Настройка правил мониторинга

Чтобы добавить область мониторинга, выполните следующие действия:

1. В главном окне веб-консоли выберите Устройства → Политики и профили.
2. Выберите политику, которую вы хотите настроить.
3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
4. Выберите раздел Диагностика системы.
5. Нажмите на кнопку Настройка в подразделе Мониторинг файловых операций.
6. В открывшемся окне Мониторинг файловых операций перейдите на закладку Параметры мониторинга файловых операций.
7. В разделе USN-журнал нажмите на кнопку Добавить.

   Откроется окно Правила мониторинга файловых операций.

8. В разделе Контроль файловых операций для области укажите путь с помощью поддерживаемой маски:
   • <*.ext> – все файлы с расширением <ext>, независимо от их расположения
   • <*\name.ext> – все файлы с именем <name> и расширением <ext>, независимо от их расположения
   • <\dir\*> – все файлы в папке <\dir>
   • <\dir\*\name.ext> – все файлы с именем <name> и расширением <ext> в папке <\dir> и всех ее подпапках

   При задании области мониторинга вручную убедитесь, что путь соответствует формату: <буква тома>:\<маска>. Если том не указан, Kaspersky Embedded Systems Security не добавит указанную область мониторинга.

9. На закладке Доверенные пользователи выполните одно из следующих действий:
   • Нажмите на кнопку Добавить и в открывшемся окне в поле Имя пользователя укажите пользователя в формате SID.
   • Нажмите на кнопку Добавить с Сервера администрирования и в открывшемся окне выберите пользователя из списка.

   По умолчанию Kaspersky Embedded Systems Security считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

10. Нажмите на кнопку ОК.
11. Выберите закладку Маркеры файловых операций.
12. Выполните следующие действия, чтобы выбрать несколько маркеров в соответствии с вашими требованиями:
    1. Выберите вариант Обнаруживать файловые операции по следующим маркерам.
    2. В списке доступных файловых операций установите флажки напротив тех операций, которые вы хотите контролировать.

    По умолчанию Kaspersky Embedded Systems Security обнаруживает все маркеры файловых операций. Выбран вариант Обнаруживать файловые операции по всем распознаваемым маркерам.

13. Чтобы заблокировать все файловые операции для выбранной области, установите флажок Обнаруживать и блокировать выбранные файловые операции.
14. Если вы хотите, чтобы программа Kaspersky Embedded Systems Security рассчитывала контрольную сумму файла после изменения, выполните следующие действия:
    1. Установите флажок По возможности рассчитывать контрольную сумму файла. Контрольная сумма отображается в отчете о выполнении задачи.
       

       Если флажок установлен, Kaspersky Embedded Systems Security рассчитывает контрольную сумму измененного файла, в котором была обнаружена файловая операция, соответствующая хотя бы одному маркеру файловой операции.

       Если файловая операция обнаружена сразу по нескольким маркерам, рассчитывается только окончательная контрольная сумма файла после всех изменений.

       Если флажок снят, Kaspersky Embedded Systems Security не рассчитывает контрольную сумму измененных файлов.

       Расчет контрольной суммы не выполняется в следующих случаях:

       • если файл стал недоступен (например, в результате изменения прав доступа к файлу);
       • если файловая операция обнаружена в файле, который впоследствии был удален.

       По умолчанию флажок снят.

    2. В раскрывающемся списке Тип контрольной суммы выберите один из следующих вариантов:
       • Хеш SHA256
       • Хеш MD5
15. Если вы хотите контролировать не все файловые операции, в списке доступных файловых операций установите флажки напротив операций, которые вы хотите контролировать.
16. Добавьте области мониторинга для исключения:
    1. Выберите закладку Исключения.
    2. Установите флажок Исключить следующие папки из контроля.
       

       Флажок выключает применение исключений для папок, в которых не требуется мониторинг файловых операций.

       Если флажок установлен, при выполнении задачи Мониторинг файловых операций Kaspersky Embedded Systems Security пропускает области мониторинга, заданные в списке исключений.

       Если флажок снят, Kaspersky Embedded Systems Security фиксирует события для всех заданных областей мониторинга.

       По умолчанию флажок снят, список исключений пуст.

    3. Нажмите на кнопку Добавить.

       Откроется окно Выберите папку для добавления.

    4. На открывшейся справа панели выберите папку, которую вы хотите исключить из области мониторинга.
    5. Нажмите на кнопку ОК.

       Указанная папка добавится в список исключенных областей.

17. В окне Правила мониторинга файловых операций нажмите на кнопку OK.

    Указанные параметры правил будут применяться к выбранной области мониторинга задачи Мониторинг файловых операций.

В начало