オンデマンドのシステム変更チェック

2024年11月22日

ID 275008

オンデマンドのシステム変更チェックは、手動で実行することも、スケジュールに従って実行することもできるタスクです。システム変更チェックタスクの実行中、本製品は監視範囲に含まれるオブジェクトの現在の状態をベースラインの状態と比較します。リアルタイムシステム変更監視とは対照的に、システム変更チェックタスクは、イベントの数を制限し、オペレーティングシステムの変更に関する全体的なレポートを生成するのに役立ちます。

システム変更監視が機能するには、ルールを少なくとも 1 つ追加する必要があります。システム変更監視ルールとは、ファイルおよびレジストリへのユーザーのアクセスを定義する一連の条件です。システム変更監視は、指定された監視範囲内のファイルとレジストリの変更を検知します。監視範囲は、システム変更監視ルールの条件の 1 つです。リアルタイムシステム変更監視とシステム変更チェックタスクによって共有されるルールを設定するか、タスク用に個別のルールを作成することができます。ベースラインを作成するために、Kaspersky Endpoint Security はシステム変更チェックタスクの監視範囲をベースラインアップデートタスクに適用します。

ベースラインの作成と更新

システム変更チェックタスクが機能するにはベースラインが必要です。ベースラインとは、システム内のオブジェクトの記録された状態であり、現在の状態と比較する際に参照用に使用されます。システムの現在の状態がベースラインに記録されたシステムの状態と異なる場合、Kaspersky Endpoint Security は対応するイベントを生成します。ベースラインは、ベースラインアップデートタスクを使用して作成または更新できます。

ベースラインは次のいずれかのモードで更新できます:

  • 完全アップデート

    監視範囲内のすべてのオブジェクトを更新します。

  • 増分アップデート

    変更されたオブジェクトまたは新規オブジェクトのみを検知して更新します。

管理コンソール(MMC)でベースラインを作成または更新する方法

Web コンソールでベースラインを作成または更新する方法

システム変更チェックタスク用の監視範囲の設定

既定で、システム変更チェックタスクの監視範囲とは、リアルタイムシステム変更監視の監視範囲と同じです。このタスクに対して異なる監視範囲を設定できます。

管理コンソール(MMC)でシステム変更チェックタスク用に異なる監視範囲を設定する方法

Web コンソールでシステム変更チェックタスク用に異なる監視範囲を設定する方法

アプリケーションインターフェイスでシステム変更チェックタスク用に異なる監視範囲を設定する方法

システム変更チェックタスクルールの設定

パラメータ

説明

ルール名

システム変更チェックタスクルールの名前。

イベントの深刻度

Kaspersky Endpoint Security は、監視範囲内のファイルまたはレジストリキーが変更された場合にファイル変更イベントを記録します。情報 情報イベントのアイコン。警告 警告イベントのアイコン。緊急 重大なイベントのアイコン。 のイベントセキュリティレベルが利用可能です。

監視範囲

  • ファイル:コンポーネントによって監視されるファイルとフォルダーのリスト。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。

    マスクを使用する

    • *」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。
    • 2 つの連続した「*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。
    • ?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
  • レジストリ:コンポーネントによって監視されるレジストリキーと値のリスト。Kaspersky Endpoint Security はマスクの入力時の文字「*」および「?」 をサポートします。

除外リスト

  • ファイル:監視範囲からの除外リストです。Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「*」および「?」をサポートします。例:「C:\Folder\Application\*.log」。除外項目は監視範囲項目よりも優先されます。

    マスクを使用する

    • *」(アスタリスク)文字。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。
    • 2 つの連続した「*」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt」は、「Folder」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt」というマスクの指定は無効です。
    • ?」(クエスチョンマーク)。「\」および「/」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt」は、「Folder」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。
  • レジストリ:監視範囲からの除外リストです。Kaspersky Endpoint Security はマスクの入力時の文字「*」および「?」 をサポートします。除外項目は監視範囲項目よりも優先されます。

システム変更チェックタスクの実行

システム変更チェックタスクにより、ファイルやレジストリキーの変更を確認したり、外部デバイスの接続を確認したりできます。ファイルの変更を確認するには、システム変更チェックタスクを次のいずれかのモードで実行します:

  • 簡易スキャン

    ファイルの変更をチェックする際にファイル属性のみをチェックします。ファイルの内容はチェックしません。

  • 完全スキャン

    ファイルの変更をチェックする際にすべてのファイル属性とファイルの内容をチェックします。

タスクの実行モードは、レジストリまたは外部デバイスのチェックには影響しません。

管理コンソール(MMC)でシステム変更チェックタスクを実行する方法

Web コンソールでシステム変更チェックタスクを実行する方法

システム変更チェックタスクが正常に完了するためには、システム変更チェックタスクの監視範囲がベースラインと完全に一致する必要があります。監視範囲が異なる場合、タスクはエラーで終了します。監視範囲を同期するには、ベースラインアップデートタスクを新しい監視範囲で実行します。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。