启动设备上的可执行文件的控制

Kaspersky Industrial CyberSecurity for Networks 可以控制应用程序已知的设备上可执行文件的启动。可执行文件启动的监控依赖于来自 EPP 应用程序或使用 Kaspersky Industrial CyberSecurity for Networks API 的应用程序的数据。应用程序使用接收到的数据来创建可执行文件表。

带有 Endpoint Agent 的设备可以自动接收有关可执行文件启动的数据，Endpoint Agent 与 EPP 应用程序通信并将设备和正在运行的进程的基本数据（遥测数据）发送到 Kaspersky Industrial CyberSecurity for Networks。应用程序指定该数据的遥测 (Endpoint Agent)源。如果仅从使用 Kaspersky Industrial CyberSecurity for Networks API 的应用程序接收有关可执行文件运行的数据，则应用程序会将此文件的数据源值设置为外部源。

要从遥测 (Endpoint Agent)源接收有关可执行文件运行的数据，必须启用资产管理方法来检测设备活动和设备信息。必须在安装了接收 EPP 应用程序信息的应用程序组件的所有节点上启用这些方法。

可执行文件表对于元素的数量和存储时间有如下限制：

• 可执行文件总数不能超过 10 万个。

  如果达到最大可执行文件数量，应用程序会自动删除 10% 的最旧记录。

• 可执行文件在收到该文件的下一次执行数据之前的最长存储时间不能超过 90 天。

  如果在最大存储时间到达之前没有收到有关可执行文件运行的新数据，应用程序将自动删除有关该文件的条目。

如果需要，具有管理员角色的用户可以手动删除可执行文件。

您可以在“可执行文件”部分的“资产”选项卡上查看有关可执行文件的信息。查看可执行文件表时，您可以配置、过滤、搜索、排序和导航到相关项。

应用程序在表格和所选文件的详细信息区域中显示以下设备可执行文件的详细信息：

• 文件 ID：Kaspersky Industrial CyberSecurity for Networks 中分配的文件标识符。
• 设备：设备名称和地址。
• 名称：应用程序名称和版本，或文件名。
• 数据接收日期：上次收到文件详细信息的日期和时间。
• 产品：设备操作系统中保存的软件产品名称。
• 产品版本：设备操作系统中保存的软件产品版本。
• 提供商：应用程序供应商的名称。
• 路径：文件的完整路径。
• 文件大小：文件使用的磁盘空间量。
• MD5 哈希：使用 MD5 哈希算法得到的文件校验和。
• SHA256 哈希：使用 SHA256 哈希算法得到的文件校验和。
• 签名是文件数字签名验证的结果。它要么有效（如果数字签名验证成功），要么无效（例如，如果证书已过期）。
• 创建日期：文件创建的日期和时间。
• 更改时间：文件最后修改的日期和时间。
• 来源：文件数据源类型。
• 属性：文件属性列表。
• 描述：文件的描述集。

页首