動作名“レジストリ書き込み(DeP)”の出力内容とそれぞれの意味を教えてください。
ディフェンスモード時、警告パネルから、アプリケーションからのレジストリ書き込みを許可・禁止したとき、または動作ブラックリスト設定などにより書き込みを禁止したときに記録されます。
検知モード時、信頼できるアプリケーション以外からレジストリの書き込みを行うと記録されます。
詳細設定で[レジストリとアプリケーションの関係を記録する]がONの場合、信頼できるアプリケーションがレジストリに書き込んだとき(警告パネルはなし)、および信頼できるアプリケーション以外からの共通レジストリへの書き込みに対して表示された警告パネルで、書き込みを許可したときに記録されます。これらの書き込みでは、初回書き込み時のみ記録されます。以降の書き込み時は記録されません。※1
1列目:コンピュータ名
2列目:書き込み対象レジストリキー
3列目:書き込み対象レジストリのパス ※2
4列目:実行アプリケーション名または
モジュール名(アプリケーション名) ※3
5列目:書き込み対象 ※4
6列目:レジストリ書き込み(DeP)
レジストリ書き込み(DeP)-警告パネル
拒否-レジストリ書き込み(DeP)-警告パネル
拒否-レジストリ書き込み(DeP)
レジストリ書き込み(DeP-検知)-警告パネル
拒否-レジストリ書き込み(DeP-検知)
7列目:ユーザー名
8列目:動作時刻
9列目:アプリケーション情報
○NETSH.EXE(システムアプリケーション)からレジストリ書き込み(TCP/IPなど、ネットワークの設定の変更など)を行った場合は、固有の情報を出力します。
2列目:コマンドラインの引数
3列目:“ネットワークの設定”
○アプリケーションからレジストリ書き込み(ドライバのインストール)を行った場合は、固有の情報を出力します。
5列目:“サービス登録”
※1 共通レジストリとは、信頼できるアプリケーションと共通して使用するレジストリのことをさします。
※2 レジストリパスは、“\REGISTRY\USER\…”や“\REGISTRY\MACHINE\…”の形式で出力されます。
“\REGISTRY\USER\…”はレジストリエディタでは、“HKEY_USER”または“HKEY_CURRENT_USER”に相当します。
“\REGISTRY\MACHINE\…”は“HKEY_LOCAL_MACHINE”に相当します。
※3 アプリケーションが他のモジュールを使用している場合、そのモジュール名とアプリケーション名両方を出力します。
※4 次のレジストリが書き込み対象である場合、その内容が5列目に出力されます。
例:スタートアップレジストリが書き込み対象である場合、“スタートアップレジストリ”と出力されます。
・ OSのシステム領域(システムレジストリ)・スタートアップレジストリ
・ メーラーの設定レジストリ・ファイル共有の設定
・ フォルダの共有設定・ネットワークの設定
・ タスクスケジューラの設定
ただし、[レジストリとアプリケーションの関係を記録する]をONにしている場合、次のように出力されます。
・ 信頼アプリケーションレジストリ(信頼アプリケーションからレジストリへの初回書き込み時)
・ 共通レジストリ(信頼アプリケーション以外から共通レジストリへの初回書き込み時)
更新日時:2015/08/23
NO:DB00160044