WAF 「SOLVDEFENCE OnSite（ソルブディフェンス・オンサイト）」

SystemRecover に関する質問

Q1. コンテンツセーフとサービスノッカの違いを教えてください。

A1. SystemRecoverは、2つのファンクションによって構成されています。
コンテンツセーフは、NTFS上のフォルダとファイルの改ざんや新規作成、属性変更を検知/復旧する機能です。
サービスノッカは、Windowsサービスの開始・停止といったステータス変更を検知/再起動する機能です。
いずれも、事前の監視設定が必要です。

Q2. ファイル改ざんの復旧は自動で行われるのでしょうか？

A2. はい。自動的に復旧します。
改ざん復旧対象のコンテンツ（ファイル）を設定した際に、当該ファイルのバックアップがバイナリ形式で保存され、改ざんを検知したときにそこからリストアする方式です。
改ざん検知は、WindowsのOSイベントをフックしておりますので、即時復旧となります。

Q3. コンテンツの入替を行うときも改ざんとして検出されてしまうのですか？

A3. コンテンツ入替を行う際は、SystemRecoverの監視を停止してください。停止の方法は以下の3つです。

1. サーバにログインして、ローカルコンソールから停止する。
2. サーバに接続可能なクライアントのブラウザから、Webコンソールを使って停止する。
3. 定時再起動などのスケジューリングが必要な場合は、コマンドラインでサービスの起動/停止が可能なバッチを作成する（スケジュールはOSの機能などをご利用ください）。

Q4. サービスノッカにS4 WebAlerter Serviceを登録する場合、関連サービスとしてS4 ManageAssist Serviceも登録すべきでしょうか。

A4. はい。関連サービスはサービスノッカが対象のサービスを再起動するときに、必要な設定です。
この例では、WebAlerter ServiceはS4 ManageAssist Serviceに依存するので、登録が必要です。
なお、再起動オプション無効の場合は、関連サービスの登録は不要です。

Q5. ログを見ると、更新されていないCドライブ直下のEXEファイル全てが「更新」として検知されているが、レポートメールは送られていないようです。

A5. 対象ファイルへの書き込みモードのファイルオープン、削除、移動等で内部的な「検出対象」となり、その後のチェックで日付・サイズ・CRCの変化が認められた場合は警告対象となります。
アクセス日付は検査イベントには編入されていません。したがってログ上に検知対象として残っていても、警告レポートが送られない場合があります。

Q6. どのようなファイルやディレクトリも復旧できるのですか？

A6. Windowsディレクトリ（WINNTまたはWINDOWS)とSYSTEM32配下はディレクトリ単位の監視対象にはできません。このディレクトリはシステムによって常にファイルが書き換えられており、コンテンツリカバリの監視機能が誤動作します。
なお、動的ファイルに対しては、監視除外の設定をすることにより誤検出を除外することができます。

Q7. どれくらいの数のファイルを監視対象にできますか？

A7. 当該ディレクトリに極端に大量のファイルが存在すれば、それだけチェック時間を要します。
ドライブ全体をサブディレクトリを含め全て監視対象にするなど、大量のファイルを監視対象に置くことは無駄なイベントを発生させることになり、結果として好ましい設定ではありません。

Q8. 改ざん監視の対象にするのはどういったファイルやディレクトリが適当ですか？

A8. コンテンツリカバリの本来の目的に合うように、以下のターゲットにのみ、監視/復旧対象を設定して下さい。

• Webルート:
  Webサイトのルートディレクトリをサブフォルダオプション有効で設定します。
• リカバリファイル作成対象：
  動的に変更されるファイルはリカバリ対象にはできません。システムの設定ファイル（web.configなど）や静的なコンテンツにのみこの属性を設定します。
• 除外設定：
  監視対象のディレクトリやそのサブディレクトリに動的にファイルが生成される場合などは、除外フォルダ、除外ファイル設定を行い、検知イベント対象外としてください。

ページの先頭へ戻る