File Integrity Check - 「Use Scan Data as Expected Value」

File Integrity Check のデフォルトの期待値を手動で設定する代わりに、UDC の「Use scan data as expected value」オプションを選択すると、スキャンで返された実際値に基づいて期待値が自動で設定されます。

これを設定するには、次の 2 つの手順を実行します。

1 - スキャンデータを使用できるよう File Integrity Check を設定

「PC」->「Policies」->「Controls」->「New」->「Control」を選択し、Windows または Unix の「File Integrity Check」を選択します。個々のテクノロジに対して「Use scan data as expected value」を選択するか、これをすべてのテクノロジのデフォルト値に設定します。選択すると、「Default Value」フィールドに「USE_SCAN_VALUE」と表示されます。表示表示

2 - コンプライアンスプロファイルでこのオプションを有効化

「PC」->「Scans」->「Option Profiles」を選択します。新しいプロファイルを作成するか、既存のプロファイルを編集します。「Scan」タブの「File Integrity Monitoring」で「Auto Update expected value」を選択します。スキャンにこれらのコントロールを含めるには、「File Integrity Monitoring controls enabled」も選択する必要があります。表示表示

Cloud Agent がある場合は、コントロールの「Agent Scan Options」セクションで「Auto Update Expected Value」を有効化します。有効化すると、このコントロールの期待値が各クラウドエージェントスキャンから収集された実績値で更新されます。

各エージェントスキャンの結果を反映したレポートを生成するには、エージェントに定義されたスキャン間隔にコンプライアンスレポートを実行するようスケジュールします。

コントロールの評価 - 動作方法

ポリシーに最初にコントロールを追加すると、コントロールの期待値として「USE_SCAN_VALUE」が表示されます。

最初のスキャンが完了すると、スキャンで返された実際のファイルハッシュによって期待値が更新されます。

コンプライアンスレポートにこのコントロールの状態が「Passed」と表示されます。その後も、ファイルが変更されない限り、「Passed」と表示されます。

ファイルが変更された場合、スキャンで異なるファイルハッシュが返されるため、レポートには状態が「Failed」と表示されます。これは、期待値と実際値が一致しなくなるためです。

コンプライアンスプロファイルで「Auto Update expected value」を有効にして別のスキャンを開始すると、最新のスキャンで返された値により、ポリシーのコントロールの期待値が自動で更新されます。これで、状態の評価にこの新しい値が使用されるようになります。