Настройка правил мониторинга

Правила мониторинга применяются последовательно, в том порядке, в котором они перечислены в списке настроенных правил.

1. В главном окне веб-консоли выберите Устройства → Политики и профили.
2. Выберите политику, которую вы хотите настроить.
3. В открывшемся окне <Имя политики> выберите закладку Параметры программы.
4. Выберите раздел Диагностика системы.
5. Нажмите на кнопку Параметры в подразделе Мониторинг реестра.
6. В открывшемся окне Мониторинг реестра перейдите на закладку Параметры мониторинга реестра.
7. В разделе Правила мониторинга реестра нажмите на кнопку Добавить.
8. В окне Область контроля мониторинга реестра укажите путь, используя поддерживаемую маску, чтобы Выполнять мониторинг реестра для области.

   В качестве маски при вводе пути можно использовать символы ? и *.

   При вводе пути к корневому разделу реестра обязательно укажите полный путь без маски, например, HKEY_USERS. Ниже приведен список допустимых корневых разделов реестра:

   • HKEY_LOCAL_MACHINE
   • HKLM
   • HKEY_CURRENT_USER
   • HKCU
   • HKEY_USERS
   • HKUS
   • HKU
   • HKEY_CURRENT_CONFIG
   • HKEY_CLASSES_ROOT
   • HKCR

   При создании правил избегайте использования поддерживаемых масок для корневых разделов.
   Если вы укажете только корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, будет создано огромное количество уведомлений с адресацией указанных вложенных разделов, что приведет к проблемам с производительностью системы.
   Если вы укажете корневой раздел, например, HKEY_CURRENT_USER, или корневой раздел с маской для всех вложенных разделов, например HKEY_CURRENT_USER\*, и выберите режим Блокировать операции по правилам, система не сможет читать и изменять разделы, необходимые для работы операционной системы, и перестанет отвечать.

9. На закладке Действия для выбранной области мониторинга настройте список действий в соответствии с вашими требованиями.
10. Чтобы контролировать определенные Значения раздела, выполните следующие действия:
    1. На закладке Значения раздела, нажмите на кнопку Добавить.
    2. В окне Правило для значения реестра введите Маска значения и укажите Список контролируемых действий.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.
11. Чтобы задать Доверенные пользователи, выполните следующие действия:
    1. На закладке Доверенные пользователи нажмите на кнопку Добавить.
    2. Введите Имя пользователя или нажмите на кнопку Установить SID Everyone, чтобы задать пользователей, которым разрешено выполнять выбранные действия.
    3. Нажмите на кнопку OK, чтобы сохранить изменения.

    По умолчанию Kaspersky Industrial CyberSecurity for Nodes считает недоверенными всех пользователей, не указанных в списке доверенных, и формирует для них события с уровнем важности Критический. Для доверенных пользователей осуществляется сбор статистики.

12. Нажмите на кнопку OK в окне Область контроля мониторинга реестра, чтобы сохранить изменения.

    Указанные параметры правил будут сразу же применены к выбранной области мониторинга задачи Мониторинг реестра.

В начало