概要
変更監視の動作確認方法を教えてください。
詳細
Deep Security (DS)10.0 以降では、以下のオンラインヘルプセンターより「変更監視をテストする」の項目をご参照ください。
- DS 20.0はこちら:変更監視の設定
- DS 10.0~12.0はこちら:変更監視の設定
※リンク先上部のプルダウンからバージョンを選択してください。 - Cloud One - Workload Security (C1WS/旧DSaaS)はこちら:変更監視の設定
DS 9.6はこちら
事前準備
ステータスが「管理対象(オンライン)」、変更監視に「インストールされていません」が表示されていないことを確認してください。
変更監視の設定
-
- DSMのUIで変更監視 > 一般を表示してください。
- 「変更監視」欄で設定を「オン」に変更し、「リアルタイム」にチェックをいれてください。
- 「現在割り当てられている変更監視ルール」欄の「割り当て/割り当て解除」をクリックし、画面右上の検索窓に「1002773」を入力した後エンターキーを押してください。
- 検索結果に「1002773 - Microsoft Windows - 'Hosts' file modified」が表示されたら、チェックを入れて、画面下の「OK」をクリックしてください。
- 「現在割り当てられている変更監視ルール」欄「1002773 - Microsoft Windows - 'Hosts' file modified」が表示されていることを確認した後、「ベースラインの再構築」をクリックします。
- 「作成された最新の整合性ベースライン:」の日時が「ベースラインの再構築」を実行した日時になっていることを確認した後、画面下の「保存」をクリックします。
テスト対象マシンのOSがWindows以外の場合、リアルタイム検知を使用することができませんのでご注意ください。
▼参考
変更監視 (Integrity Monitoring) でのリアルタイム検知について
変更監視の検知テスト
-
DSMのUIから、変更監視のステータスが「オン、リアルタイム、1つのルール」になっていることを確認します。
テスト対象にDeep Security Notifierがインストールされている場合、テスト対象マシンの画面右下タスクトレイに表示されるNotifierをダブルクリックして、変更監視のステータスが「1個のルール」になっていることを確認します。
-
保護対象マシンのエクスプローラで以下フォルダを表示させます。<C:\Windows\System32\drivers\etc>
- hostsファイルのバックアップを取得し、hostsファイルに適当なエントリを追加します。
<追加するエントリ例>
# 192.168.1.1 Deep Security Demo
-
hostsファイルを保存した後、DSMのUIから変更監視 > イベントを表示、画面下の「イベントの取得」をクリックし、「1002773」のイベントを検知していることを確認してください。
-
イベント確認後、バックアップしたhostsファイルをリストアし、「ベースラインの再構築」を実行してください。
テスト対象マシンのOSがWindows以外の場合、手順3.の前にDSMのUIから変更監視 > 一般画面の「変更の検索」を実行してください。
