A propos des règles de monitoring des opérations sur les fichiers
La tâche Moniteur d'intégrité des fichiers est exécutée sur la base de règles de surveillance des opérations sur les fichiers. Les critères de déclenchement de la règle permettent de configurer les conditions de déclenchement d'une tâche et de régler le niveau d'importance des événement d'opérations réalisées sur les fichiers qui ont été détectées et consignées dans le journal d'exécution de la tâche.
La règle de monitoring des opérations sur les fichiers est définie pour chaque zone de surveillance.
Vous pouvez configurer les critères de déclenchement de la règle suivants :
- Utilisateurs de confiance.
- Marqueurs d'opérations sur les fichiers.
Utilisateurs de confiance
L'application considère par défaut les actions de tous les utilisateurs comme des violations potentielles de la sécurité. La liste des utilisateurs de confiance est vide. Vous pouvez configurer le niveau d'importance de l'événement en dressant une liste d'utilisateurs de confiance dans les paramètres de la règle de monitoring des opérations sur les fichiers.
Un utilisateur douteux désigne n'importe quel utilisateur qui ne figure pas dans la liste des utilisateurs de confiance définie dans les paramètres de la zone de surveillance. Si Kaspersky Security for Windows Server détecte une opération sur un fichier réalisée par un utilisateur douteux, la tâche Moniteur d'intégrité des fichiers consigne l'événement avec le niveau d'importance Événement critique dans le journal d'exécution de la tâche.
L'utilisateur de confiance est un utilisateur ou un groupe d'utilisateurs autorisé à exécuter des opérations sur les fichiers dans la zone de surveillance indiquée. Si Kaspersky Security for Windows Server détecte une opération sur un fichier réalisée par un utilisateur de confiance, la tâche Moniteur d'intégrité des fichiers consigne l'événement avec le niveau d'importance Événement d'information dans le journal d'exécution de la tâche.
Kaspersky Security for Windows Server ne peut pas identifier l'utilisateur à l'origine des opérations quand celles-ci ont lieu lors des interruptions de la surveillance. Dans ce cas, l'état de l'utilisateur est défini comme inconnu.
L'utilisateur inconnu est un état attribué à un utilisateur quand Kaspersky Security for Windows Server ne peut pas recevoir les données relatives à l'utilisateur suite à une interruption de la tâche ou à un échec du pilote de synchronisation des données et du journal USN. Si Kaspersky Security for Windows Server détecte une opération sur un fichier réalisée par un utilisateur inconnu, la tâche Moniteur d'intégrité des fichiers consigne l'événement avec le niveau d'importance Avertissement dans le journal d'exécution de la tâche.
Marqueurs d'opérations sur les fichiers
Lors de l'exécution de la tâche Moniteur d'intégrité des fichiers, Kaspersky Security for Windows Server utilise les marqueurs d'opérations sur les fichiers pour confirmer si une action a été réalisée sur le fichier.
Le marqueur d'opération sur les fichiers est un indice unique qui permet de définir une opération réalisée sur un fichier.
Chaque opération réalisée sur un fichier peut être composée d'une seule action ou d'une série d'actions exécutées sur les fichiers. Chaque action de ce genre reçoit un marqueur d'opérations sur les fichiers. Quand un marqueur que vous avez désigné comme critère de déclenchement de la règle de monitoring est détecté dans la chaîne d'opérations réalisées sur un fichier, l'application consigne l'événement lié à la réalisation d'une telle action.
Le niveau d'importance des événements consignés ne dépend pas des marqueurs d'opérations sur les fichiers choisis, ni de leur quantité.
Par défaut, Kaspersky Security for Windows Server tient compte de tous les marqueurs d'opérations sur les fichiers disponibles. Vous pouvez sélectionner les marqueurs d'opérations sur les fichiers manuellement dans les paramètres des règles de la tâche (cf. tableau ci-dessous).
Marqueurs d'opérations sur les fichiers
ID de l'opération exécutée sur le fichier | Marqueur d'opération sur les fichiers | Systèmes de fichiers pris en charge |
|---|---|---|
BASIC_INFO_CHANGE | attributs ou horodatage d'un fichier ou d'un dossier modifiés | NTFS, ReFS |
COMPRESSION_CHANGE | compression d'un fichier ou d'un dossier modifiée | NTFS, ReFS |
DATA_EXTEND | taille du fichier ou du dossier augmentée | NTFS, ReFS |
DATA_OVERWRITE | Données dans le fichier ou me dossier écrasées | NTFS, ReFS |
DATA_TRUNCATION | fichier ou dossier tronqués | NTFS, ReFS |
EA_CHANGE | attributs étendus du fichier ou du dossier modifiés | NTFS uniquement |
ENCRYPTION_CHANGE | état de chiffrement malveillant du fichier ou du dossier modifié | NTFS, ReFS |
FILE_CREATE | fichier ou dossier créés pour la première fois | NTFS, ReFS |
FILE_DELETE | Fichier ou dossier supprimé définitivement par une combinaison MAJ+SUPPR | NTFS, ReFS |
HARD_LINK_CHANGE | lien physique pour le fichier ou le dossier créé ou supprimé | NTFS uniquement |
INDEXABLE_CHANGE | état d'indexation du fichier ou du dossier modifié | NTFS, ReFS |
INTEGRITY_CHANGE | attribut d'intégrité pour le flux de fichiers nommé modifié | ReFS uniquement |
NAMED_DATA_EXTEND | taille du flux de fichiers nommé augmentée | NTFS, ReFS |
NAMED_DATA_OVERWRITE | flux de fichiers nommé écrasé | NTFS, ReFS |
NAMED_DATA_TRUNCATION | flux de fichiers nommé tronqué | NTFS, ReFS |
OBJECT_ID_CHANGE | identifiant de fichier ou de dossier modifié | NTFS, ReFS |
RENAME_NEW_NAME | nouveau nom attribué au fichier ou au dossier | NTFS, ReFS |
REPARSE_POINT_CHANGE | point d'analyse répétée pour le fichier ou le dossier créé ou point d'analyse répétée existant modifié | NTFS, ReFS |
SECURITY_CHANGE | autorisations d'accès au fichier ou au dossier modifiées | NTFS, ReFS |
STREAM_CHANGE | flux de fichier nommé créé ou flux existant modifié | NTFS, ReFS |
TRANSACTED_CHANGE | flux de fichier nommé modifié par la transaction TxF | ReFS uniquement |