このコントロールは、目的のファイルとディレクトリの整合性をチェックし、ファイル/ディレクトリとそれらのパーミッションに対する変更について最新情報を把握できるようにします。また、ハッシュベースのファイルの整合性をディレクトリレベルで計算し、変更後のスナップショットを自動的に更新します。
|
設定方法 |
|
コントロール文は、このコントロールがどのようなものであり、環境にどのように実装するのかを説明する、コントロールの名前のようなものです。またコントロールが属するカテゴリも指定する必要があります。コントロールはカテゴリによってフィルタが設定されたり検索されたりする可能性があるため、カテゴリの指定は重要です。コントロールは、コントロール文に含まれるキーワードでも検索できます。 |
|
使用する検索パラメータです。検索の開始場所(ベースディレクトリ)と一致させたい内容を指定します。 Base Directory ベースディレクトリは、検索するディレクトリです。検索時間(時間制限があります)を短縮するために、できるだけ具体的に指定してください。次に、ディレクトリ内のどのレベルまで検索するか、他のファイルシステムやシンボリックリンクが見つかった場合にどうするかについて設定します。 File/Directory Name これらのフィールドを使用して、名前を基にファイルやディレクトリを検索します。デフォルトでは、「File Name Include」と「Directory Name Include」に * が使用されていますが、これは、すべてのファイルが一致することを示しています。 注記 - ファイル名を入力する際は、必ずファイル名だけを入力し、ファイルのパスは入力しないでください。ディレクトリ名を入力する際は、ディレクトリ名だけを入力し、ファイル名は入力しないでください。 ファイルシステムのオブジェクトタイプ 検索に含めるファイルシステムのオブジェクトタイプを選択します。すべてのタイプを選択することも、一部のタイプに制限することもできます。 File Owner 一致させたいユーザとグループを特定します。名前または ID のいずれかでユーザとグループを特定できます。 ユーザ/グループの除外(エージェントのみ) 除外オプションを使用すると、ユーザ/グループが所有するファイルを検索し、これらを除外できます。除外オプションは、Cloud Agent でのみサポートされています。これを選択すると、エージェントによってコントロール評価のためのスキャンデータが収集され、フィルタリングされます。 ユーザを除外するには、ユーザ名およびユーザ ID のカンマ区切りリストを入力し、「Exclude the user(s)」を選択します。 グループを除外するには、グループ名およびグループ ID のカンマ区切りリストを入力し、「Exclude the group(s)」を選択します。 「Any User」、「Any Group」、または「None」を選択すると、除外オプションは無効になります。 Search Limits 検索制限(最大検索時間および返される結果の最大数)も設定できます。これらの制限のいずれかに達すると、検索が停止します。 Digest 「Hash Type」 - ファイル/ディレクトリ変更のダイジェストは、スキャン時に計算され、コントロール評価に使用されます。ハッシュタイプは、ファイルハッシュの計算に使用するアルゴリズムを識別します。サポートされているハッシュタイプは、MD5(保護なしの競合マッチングのみ)16 バイトのダイジェスト、SHA1(保護なしの競合マッチングのみ)20 バイトのダイジェスト、SHA256(保護あり)32 バイトのダイジェストです。 「Data Type」 - このコントロールで返される実際値は「String」です。これは、スキャン結果で文字列値が返されることを示しています。 「Description」 - コントロールの説明は、コンプライアンスポリシーとレポートに表示されます。説明を後から変更した場合、同じパラメータのセットを使用するすべてのコントロールで説明が更新されます。 |
|
Control TechnologiesControl Technologies コントロールは、さまざまなテクノロジに適用することが可能です。適用する各テクノロジを選択し、論理的根拠文と期待値を入力します。 時間短縮のためのヒント: 各テクノロジに対して同じ設定を入力する場合は、1 回の入力で設定することが可能です。最初に「Default Values」項で選択を行い、適用する各テクノロジのチェックボックスをオンにします。選択した各テクノロジに設定が自動的にコピーされます。 次の設定を行います。 「Rationale」 - テクノロジごとに、コントロールをどのように実装すべきかを説明する文を入力します。 「Expected Value」 - 次のオプションがあります。 「Automatically set the value」 - 初期設定として「Use scan data as expected value」オプションが選択されています。これは、スキャンで返された実際値に基づいて期待値が自動で設定されることを示します。「Operator」に「regular expression」、「Default Value」に「USE_SCAN_VALUE」が表示されます。 「Manually set the value」 - 「Use scan data as expected value」オプションをクリア/無効化した場合、整合性と「Pass/Fail」ステータスの算出用スナップショットに含まれるディレクトリ/ファイルをカスタマイズできます。リスト表示される「Cardinality」および「Operator」オプションから選択します。「Default Value」を .*(任意の値に一致)に設定して、スキャンによって返された実際値をポリシーレポートでチェックすることをお勧めします。この場合、実際値をコピーして、ポリシーに貼り付けることができます。 詳細については、「Directory Integrity Checks - 「Use Scan Data as Expected Value」」を参照してください。 |
|
コントロールに最大で 10 件の参照を追加します。参照先は内部ポリシーでも、文書でも、Web サイトでもかまいません。参照ごとに、説明や URL を入力します。URL を入力する際は、http://、https://、ftp:// のいずれかから始めます。例えば、Qualys の Web サイトにリンクするには、「http://www.qualys.com」と入力します。追加すると、ユーザはポリシーレポートに参照を含めることができます。 |
|
Cloud Agent を設定している場合、コントロールに「Agent Scan」タブが表示されます。このタブには、Cloud Agent スキャンデータを使用する場合にのみ適用されるオプションが含まれています。これらのオプションの詳細については、「エージェント UDC サポート」を参照してください。 |
スキャンの準備
スキャンに適用するオプションプロファイルで、Dissolvable Agent を有効化します。プロファイルを編集すると、(「Scan」項の)「Dissolvable Agent」にこの設定が表示されます。