檔案完整性監控工作根據檔案操作監控規則執行。可以使用規則觸發條件來配置觸發工作的條件,以及調整工作記錄中記錄的已刪除檔案操作事件的重要性等級。
針對每個監控範圍指定了檔案操作監控規則。
可以配置以下規則觸發條件:
受信任使用者
預設情況下,應用程式將所有操作視為潛在安全入侵。受信任使用者清單為空。可以透過在檔案操作監控規則設定中建立受信任使用者清單來配置事件重要性等級。
不受信任使用者是分配給監控範圍規則設定中受信任使用者清單裡未指定之任何使用者的狀態。如果 Kaspersky Embedded Systems Security for Windows 偵測到不受信任使用者執行的檔案操作,則“檔案完整性監控”工作將在工作記錄中記錄一個緊急事件。
受信任使用者是分配給經過產品授權可在指定的監控範圍內執行檔案操作之使用者或群組的狀態。如果 Kaspersky Embedded Systems Security for Windows 偵測到受信任使用者執行的檔案操作,則“檔案完整性監控”工作將在工作記錄中記錄一個“資訊事件”。
Kaspersky Embedded Systems Security for Windows 在監控中斷期間無法確定發起操作的使用者。在此情況下,使用者狀態被確定為未知。
未知使用者 ─ 如果由於工作中斷或者資料同步驅動程式或 USN 記錄失敗導致 Kaspersky Embedded Systems Security for Windows 無法獲取有關使用者的資料,則將此狀態分配給使用者。如果 Kaspersky Embedded Systems Security for Windows 偵測到未知使用者執行的檔案操作,則“檔案完整性監控”工作將在工作記錄中記錄一個“警告事件”。
檔案操作標記
當“檔案完整性監控”工作執行時,Kaspersky Embedded Systems Security for Windows 使用檔案操作標記來確定已對檔案執行了操作。
檔案操作標記是可以對檔案操作進行特徵化的獨特敘述符。
每個檔案操作可以是針對檔案進行的單個操作或系列操作。每個此類操作等同於一個檔案操作標記。如果您指定作為規則觸發條件的標記在檔案操作鏈中被刪除,則應用程式將記錄一個事件,表示已執行指定的檔案操作。
已記錄事件的重要性等級不取決於選定的檔案操作標記或事件的數量。
預設情況下,Kaspersky Embedded Systems Security for Windows 考慮所有可用的檔案操作標記。可以在工作規則設定中手動選擇檔案操作標記。
設定檔案操作標記
檔案操作 ID |
檔案操作標記 |
支援的檔案系統 |
|---|---|---|
BASIC_INFO_CHANGE |
已變更檔案或資料夾的內容或時間標記 |
NTFS、ReFS |
COMPRESSION_CHANGE |
已變更檔案或資料夾的壓縮 |
NTFS、ReFS |
DATA_EXTEND |
已變更檔案或資料夾的大小 |
NTFS、ReFS |
DATA_OVERWRITE |
已覆蓋檔案或資料夾中的資料 |
NTFS、ReFS |
DATA_TRUNCATION |
已截斷檔案或資料夾 |
NTFS、ReFS |
EA_CHANGE |
已變更延伸的檔案或資料夾內容 |
僅限 NTFS |
ENCRYPTION_CHANGE |
已變更檔案或資料夾的加密狀態 |
NTFS、ReFS |
FILE_CREATE |
首次建立檔案或資料夾 |
NTFS、ReFS |
FILE_DELETE |
使用 SHIFT+DEL 組合鍵永久刪除的檔案或資料夾 |
NTFS、ReFS |
HARD_LINK_CHANGE |
已為建立或刪除檔案或資料夾的硬連結 |
僅限 NTFS |
INDEXABLE_CHANGE |
已變更檔案或資料夾的索引狀態 |
NTFS、ReFS |
INTEGRITY_CHANGE |
已變更命名的檔案流的完整性內容 |
僅限 ReFS |
NAMED_DATA_EXTEND |
已增大命名的檔案流的大小 |
NTFS、ReFS |
NAMED_DATA_OVERWRITE |
已覆蓋命名的檔案流 |
NTFS、ReFS |
NAMED_DATA_TRUNCATION |
已截斷命名的檔案流 |
NTFS、ReFS |
OBJECT_ID_CHANGE |
已變更檔案或資料夾識別碼 |
NTFS、ReFS |
RENAME_NEW_NAME |
已為檔案或資料夾分配新名稱 |
NTFS、ReFS |
REPARSE_POINT_CHANGE |
已為檔案或資料夾建立新的重分析點或變更其現有重分析點 |
NTFS、ReFS |
SECURITY_CHANGE |
已變更檔案或資料夾存取權限 |
NTFS、ReFS |
STREAM_CHANGE |
已建立新的命名的檔案流或變更現有命名的檔案流 |
NTFS、ReFS |
TRANSACTED_CHANGE |
TxF 事務已變更命名的檔案流 |
僅限 ReFS |