À propos des règles de surveillance des opérations sur les fichiers
La tâche Contrôle de l’intégrité des fichiers est exécutée sur la base de règles de surveillance des opérations sur les fichiers. Les critères de déclenchement de la règle permettent de configurer les conditions de déclenchement d’une tâche et de régler le niveau d’importance des événement d’opérations réalisées sur les fichiers qui ont été détectées et consignées dans le journal d’exécution de la tâche.
La règle de surveillance des opérations sur les fichiers est définie pour chaque zone de surveillance.
Vous pouvez configurer les critères de déclenchement de la règle suivants :
- Utilisateurs de confiance
- Marqueurs d'opérations sur les fichiers
Utilisateurs de confiance
L’application considère par défaut les actions de tous les utilisateurs comme des violations potentielles de la sécurité. La liste des utilisateurs de confiance est vide. Vous pouvez configurer le niveau d’importance de l’événement en dressant une liste d’utilisateurs de confiance dans les paramètres de la règle de surveillance des opérations sur les fichiers.
L’état utilisateur douteux est attribué à tout utilisateur qui ne figure pas dans la liste des utilisateurs de confiance définie dans les paramètres de la zone de surveillance. Si Kaspersky Embedded Systems Security for Windows détecte une opération sur un fichier réalisée par un utilisateur douteux, la tâche Contrôle de l’intégrité des fichiers consigne l’événement avec le niveau d’importance Événement critique dans le journal d’exécution de la tâche.
L’état utilisateur de confiance est attribué à tout utilisateur ou groupe d’utilisateurs autorisé à exécuter des opérations sur les fichiers dans la zone de surveillance indiquée. Si Kaspersky Embedded Systems Security for Windows détecte une opération sur un fichier réalisée par un utilisateur de confiance, la tâche Contrôle de l’intégrité des fichiers consigne l’événement avec le niveau d’importance Événement d’information dans le journal d’exécution de la tâche.
Kaspersky Embedded Systems Security for Windows ne peut pas identifier l’utilisateur à l’origine des opérations quand celles-ci ont lieu lors des interruptions de la surveillance. Dans ce cas, l’état de l’utilisateur est défini comme inconnu.
L’état utilisateur inconnu est un état attribué à un utilisateur quand Kaspersky Embedded Systems Security for Windows ne peut pas recevoir les données relatives à l’utilisateur suite à une interruption de la tâche ou à un échec du pilote de synchronisation des données et du journal USN. Si Kaspersky Embedded Systems Security for Windows détecte une opération sur un fichier réalisée par un utilisateur inconnu, la tâche Contrôle de l’intégrité des fichiers consigne l’événement avec le niveau d’importance Avertissement dans le journal d’exécution de la tâche.
Marqueurs d'opérations sur les fichiers
Lors de l’exécution de la tâche Contrôle de l’intégrité des fichiers, Kaspersky Embedded Systems Security for Windows utilise les marqueurs d’opérations sur les fichiers pour confirmer si une action a été réalisée sur le fichier.
Le marqueur d’opération sur les fichiers est un indice unique qui permet de définir une opération réalisée sur un fichier.
Chaque opération réalisée sur un fichier peut être composée d’une seule action ou d’une série d’actions exécutées sur les fichiers. Chaque action de ce genre reçoit un marqueur d’opérations sur les fichiers. Quand un marqueur que vous avez désigné comme critère de déclenchement de la règle de de surveillance est détecté dans la chaîne d’opérations réalisées sur un fichier, l’application consigne l’événement lié à la réalisation d’une telle action.
Le niveau d’importance des événements consignés ne dépend pas des marqueurs d’opérations sur les fichiers choisis, ni de leur quantité.
Par défaut, Kaspersky Embedded Systems Security for Windows tient compte de tous les marqueurs d’opérations sur les fichiers disponibles. Vous pouvez sélectionner les marqueurs d’opérations sur les fichiers manuellement dans les paramètres des règles de la tâche (cf. tableau ci-dessous).
Définir les marqueurs d’opérations sur les fichiers
ID de l’opération exécutée sur le fichier | Marqueur d’opération sur les fichiers | Systèmes de fichiers pris en charge |
---|---|---|
BASIC_INFO_CHANGE | attributs ou horodatage d’un fichier ou d’un dossier modifiés | NTFS, ReFS |
COMPRESSION_CHANGE | compression d’un fichier ou d’un dossier modifiée | NTFS, ReFS |
DATA_EXTEND | taille du fichier ou du dossier augmentée | NTFS, ReFS |
DATA_OVERWRITE | Données dans le fichier ou me dossier écrasées | NTFS, ReFS |
DATA_TRUNCATION | fichier ou dossier tronqués | NTFS, ReFS |
EA_CHANGE | attributs étendus du fichier ou du dossier modifiés | NTFS uniquement |
ENCRYPTION_CHANGE | état de chiffrement malveillant du fichier ou du dossier modifié | NTFS, ReFS |
FILE_CREATE | fichier ou dossier créés pour la première fois | NTFS, ReFS |
FILE_DELETE | Fichier ou dossier supprimé définitivement par une combinaison MAJ+SUPPR | NTFS, ReFS |
HARD_LINK_CHANGE | lien physique pour le fichier ou le dossier créé ou supprimé | NTFS uniquement |
INDEXABLE_CHANGE | état d’indexation du fichier ou du dossier modifié | NTFS, ReFS |
INTEGRITY_CHANGE | attribut d’intégrité pour le flux de fichiers nommé modifié | ReFS uniquement |
NAMED_DATA_EXTEND | taille du flux de fichiers nommé augmentée | NTFS, ReFS |
NAMED_DATA_OVERWRITE | flux de fichiers nommé écrasé | NTFS, ReFS |
NAMED_DATA_TRUNCATION | flux de fichiers nommé tronqué | NTFS, ReFS |
OBJECT_ID_CHANGE | identifiant de fichier ou de dossier modifié | NTFS, ReFS |
RENAME_NEW_NAME | nouveau nom attribué au fichier ou au dossier | NTFS, ReFS |
REPARSE_POINT_CHANGE | point d’analyse répétée pour le fichier ou le dossier créé ou point d’analyse répétée existant modifié | NTFS, ReFS |
SECURITY_CHANGE | autorisations d’accès au fichier ou au dossier modifiées | NTFS, ReFS |
STREAM_CHANGE | flux de fichier nommé créé ou flux existant modifié | NTFS, ReFS |
TRANSACTED_CHANGE | flux de fichier nommé modifié par la transaction TxF | ReFS uniquement |