監視ルールの設定

監視範囲を追加するには：

1. アプリケーションコンソールツリーで、［システム監査］フォルダーを展開します。
2. ［ファイル変更監視］サブフォルダーを選択します。
3. ［ファイル変更監視］フォルダーの結果ペインで、［ファイル変更監視ルール］をクリックします。

   ［ファイル変更監視］ウィンドウが表示されます。

4. 次のいずれかの方法で、監視範囲を追加します：
   • 標準の Microsoft Windows ダイアログを使用してフォルダーを選択する場合：
     1. ウィンドウの左側にある［参照］をクリックします。

        Microsoft Windows 標準の［フォルダーを参照］ウィンドウが表示されます。

     2. ［フォルダーを参照］ウィンドウで操作を監視するフォルダーを選択し、［OK］をクリックします。
     3. ［追加］をクリックし、指定した監視範囲で Kaspersky Embedded Systems Security によるファイル操作の監視を開始します。
   • 手動で監視範囲を指定する場合、サポートされているマスクを使用してパスを追加します：
     • <*.ext> - 場所に関係なく、拡張子 <ext> を持つすべてのファイル
     • <*\name.ext> - 場所に関係なく、名前 <name> と拡張子 <ext> を持つすべてのファイル
     • <\dir\*> - フォルダー <\dir> にあるすべてのファイル
     • <\dir\*\name.ext> - フォルダー <\dir> とそのすべてのサブフォルダーにある、名前 <name> と拡張子 <ext> を持つすべてのファイル

   手動で監視範囲を指定する場合、パスが次の形式であることを確認してください：<ボリューム文字>:\<マスク>。ボリューム文字がない場合、Kaspersky Embedded Systems Security は指定した監視範囲を追加しません。

   ウィンドウの右側にある［ルールの説明］タブに、この監視範囲で選択した信頼するユーザーとファイル操作マーカーが表示されます。

5. 追加した監視範囲のリストで、設定を実行する範囲を選択します。
6. ［信頼するユーザー］タブを選択します。
7. ［追加］をクリックします。

   Microsoft Windows 標準の［ユーザーまたはグループの選択］ウィンドウが開きます。

8. 選択した監視範囲で Kaspersky Embedded Systems Security が信頼すると判断するユーザーまたはユーザーグループを選択します。
9. ［OK］をクリックします。

   既定では、Kaspersky Embedded Systems Security においては信頼するユーザーリストに記載されていないすべてのユーザーを信頼しないユーザーとして取り扱い、重要なイベントを生成します。信頼するユーザーの場合、統計が収集されます。

10. ［ファイル操作マーカーの設定］タブを選択します。
11. 必要に応じて、次の処理を実行して複数のマーカーを選択します：
    1. ［次のマーカーに基づいてファイル操作を検出する］オプションを選択します。
    2. 使用可能なファイル操作のリストで、監視する操作の横にあるチェックボックスをオンにします。

    既定では、Kaspersky Embedded Systems Security によりすべてのファイル操作マーカーが検知され、［認識可能なすべてのマーカーに基づいてファイル操作を検出する］がオンになります。

12. 選択した領域のすべてのファイル操作をブロックする場合は、［選択した範囲のすべてのファイル動作を検知しブロックする］をオンにします。
13. 操作の実行後に Kaspersky Embedded Systems Security がファイルチェックサムを計算するようにするには、次の手順を実行します：
    1. ［チェックサムの計算］セクションで、［可能な場合、ファイルの変更後にファイル最終版のチェックサムを計算する。 チェックサムは実行ログに表示されます。］をオンまたはオフにします。
       

       チェックボックスをオンにして、少なくとも 1 つの選択したマーカーを持つファイル操作が検知された場合、変更したファイルのチェックサムが計算されます。

       ファイル操作が複数のマーカーによって検知された場合、すべての変更後の最終的なファイルのチェックサムのみが計算されます。

       このチェックボックスをオフにすると、変更したファイルのチェックサムは計算されません。

       次の場合、チェックサムの計算は実行されません：

       • ファイルが利用できなくなった場合（アクセス権限の変更などのため）。
       • ファイル操作が、その後、削除されたファイル内で検知された場合。

       既定では、このチェックボックスはオフです。

    2. ［アルゴリズムを使用してチェックサムを計算する］ドロップダウンリストで、次のいずれかのオプションを選択します：
       • MD5 ハッシュ：
       • SHA256 ハッシュ：
14. 必要に応じて、除外された監視範囲を追加します：
    1. ［除外の設定］タブを選択します。
    2. ［除外された監視範囲を検討する］をオンにします。
       

       このチェックボックスは、ファイル操作を監視する必要がないフォルダーにおける除外の使用を無効にします。

       このチェックボックスをオンにすると、ファイル変更監視タスクの実行時に、除外リストで指定した監視範囲がスキップされます。

       このチェックボックスをオフにすると、指定したすべての監視範囲のイベントが記録されます。

       既定では、チェックボックスはオフで、除外リストは空です。

    3. ［参照］をクリックします。

       Microsoft Windows 標準の［フォルダーを参照］ウィンドウが表示されます。

    4. ［フォルダーを参照］ウィンドウで、監視範囲から除外するフォルダーを指定します。
    5. ［OK］をクリックします。
    6. ［追加］をクリックします。

       指定したフォルダーが、除外される範囲のリストに追加されます。

       また、監視範囲の指定に使用されたのと同じマスクを使用して、除外された監視範囲を手動で追加することもできます。

15. ［保存］をクリックして、新しいルール設定を適用します。

指定したルール設定は、［ファイル変更監視］タスクの定義した監視範囲にすぐに適用されます。