ファイル整合性

目次

概要

ファイル整合性機能は、OpManagerフォルダー(例:D:\ManageEngine\OpManager)を定期的にスキャンすることで、フォルダー内の改ざんされた可能性のある実行可能ファイルを検出します。
ビルド番号12.5.605以降で標準実装されており、無効化することはできません。

検出可能なファイルは、以下の12種類です。
.ssh_host_dsa_key, .pub, .ssh_host_rsa_key, .zip, .reg, .vcproj, .msi, .jnilib, .vbs, .exe, .bat, .dll, .sh

ファイルの改ざんを検知した場合、以下のようにスキャン結果が表示されます。

スキャン結果

検出されるファイル

検出されたファイルは、製品ファイルと外部ファイルの2種類に自動で分類されます。
外部ファイルは、[ホワイトリスト]、[ブラックリスト]および[スキャン対象から除外]の3つのステータスを割り当て、管理することが可能です。
割り当てを行ったファイルは、レポートに表示されます。

検知されるファイルの種類は、以下の通りです。

製品ファイル

ソフトウェアにバンドルされ、デフォルトで存在しているファイルが分類されます。
また、ホワイトリストに追加した外部ファイルも、製品ファイルとして分類されます。
スキャン時、ファイル内容のチェックサムと予期されたチェックサムの値が異なる場合、その詳細を表示します。

外部ファイル

スキャン時、製品ファイルに該当しないファイルは、外部ファイルとして検出されます。
外部ファイルは、[アクション]より次の3つのカテゴリに分類できます。

ホワイトリスト

[アクション]より[ホワイトリストに追加]を選択し[関連付け]をクリックします。
ホワイトリストに追加したファイルは、それ以降のスキャンでは製品ファイルに分類されます。
製品ファイルとして分類された後は、ホワイトリスト追加時のチェックサムに変更がない限り検出されません。

バックアップファイルを生成した場合、外部ファイルとして検出されます。
バックアップファイルは運用に影響を及ぼすファイルではないため、ホワイトリスト登録を実施ください。
ブラックリスト

[アクション]より[ブラックリスト]を選択し[関連付け]をクリックします。
次回以降のスキャン時にブラックリストに追加したファイルが存在する場合、外部ファイルとして同様に検出されます。

スキャン対象から除外

[アクション]より[スキャン対象から除外]を選択し[関連付け]をクリックします。
スキャンから対象から除外したファイルは、それ以降のスキャンでは検出されなくなります。

即時スキャン機能

[スキャン即時]をクリックすると、すぐにスキャンを実行できます。

即時スキャン

設定

スキャンの自動実行時間を指定します。

スキャン実行時間は約5秒程度で、スキャン中にOpManagerの他の機能が停止することはありません。
スキャンの負荷は無視できる程度に収まりますが、負荷の集中を防ぐため、実行は業務時間外を推奨しております。
設定

レポート

[ファイル整合性ページ]で手動でカテゴリーの分類を行ったファイルを、レポート画面から参照可能です。

レポート

レポート画面では、以下の操作が可能です。

フィルター

表示するカテゴリ(ホワイトリスト、ブラックリスト、スキャン対象から除外)を選択します。

表示期間

表示するデータの表示期間を選択可能です。
[承認済み 時間]の時刻を参照します。

アクション(画面右上の緑色アイコン)

各ファイルにチェックを入れることで、以下のアクションを実行可能です。

  • ホワイトリストに追加:対象ファイルをホワイトリストに追加します。
  • ブラックリストに追加:対象ファイルをブラックリストに追加します。
  • 除外:対象ファイルをスキャン対象から除外します。

アクション(カラム名)

[アクション]を選択し[関連付け]をクリックすることで、カテゴリーの変更が可能です。

レポートのメール通知には対応しておりません。

アラート

スキャン時に、製品ファイルまたは外部ファイルを検知すると、以下のようにアラートが発報されます。

アラートの重要度は「重大」から変更できません。
セキュリティ上の理由により、このアラートの発報を抑止することはできません。