Über die Regeln zur Überwachung von Datei-Operationen
Die Aufgabe Überwachung der Datei-Integrität wird auf der Grundlage der Regeln zur Überwachung von Datei-Operationen ausgeführt. Sie können mithilfe von Auslösekriterien für Regeln die Bedingungen zum Auslösen der Aufgabe anpassen und die Prioritätsstufe für gefundene Dateioperationen bestimmen, die im Protokoll der Aufgabenausführung gespeichert werden.
Die Regel zur Überwachung von Datei-Operationen wird für jeden festgelegten Überwachungsbereich angegeben.
Sie können folgende Auslösekriterien für Regeln anpassen:
- Vertrauenswürdige Benutzer
- Datei-Operations-Marker
Vertrauenswürdige Benutzer
Standardmäßig stuft das Programm die Aktionen aller Benutzer als potenzielle Verletzungen der Sicherheit ein. Die Liste mit vertrauenswürdigen Benutzern ist leer. Sie können die Prioritätsstufe des Ereignisses anpassen, indem Sie eine Liste mit vertrauenswürdigen Benutzern in den Einstellungen der Regel zur Überwachung von Datei-Operationen erstellen.
Ein nicht vertrauenswürdiger Benutzer ist ein beliebiger Benutzer, der nicht zur Liste vertrauenswürdiger Benutzer in den Einstellungen des Überwachungsbereichs hinzugefügt wurde. Wenn Kaspersky Embedded Systems Security eine Dateioperation findet, die von einem nicht vertrauenswürdigen Benutzer ausgeführt wurde, protokolliert die Aufgabe zur Überwachung der Datei-Integrität ein Ereignis mit der Ereigniskategorie "Kritisches Ereignis" im Protokoll der Aufgabenausführung.
Ein vertrauenswürdiger Benutzer ist ein Benutzer oder eine Benutzergruppe, dem/der das Ausführen von Dateioperationen im angegebenen Überwachungsbereich erlaubt ist. Wenn Kaspersky Embedded Systems Security Dateioperationen findet, die von einem vertrauenswürdigen Benutzer ausgeführt wurden, protokolliert die Aufgabe zur Überwachung der Datei-Integrität ein Informatives Ereignis im Protokoll der Aufgabenausführung.
Kaspersky Embedded Systems Security kann Benutzer nicht bestimmen, die Operationen in einem Zeitraum, in dem die Überwachung unterbrochen war, ausführen. In diesem Fall wird der Status des Benutzers als Unbekannt angegeben.
Unbekannter Benutzer – dieser Status wird einem Benutzer zugewiesen, wenn Kaspersky Embedded Systems Security keine Daten über den Benutzer abrufen kann, da die Aufgabe unterbrochen wurde oder eine Störung in der Synchronisierung der Treiberdaten oder des USN-Protokolls aufgetreten ist. Wenn Kaspersky Embedded Systems Security eine Dateioperation findet, die von einem unbekannten Benutzer ausgeführt wurde, speichert die Aufgabe zur Überwachung der Datei-Integrität das Ereignis mit der Ereigniskategorie Warnung im Protokoll der Aufgabenausführung.
Datei-Operations-Marker
Während der Ausführung der Aufgabe zur Überwachung der Datei-Integrität ermittelt Kaspersky Embedded Systems Security mithilfe von Datei-Operations-Markern, ob eine Aktion mit einer Datei ausgeführt wurde.
Der Datei-Operations-Marker ist ein eindeutiges Merkmal, mit dem eine Dateioperation charakterisiert werden kann.
Jede Dateioperation kann eine einzelne Aktion oder eine Kette von Aktionen mit Dateien darstellen. Jede solche Aktion wird einem Datei-Operations-Marker gleichgestellt. Wenn in der Kette der Dateioperationen ein Marker gefunden wird, der von Ihnen als Auslösekriterium für eine Überwachungsregel festgelegt wurde, protokolliert das Programm das Ereignis nach der Durchführung einer solchen Dateioperation.
Die Prioritätsstufe der protokollierten Ereignisse hängt nicht von den ausgewählten Datei-Operations-Markern oder ihrer Anzahl ab.
Standardmäßig werden von Kaspersky Embedded Systems Security alle verfügbaren Marker für Datei-Operationen berücksichtigt. Sie können Datei-Operations-Marker manuell in den Einstellungen der Aufgabenregeln auswählen (s. Tabelle unten).
Datei-Operations-Marker
ID der Dateioperation | Datei-Operations-Marker | Unterstützte Dateisysteme |
|---|---|---|
BASIC_INFO_CHANGE | Attribute oder Zeitstempel der Datei bzw. des Ordners wurden verändert | NTFS, ReFS |
COMPRESSION_CHANGE | Die Komprimierungsrate der Datei bzw. des Ordners wurde verändert | NTFS, ReFS |
DATA_EXTEND | Die Größe der Datei bzw. des Ordners hat sich erhöht | NTFS, ReFS |
DATA_OVERWRITE | Daten in der Datei bzw. dem Ordner wurden überschrieben | NTFS, ReFS |
DATA_TRUNCATION | Die Datei bzw. der Ordner wurde gekürzt | NTFS, ReFS |
EA_CHANGE | Erweiterte Attribute von Datei oder Ordner wurden verändert | Nur NTFS |
ENCRYPTION_CHANGE | Der Verschlüsselungsstatus der Datei bzw. des Ordners wurde verändert | NTFS, ReFS |
FILE_CREATE | Die Datei bzw. der Ordner wurde zum ersten Mal erstellt | NTFS, ReFS |
FILE_DELETE | Eine Datei oder ein Ordner wurde mit der Tastenkombination UMSCHALT+ENTF permanent gelöscht. | NTFS, ReFS |
HARD_LINK_CHANGE | Für die Datei bzw. den Ordner wurde ein harter Link erstellt oder gelöscht | Nur NTFS |
INDEXABLE_CHANGE | Der Indizierungsstatus der Datei bzw. des Ordners wurde verändert | NTFS, ReFS |
INTEGRITY_CHANGE | Das Integritätsattribut für den benannten Dateidatenstrom wurde verändert | Nur ReFS |
NAMED_DATA_EXTEND | Die Größe des benannten Dateidatenstroms hat sich erhöht | NTFS, ReFS |
NAMED_DATA_OVERWRITE | Ein benannter Dateidatenstrom wurde überschrieben | NTFS, ReFS |
NAMED_DATA_TRUNCATION | Ein benannter Dateidatenstrom wurde gekürzt | NTFS, ReFS |
OBJECT_ID_CHANGE | Die ID der Datei bzw. des Ordners wurde verändert | NTFS, ReFS |
RENAME_NEW_NAME | Der Datei bzw. dem Ordner wurde ein neuer Name zugewiesen | NTFS, ReFS |
REPARSE_POINT_CHANGE | Für die Datei bzw. den Ordner wurde ein neuer Analysepunkt erstellt oder ein vorhandener Punkt verändert | NTFS, ReFS |
SECURITY_CHANGE | Die Zugriffsrechte zur Datei bzw. zum Ordner wurden verändert | NTFS, ReFS |
STREAM_CHANGE | Ein neuer benannter Dateidatenstrom wurde erstellt oder ein vorhandener verändert | NTFS, ReFS |
TRANSACTED_CHANGE | Ein benannter Dateidatenstrom wurde durch die TxF-Transaktion verändert | Nur ReFS |