В процессе выполнения задачи ODFIM изменение каждого объекта определяется путем сравнения текущего состояния контролируемого объекта с исходным состоянием, зафиксированным ранее в качестве снимка состояния системы, по критериям: хеш файла, время изменения файла, размер файла.
Снимок состояния системы создается во время первого выполнения задачи ODFIM на устройстве. Вы можете создать несколько задач ODFIM. Для каждой задачи ODFIM создается отдельный снимок состояния системы. Задача выполняется, только если снимок состояния системы относится к области мониторинга. Если снимок состояния системы не соответствует области мониторинга, приложение Kaspersky Endpoint Security создает событие о нарушении целостности системы. Снимок состояния системы содержит пути к контролируемым объектам и их метаданные. Снимок состояния системы может также содержать персональные данные.
Снимок состояния системы создается заново после завершения задачи ODFIM. Вы можете заново создать снимок для задачи с помощью параметра RebuildBaseline. Снимок состояния системы также создается при изменении параметров задачи, например, при добавлении новой области мониторинга. При следующем выполнении задачи снимок состояния системы формируется заново. Вы можете удалить снимок состояния системы, удалив соответствующую задачу ODFIM.
Задача ODFIM создает хранилище для снимков состояния системы на устройстве с установленным компонентом Контроль целостности системы. По умолчанию снимки состояния системы хранятся в базе данных /var/opt/kaspersky/kesl/private/fim.db. Для доступа к базе данных, в которой хранятся снимки состояния системы, требуются root-права.
В начало