Configuration des règles de monitoring

Pour ajouter une zone de surveillance :

1. Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
2. Cliquez sur le nom de la stratégie que vous souhaitez configurer.
3. Dans la fenêtre <Nom de la stratégie> qui s'ouvre, sélectionnez l'onglet Paramètres de l'application.
4. Sélectionnez la section Diagnostic du système.
5. Cliquez sur Configuration dans la sous-section Moniteur d'intégrité des fichiers.
6. Dans la fenêtre Moniteur d'intégrité des fichiers qui s'ouvre, accédez à l'onglet Paramètres de surveillance des opérations sur les fichiers.
7. Dans la section Journal USN, cliquez sur le bouton Ajouter.

   La fenêtre Règle de surveillance des opérations sur les fichiers s'ouvre.

8. Dans les Contrôler les opérations sur les fichiers dans la zone, renseignez un chemin à l'aide d'un masque pris en charge :
   • <*.ext> : tous les fichiers avec l'extension <ext>, quel que soit leur emplacement ;
   • <*\name.ext> : tous les fichiers portant le nom name et l'extension <ext>, quel que soit leur emplacement ;
   • <\dir\*> : tous les fichiers du dossier <\dir> ;
   • <\dir\*\name.ext> : tous les fichiers portant le nom <name> et l'extension <ext> dans le dossier <\dir> et l'ensemble de ses sous-dossiers.

   Au moment de définir une zone de monitoring manuellement, assurez-vous que le chemin d'accès respecte le format : <lettre du volume>:\<masque> En l'absence de l'indication du volume, Kaspersky Embedded Systems Security n'ajoute pas la zone de surveillance indiquée.

9. Dans la section Utilisateurs de confiance, réalisez une des opérations suivantes :
   • Cliquez sur le bouton Ajouter et, dans la fenêtre qui s'ouvre, spécifiez l'utilisateur dans le champ Nom d'utilisateur en utilisant la notation SID.
   • Cliquez sur le bouton Ajouter depuis le Serveur d'administration et, dans la fenêtre qui s'ouvre, sélectionnez l'utilisateur dans la liste.

   Kaspersky Embedded Systems Security considère par défaut tous les utilisateurs qui ne figurent pas dans la liste des utilisateurs de confiance comme des utilisateurs douteux et génère pour ceux-ci des événements de niveau Critique. Pour les utilisateurs de confiance, les statistiques sont compilées.

10. Cliquez sur le bouton OK.
11. Choisissez l'onglet Marqueurs d'opérations sur les fichiers.
12. Réalisez les opérations suivantes pour sélectioner plusieurs marqueurs d'opération sur les fichiers, le cas échéant :
    1. Choisissez l'option Détecter les opérations sur les fichiers à l'aide des marqueurs suivants.
    2. Dans la liste des opérations sur les fichiers disponibles, cochez les cases en regard des opérations que vous souhaitez surveiller.

    Kaspersky Embedded Systems Security détecte par défaut tous les marqueurs d'opérations sur les fichiers, l'option Détecter les opérations sur les fichiers à l'aide de tous les marqueurs identifiables est sélectionnée.

13. Si vous souhaitez bloquer toutes les opérations sur les fichiers pour la zone sélectionnées, cochez la case Détecter et bloquer toutes les opérations sur les fichiers dans la zone sélectionnée.
14. Si vous souhaitez que Kaspersky Embedded Systems Security calcule la somme de contrôle d'une fichier après une opération :
    1. Cochez la case Calculer, si possible, la somme de contrôle du fichier. La somme de contrôle est reprise dans le rapport de la tâche de la tâche.
       

       Si la case est cochée, Kaspersky Embedded Systems Security calcule la somme de contrôle du fichier modifié si une opération avec au moins un marqueur sélectionné a été détectée.

       Si l'opération sur les fichiers est détectée par plusieurs marqueurs, Kaspersky Embedded Systems Security calcule uniquement la somme de contrôle du fichier final après toutes les modifications.

       Si la case est décochée, Kaspersky Embedded Systems Security ne calcule pas la somme de contrôle pour les fichiers modifiés.

       Aucune somme de contrôle n'est calculée dans les cas suivants :

       • si le fichier est devenu inaccessible (par exemple, modification des autorisations d'accès au fichier) ;
       • si l'opération réalisée sur le fichier concerne un fichier qui a été supprimé par la suite.

       Cette case est décochée par défaut.

    2. Dans la liste déroulante Type de somme de contrôle, sélectionnez une des options :
       • Hash SHA256
       • Hash MD5
15. Si vous ne souhaitez contrôler que certaines opérations sur les fichiers, ouvrez la liste des opérations disponibles, puis cochez les cases en regard des opérations que vous souhaitez contrôler.
16. Ajoutez les zones de surveillance excluses en fonction des besoins :
    1. Sélectionnez l'onglet Exclusions.
    2. Cochez la case Exclure les dossiers suivants du contrôle.
       

       La case désactive l'application des exclusions pour les dossiers dans lesquels il n'est pas nécessaire de contrôler les opérations sur les fichiers.

       Si la case est cochée, Kaspersky Embedded Systems Security ignore les zones de surveillance reprises dans la liste des exclusions lors de l'exécution de la tâche Moniteur d'intégrité des fichiers.

       Si la case est décochée, Kaspersky Embedded Systems Security enregistre les événements pour toutes les zones de surveillance définies.

       La case est décochée par défaut, la liste des exclusions est vide.

    3. Cliquez sur Ajouter.

       La fenêtre Sélectionner un dossier à ajouter s'ouvre.

    4. Dans la fenêtre qui s'ouvre à droite, sélectionnez le dossier que vous souhaitez exclure de la zone de surveillance.
    5. Cliquez sur le bouton OK.

       Le dossier indiqué est ajouté à la liste des zones exclues.

17. Cliquez sur OK dans la fenêtre Règle de surveillance des opérations sur les fichiers.

    Les paramètres définis pour la règle seront appliqués à la zone de surveillance sélectionnée de la tâche Moniteur d'intégrité des fichiers.