概要
Deep Security で、変更監視 (Integrity Monitoring) でのリアルタイム (Real Time) 検知の動作/制限について教えてください。
詳細
Deep Security(以下、DS) 10.0以降から、管理者ガイド、インストールガイドなどのドキュメントは無く、Deep Securityヘルプセンター、Cloud One - Workload Securityヘルプセンターで情報を公開しています。DS10.0以降をご利用の場合は、こちらをご参照ください。
変更監視 (Integrity Monitoring) でのリアルタイム (Real Time) 検知は、プラットフォームや監視対象によって、動作が異なります。それぞれの動作は以下の通りです。
なお、本内容に関しましてはDeep Security 9.6の内容となります。10.0以降や9.6以前のバージョンに関しましては こちらの対応機能(Supported features by platform)から参照ください。
※ご利用のバージョンに応じ、画面上部のバージョンを指定ください。
| 監視対象 | Deep Security Agent | Deep Security Virtual Appliance | |
| Windows | Linux/UNIX | ||
| ファイル | ◎ | × | × |
| ディレクトリ | ◎ | × |
-
|
| インストール済みソフトウェア | ○ | ○ | - |
| プロセス | ○ | ○ | - |
| ポート | ○ | ○ | - |
| ユーザ | ○ | ○ | - |
| グループ | ○ | ○ | - |
| サービス | ○ | - | - |
| レジストリキー | × | - |
-
|
| レジストリ値 | × | - |
-
|
| WQL | ○ | - | - |
◎:Windows API を使用して変更時にリアルタイムに検知します。
○:10 秒~10 分の間隔で定期的にチェックを行って検知します(ポーリング)。ポーリングの間隔は変更監視の検索にかかる時間から自動的に決定され、変更はできません。
×:リアルタイム検知はサポートしていません。手動検索または予約検索でのみ検知します。
-:監視対象としてサポートしていません。
