ファイル変更監視ルールについて
ファイル変更監視タスクは、ファイル変更監視ルールに基づいて実行されます。ルール有効化の条件を使用してタスクを起動させる条件を設定し、実行ログに記録された検知されたファイル操作イベントに対して重要性レベルを調整することができます。
ファイル変更監視ルールは、各監視範囲に対して指定されます。
次のルール有効化の条件を設定できます:
- 信頼するユーザー
- ファイル操作マーカー
信頼するユーザー
既定では、すべてのユーザーアクションが潜在的なセキュリティ違反と判断されます。信頼するユーザーのリストは空です。ファイル変更監視ルール設定に信頼するユーザーのリストを作成することで、イベントの重要性レベルを設定できます。
信頼しないユーザーとは、監視範囲ルール設定の信頼するユーザーリストに示されていないすべてのユーザーに割り当てられるステータスです。信頼しないユーザーによって行われたファイル操作を検知すると、ファイル変更監視タスクが実行ログに緊急イベントを記録します。
信頼するユーザーとは、指定した監視範囲でファイル操作を行う許可を与えられているユーザーのユーザーまたはグループに割り当てられるステータスです。信頼するユーザーによって行われたファイル操作を検知すると、ファイル変更監視タスクが実行ログに情報イベントを記録します。
Kaspersky Embedded Systems Security は、監視の中断中に操作を開始したユーザーを特定できません。この場合、ユーザーステータスは不明と判断されます。
不明なユーザーは、タスク中断、またはデータ同期ドライバーや USN ジャーナルの障害のために Kaspersky Embedded Systems Security がユーザーに関する情報を受け取ることができない場合に、ユーザーに割り当てられるステータスです。不明なユーザーによって行われたファイル操作を検知すると、ファイル変更監視タスクが実行ログに警告イベントを記録します。
ファイル操作マーカー
ファイル変更監視タスクが実行されている時、Kaspersky Embedded Systems Security はファイル操作マーカーを使用して、ファイル上で処理が実行されたと判定します。
ファイル操作マーカーは、ファイル操作を特徴づけることができる一意の記述子です。
各ファイル操作は、単一の処理であることも、ファイルを使用した処理の連鎖であることもあります。この種類の各処理は、ファイル操作マーカーに対応します。ルール有効化の条件として指定するマーカーがファイル操作チェーンで検知された場合、所定のファイル操作が実行されたことを示すイベントが記録されます。
記録されたイベントの重要性レベルは、選択されたファイル操作マーカーまたはイベントの数に依存しません。
既定で、Kaspersky Embedded Systems Security は利用できるすべてのファイル操作マーカーを考慮します。タスクのルール設定で、手動でファイル操作マーカーを選択できます。
ファイル操作マーカー
ファイル操作 ID | ファイル操作マーカー | サポートされているファイルシステム |
|---|---|---|
BASIC_INFO_CHANGE | ファイルまたはフォルダーの属性または時間マーカーが変更されました | NTFS、ReFS |
COMPRESSION_CHANGE | ファイルまたはフォルダーの圧縮が変更されました | NTFS、ReFS |
DATA_EXTEND | ファイルまたはフォルダーのサイズが増加しました | NTFS、ReFS |
DATA_OVERWRITE | ファイルまたはフォルダー内のデータが上書きされました | NTFS、ReFS |
DATA_TRUNCATION | ファイルまたはフォルダーが切り詰められました | NTFS、ReFS |
EA_CHANGE | 拡張されたファイルまたはフォルダーの属性が変更されました | NTFS のみ |
ENCRYPTION_CHANGE | ファイルまたはフォルダーの暗号化ステータスが変更されました | NTFS、ReFS |
FILE_CREATE | ファイルまたはフォルダーが初めて作成されました | NTFS、ReFS |
FILE_DELETE | SHIFT+DEL を同時に押して、ファイルまたはフォルダーが完全に削除されました | NTFS、ReFS |
HARD_LINK_CHANGE | ファイルまたはフォルダーにハードリンクが作成または削除されました | NTFS のみ |
INDEXABLE_CHANGE | ファイルまたはフォルダーの索引ステータスが変更されました | NTFS、ReFS |
INTEGRITY_CHANGE | 名前付きファイルストリームの整合性属性が変更されました | ReFS のみ |
NAMED_DATA_EXTEND | 名前付きファイルストリームのサイズが増加しました。 | NTFS、ReFS |
NAMED_DATA_OVERWRITE | 名前付きファイルストリームが上書きされました | NTFS、ReFS |
NAMED_DATA_TRUNCATION | 名前付きファイルストリームが切り詰められました | NTFS、ReFS |
OBJECT_ID_CHANGE | ファイルまたはフォルダー ID が変更されました | NTFS、ReFS |
RENAME_NEW_NAME | ファイルまたはフォルダーに新しい名前が割り当てられました | NTFS、ReFS |
REPARSE_POINT_CHANGE | 新しい再解析ポイントが作成されたか、ファイルまたはフォルダーに対する既存の再解析ポイントが変更されました | NTFS、ReFS |
SECURITY_CHANGE | ファイルまたはフォルダーのアクセス権が変更されました | NTFS、ReFS |
STREAM_CHANGE | 新しい名前付きファイルストリームが作成されたか、既存の名前付きファイルストリームが変更されました | NTFS、ReFS |
TRANSACTED_CHANGE | 名前付きファイルストリームが TxF トランザクションによって変更されました | ReFS のみ |