システムレジストリの監視ルールについて
レジストリアクセス監視タスクは、システムレジストリの監視ルールに基づいて実行されます。ルール有効化の条件を使用してタスクを起動させる条件を設定し、実行ログに記録された検知したイベントに対して重要性レベルを設定することができます。
システムレジストリの監視ルールは、各監視範囲に対して指定されます。
次のルール有効化の条件を設定できます:
- 処理
- レジストリ値
- 信頼するユーザー
処理
レジストリアクセス監視タスクが開始されると、Kaspersky Embedded Systems Security は処理のリストを使用してレジストリを監視します(以下の表を参照)。
ルール有効化の条件として指定された処理が検知されると、それぞれのイベントがログに記録されます。
記録されたイベントの重要性レベルは、選択された処理またはイベントの数に依存しません。
既定では、Kaspersky Embedded Systems Security はすべての処理を考慮します。タスクのルール設定で処理のリストを手動で設定できます。
処理
処理 | 制限 | オペレーティングシステム |
|---|---|---|
キーを作成 |
| Windows XP 以降 |
キーを削除 | 親キーを削除する場合は、設定したレジストリキーの監視する[処理]のリストで、[キーを削除]と[サブキーを削除]オプションの両方を必ず取り除いてください。削除できるのは、サブキーを持つ親キーのみです。 | Windows XP 以降 |
キーの名前を変更 | N/A | Windows XP 以降 |
キーのセキュリティ設定を変更 | N/A | Windows Vista 以降 |
値を削除 | N/A | Windows XP 以降 |
値を設定 | [処理]のリストに[値を設定]を追加し、キーのルールで既定の[値の名前]を定義して、[ルールに基づき操作をブロック]モードを選択すると、キーは作成されません。新しいキーは、既定値でのみ作成できます。 | Windows XP 以降 |
サブキーを作成 | N/A | Windows XP 以降 |
サブキーを削除 | N/A | Windows XP 以降 |
サブキーの名前を変更 | N/A | Windows XP 以降 |
サブキーのセキュリティ設定を変更 | N/A | Windows Vista 以降 |
レジストリ値
レジストリキーの監視に加えて、既存のレジストリ値の変更をブロックまたは監視できます。次のオプションを使用できます:
- 値を設定 - 新しいレジストリ値を作成するか、既存のレジストリ値を変更します。
- 値を削除 - 既存のレジストリ値を削除します。
セキュリティ設定の名前や設定内容の変更は、レジストリ値には適用されません。
信頼するユーザー
既定では、すべてのユーザーアクションが潜在的なセキュリティ違反と判断されます。信頼するユーザーのリストは空です。システムレジストリの監視ルール設定に信頼するユーザーのリストを作成することで、イベントの重要性レベルを設定できます。
信頼しないユーザーは、監視範囲ルール設定の信頼するユーザーリストに示されていないすべてのユーザーです。信頼しないユーザーによって実行された処理を検知すると、レジストリアクセス監視タスクが実行ログに緊急イベントを記録します。
信頼するユーザーは、指定した監視範囲で処理を行う許可を与えられているユーザーやユーザーグループです。信頼するユーザーによって実行された処理を検知すると、レジストリアクセス監視タスクが実行ログに情報イベントを記録します。