ビジネスサポートポータルアカウントでログイン
変更監視の動作確認  

変更監視の動作確認

    • 更新日:
    • 28 Dec 2020
    • 製品/バージョン:
    • Cloud One - Endpoint and Workload Security Not Applicable
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 20.0
    • Trend Micro Deep Security 9.6
    • Trend Micro Deep Security as a Service
    • OS:
    • Linux すべて
    • SaaS すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows All
    • Windows すべて
概要
変更監視の動作確認方法を教えてください。
詳細
Public
Deep Security (DS)10.0 以降では、以下のオンラインヘルプセンターより「変更監視をテストする」の項目をご参照ください。

DS 9.6はこちら

 

事前準備

ステータスが「管理対象(オンライン)」、変更監視に「インストールされていません」が表示されていないことを確認してください。

変更監視の設定

    1. DSMのUIで変更監視 > 一般を表示してください。
    2. 「変更監視」欄で設定を「オン」に変更し、「リアルタイム」にチェックをいれてください。

       
    3. 「現在割り当てられている変更監視ルール」欄の「割り当て/割り当て解除」をクリックし、画面右上の検索窓に「1002773」を入力した後エンターキーを押してください。
    4. 検索結果に「1002773 - Microsoft Windows - 'Hosts' file modified」が表示されたら、チェックを入れて、画面下の「OK」をクリックしてください。
    5. 「現在割り当てられている変更監視ルール」欄「1002773 - Microsoft Windows - 'Hosts' file modified」が表示されていることを確認した後、「ベースラインの再構築」をクリックします。
    6. 「作成された最新の整合性ベースライン:」の日時が「ベースラインの再構築」を実行した日時になっていることを確認した後、画面下の「保存」をクリックします。

テスト対象マシンのOSがWindows以外の場合、リアルタイム検知を使用することができませんのでご注意ください。
▼参考
変更監視 (Integrity Monitoring) でのリアルタイム検知について

変更監視の検知テスト

  1. DSMのUIから、変更監視のステータスが「オン、リアルタイム、1つのルール」になっていることを確認します。


    テスト対象にDeep Security Notifierがインストールされている場合、テスト対象マシンの画面右下タスクトレイに表示されるNotifierをダブルクリックして、変更監視のステータスが「1個のルール」になっていることを確認します。
  2. 保護対象マシンのエクスプローラで以下フォルダを表示させます。
    <C:\Windows\System32\drivers\etc>
  3. hostsファイルのバックアップを取得し、hostsファイルに適当なエントリを追加します。
    <追加するエントリ例>
    # 192.168.1.1  Deep Security Demo

     
  4. hostsファイルを保存した後、DSMのUIから変更監視 > イベントを表示、画面下の「イベントの取得」をクリックし、「1002773」のイベントを検知していることを確認してください。
  5. イベント確認後、バックアップしたhostsファイルをリストアし、「ベースラインの再構築」を実行してください。

テスト対象マシンのOSがWindows以外の場合、手順3.の前にDSMのUIから変更監視 > 一般画面の「変更の検索」を実行してください。

 

Premium
Internal
Partner
評価:
カテゴリ:
Configure; SPEC
Solution Id:
1114070
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド