使用して、1 台の仮想マシンでシステム変更ステータスをリセットするには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. コンソールツリーの[管理対象デバイス]フォルダーで、対象の仮想マシンが所属する管理グループのフォルダーを選択します。
  3. 作業領域で、[デバイス]タブを選択します。
  4. 仮想マシンをリストから選択し、ダブルクリックして仮想マシンの設定ウィンドウを開きます。
  5. 表示されるウィンドウの左側にあるリストで、[アプリケーション]セクションを選択します。
  6. ウィンドウの右側にある仮想マシンにインストールされたアプリケーションのリストで、[Kaspersky Security for Virtualization 5.2 Light Agent]を選択し、ダブルクリックして Kaspersky Security for Virtualization 5.2 Light Agent の設定ウィンドウを開きます。
  7. 表示されるウィンドウで、[仮想マシンのシステム変更ステータス]セクションを選択します。
  8. ウィンドウの右側で、[ステータスのリセット]をクリックします。

システム変更監視イベントによって仮想マシンのステータスが[緊急]または[警告]に変更されていた場合、[OK]ステータスが仮想マシンに割り当てられます。

他のイベントによって、または Kaspersky Security Center ステータス割り当てルールに基づいてステータスが変更されていた場合、仮想マシンのステータスは変更されません。

ページのトップに戻る
[Topic 102187]

システム変更ステータスのリセットタスクの作成

管理コンソールを使用してタスクを作成し、システム変更ステータスをリセットできます。このタスクは手動で開始します。システム変更ステータスのリセットは、タスクの設定で指定した各仮想マシン上で実行されます。

システム変更ステータスのリセットタスクは、仮想マシンで Web コンソールを使用して作成実行することもできます。

管理コンソールを使用して、システム変更ステータスのリセットタスクを仮想マシンで作成するには:

  1. Kaspersky Security Center 管理コンソールを開きます。
  2. 次のいずれかの手順を実行します:
    • 選択した管理グループ内の仮想マシンのタスクを作成するには、この管理グループの名前のフォルダーをコンソールツリーで選択し、ワークスペースで[タスク]タブを選択します。
    • 1 台以上の仮想マシンのタスク(デバイスのセット向けのタスク)を作成するには、コンソールツリーで[タスク]を選択します。
  3. 新規タスク]をクリックして、新規タスクウィザードを実行します。
  4. ウィザードの最初のステップで、タスクの種別を選択します。これを行うには、[Kaspersky Security for Virtualization 5.2 Light Agent for Windows]リストで、[システム変更ステータスのリセット]を選択します。

    新規タスクウィザードの次のステップに進みます。

  5. タスク]フォルダーから新規タスクウィザードを開始した場合、タスク作成の対象となる仮想マシンを選択する方法を指定します。管理サーバーが検出した仮想マシンのリストからの仮想マシンの選択、仮想マシンのアドレスの手動指定、仮想マシンリストのファイルからのインポート、または以前設定したデバイスの抽出の指定が可能です(詳細は、Kaspersky Security Center のオンラインヘルプを参照してください)。指定した仮想マシン選択方法に応じて、表示されたウィンドウで、次のいずれかの操作を実行します:
    • 検出された仮想マシンのリストで、タスクを作成する仮想マシンを指定します。これを行うには、リストの該当する仮想マシン名の左にあるチェックボックスをオンにします。
    • 追加]または[IP アドレス範囲の追加]をクリックし、仮想マシンのアドレスを手動で入力します。
    • インポート]をクリックして表示されたウィンドウで、仮想マシンのアドレスのリストの入った TXT ファイルを選択します。
    • 参照]をクリックして表示されたウィンドウで、タスクを作成する仮想マシンを含む抽出の名前を指定します。

    新規タスクウィザードの次のステップに進みます。

  6. 名前]にシステム変更ステータスリセットタスクの名前を入力します。

    新規タスクウィザードの次のステップに進みます。

  7. 新規タスクウィザード終了後すぐにタスクを開始したい場合は、[ウィザード完了後にタスクを実行する]をオンにします。

    ウィザードを終了します。

作成したオブジェクトスキャンタスクがタスクのリストに表示されます。

ページのトップに戻る
[Topic 155813]