Содержание

Задача Контроль целостности системы (System_Integrity_Monitoring, ID:11)

Задача Контроль целостности системы (System_Integrity_Monitoring, ID:11)

Задача Контроль целостности системы предназначена для отслеживания действий, выполняемых с файлами и директориями в области мониторинга, указанной в параметрах задачи. Вы можете использовать задачу, чтобы отслеживать изменения в файлах, которые могут указывать на нарушение безопасности на защищаемом сервере.

Для использования задачи требуется лицензия, которая включает эту функцию.

Контроль целостности системы может выполняться в режиме реального времени при запуске задачи Контроль целостности системы при доступе (OAFIM). Кроме того, вы можете создавать и запускать задачи Контроль целостности системы по требованию (ODFIM).

Оба типа задачи отправляют уведомления об изменениях в списках контроля доступа к объектам. В случае задачи OAFIM в отчет не включаются данные о том, какие именно изменения внесены. В случае задачи ODFIM в отчет включаются данные об измененных атрибутах и перемещенных файлах и директориях.

В этом разделе справки

Контроль целостности системы при доступе (OAFIM)

Контроль целостности системы по требованию (ODFIM)

Параметры задачи Контроль целостности системы при доступе

Параметры задачи Контроль целостности системы по требованию

В начало

Контроль целостности системы при доступе (OAFIM)

Во время работы задачи OAFIM каждое изменение объекта определяется путем перехвата файловых операций в режиме реального времени. При изменении объекта приложение Kaspersky Embedded Systems Security отправляет событие на Сервер администрирования Kaspersky Security Center. Во время работы задачи контрольная сумма файла не рассчитывается. Приложение не отслеживает изменения файлов (атрибутов и содержимого) с жесткими ссылками, которые расположены вне области мониторинга. Приложение отслеживает операции с конкретными файлами или в областях мониторинга, указанных в параметрах задачи.

Области мониторинга

Для задачи Контроль целостности системы требуется указать области мониторинга. Администратор может изменять области мониторинга в режиме реального времени. Вы можете указать несколько областей мониторинга. Если область мониторинга не указана, параметры задачи невозможно сохранить в конфигурационном файле.

Исключения из области мониторинга

Вы можете создавать исключения из области мониторинга. Исключения указываются для каждой отдельной области и работают только для указанной области мониторинга. Вы можете указать несколько областей исключения из мониторинга.

Исключения имеют более высокий приоритет, чем область мониторинга, и не проверяются задачей, даже если указанная директория или файл находятся в области мониторинга. Если параметры одного из правил указывают область мониторинга на более низком уровне, чем директория, указанная в исключении, область мониторинга не рассматривается при выполнении задачи.

Для указания исключений вы можете использовать те же маски в формате командной оболочки, которые используются для указания областей мониторинга.

При добавлении области мониторинга или области исключения приложение не проверяет, существует ли такая директория.

Контролируемые параметры

Во время работы задачи Контроль целостности системы контролируется изменение следующих параметров:

содержимое (write (), truncate (), etc.);
метаданные (правообладание (chmod/chown));
отметки времени (utimensat);
расширенные атрибуты (setxattr) и другие.

Технологические ограничения операционной системы Linux не позволяют задаче Контроль целостности системы определять, какой администратор или процесс внес изменение в файл.

В начало

Контроль целостности системы по требованию (ODFIM)

В процессе выполнения задачи ODFIM изменение каждого объекта определяется путем сравнения текущего состояния контролируемого объекта с исходным состоянием, зафиксированным ранее в качестве снимка состояния системы.

Снимок состояния системы создается во время первого выполнения задачи ODFIM на устройстве. Вы можете создать несколько задач ODFIM. Для каждой задачи ODFIM создается отдельный снимок состояния системы. Задача выполняется, только если снимок состояния системы относится к области мониторинга. Если снимок состояния системы не соответствует области мониторинга, приложение Kaspersky Embedded Systems Security создает событие о нарушении целостности системы. Снимок состояния системы содержит пути к контролируемым объектам и их метаданные. Снимок состояния системы может также содержать персональные данные.

Снимок состояния системы создается заново после завершения задачи ODFIM. Вы можете заново создать снимок для задачи с помощью параметра RebuildBaseline. Снимок состояния системы также создается при изменении параметров задачи, например, при добавлении новой области мониторинга. При следующем выполнении задачи снимок состояния системы формируется заново. Вы можете удалить снимок состояния системы, удалив соответствующую задачу ODFIM.

Задача ODFIM создает хранилище для снимков состояния системы на устройстве с установленным компонентом Контроль целостности системы. По умолчанию снимки состояния системы хранятся в базе данных /var/opt/kaspersky/kess/private/fim.db. Для доступа к базе данных, в которой хранятся снимки состояния системы, требуются root-права.

В начало

Параметры задачи Контроль целостности системы при доступе

В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Контроль целостности системы при доступе.

Параметры задачи Контроль целостности системы при доступе

Параметр	Описание	Значения

`UseExcludeMasks`	Включение исключения из области мониторинга объектов, указанными параметром `ExcludeThreats.item_#`. Этот параметр работает, только если указано значение параметра `ExcludeMasks.item_#`.	`Yes` – исключать объекты, указанные параметром `ExcludeMasks.item_#`, из области мониторинга. `No` (значение по умолчанию) – не исключать объекты, указанные параметром `ExcludeMasks.item_#`, из области мониторинга.
`ExcludeMasks.item_#`	Исключение из мониторинга объектов по именам или маскам. C помощью этого параметра вы можете исключать из указанной области проверки отдельный файл по имени или несколько файлов, используя маски в формате shell. Перед тем как указать значение этого параметра, убедитесь, что включен параметр `UseExcludeMasks`. Вы можете указать несколько масок, каждая маска должна быть указана в новой строке с новым индексом.	Значение по умолчанию не задано.
Секция [ScanScope.item_#] содержит области мониторинга для задачи Контроль целостности системы. Для задачи должна быть указана минимум одна область мониторинга. Вы можете указать несколько секций [ScanScope.item_#] в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания. Секция [ScanScope.item_#] содержит следующие параметры:
`AreaDesc`	Описание области мониторинга, содержит дополнительную информацию об области мониторинга.	Значение по умолчанию не задано.
`UseScanArea`	Включение мониторинга указанной области.	`Yes` (значение по умолчанию) – контролировать указанную область. `No` – не контролировать указанную область.
`Path`	Путь к директории для мониторинга.	Для указания пути вы можете использовать маски. Вы можете использовать символ `` (звездочка) для формирования маски имени файла или директории. Вы можете указать один символ `` вместо любого набора символов (включая пустой набор), предшествующего символу `/` в имени файла или директории. Например, `/dir//file` или `/dir///file`. Вы можете указать два последовательно идущих символа `` вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ `/`. Например, `/dir/*/file/` или `/dir/file/`. Маску `` можно использовать в имени директории только один раз. Например, `/dir///file` – это неправильная маска. Вы можете использовать символ `?` вместо любого одного символа в имени файла или директории. Значение по умолчанию: /opt/kaspersky/kess/
`AreaMask.item_#`	Ограничение области мониторинга. В области мониторинга приложение проверяет только объекты, указанные с помощью масок в формате shell. Вы можете указать несколько элементов `AreaMask.item_#` в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания.	Значение по умолчанию: `*` (контролировать все объекты).
Секция [ExcludedFromScanScope.item_#] содержит объекты, которые требуется исключить из всех секций [ScanScope.item_#]. Объекты, удовлетворяющие правилам любой из секций [ExcludedFromScanScope.item_#], будут исключены из мониторинга. Формат секции [ExcludedFromScanScope.item_#] аналогичен формату секции [ScanScope.item_#]. Вы можете указать несколько секций [ExcludedFromScanScope.item_#] в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания. Секция [ExcludedFromScanScope.item_#] содержит следующие параметры:
`AreaDesc`	Описание области исключения из мониторинга, содержит дополнительную информацию об области исключения из мониторинга.	Значение по умолчанию не задано.
`UseScanArea`	Исключение указанной области из мониторинга.	`Yes` (значение по умолчанию) – исключать указанную область из мониторинга. `No` – не исключать указанную область из мониторинга.
`Path`	Путь к директории с объектами, исключаемыми из мониторинга.	Для указания пути вы можете использовать маски. Вы можете использовать символ `` (звездочка) для формирования маски имени файла или директории. Вы можете указать один символ `` вместо любого набора символов (включая пустой набор), предшествующего символу `/` в имени файла или директории. Например, `/dir//file` или `/dir///file`. Вы можете указать два последовательно идущих символа `` вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ `/`. Например, `/dir/*/file/` или `/dir/file/`. Маску `` можно использовать в имени директории только один раз. Например, `/dir///file` – это неправильная маска. Вы можете использовать символ `?` вместо любого одного символа в имени файла или директории. Значение по умолчанию не задано.
`AreaMask.item_#`	Ограничение области исключения из мониторинга. В области исключения из мониторинга приложение исключает только объекты, указанные с помощью масок в формате shell. Вы можете указать несколько элементов `AreaMask.item_#` в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания.	Значение по умолчанию: `*` (исключать из мониторинга все объекты).

В начало

Параметры задачи Контроль целостности системы по требованию

В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Контроль целостности системы по требованию.

Параметры задачи Контроль целостности системы по требованию

Параметр	Описание	Значения

`RebuildBaseline`	Включение повторного создания снимка состояния системы после завершения задачи ODFIM.	`Yes` – создавать снимок состояния системы повторно после завершения задачи ODFIM. `No` (значение по умолчанию) – не создавать снимок состояния системы повторно после завершения задачи ODFIM.
`CheckFileHash`	Включение проверки хеша (SHA-256).	`Yes` – включить проверку хеша. `No` (значение по умолчанию) – выключить проверку хеша.
`TrackDirectoryChanges`	Включение мониторинга директорий.	`Yes` – контролировать директории. `No` (значение по умолчанию) – не контролировать директории.
`TrackLastAccessTime`	Включение проверки времени последнего доступа к файлу. В операционных системах Linux это параметр `noatime`.	`Yes` – проверять время последнего доступа к файлу. `No` (значение по умолчанию) – не проверять время последнего доступа к файлу.
`UseExcludeMasks`	Включение исключения из области мониторинга объектов, указанными параметром `ExcludeMasks_#`. Этот параметр работает, только если указано значение параметра `ExcludeMasks_#`.	`Yes` – исключать объекты, указанные параметром `ExcludeMasks_#`, из области мониторинга. `No` (значение по умолчанию) – не исключать объекты, указанные параметром `ExcludeMasks_#`, из области мониторинга.
`ExcludeMasks_#`	Исключение из мониторинга объектов по именам или маскам. C помощью этого параметра вы можете исключать из указанной области проверки отдельный файл по имени или несколько файлов, используя маски в формате shell. Перед тем как указать значение этого параметра, убедитесь, что включен параметр `UseExcludeMasks`. Вы можете указать несколько масок, каждая маска должна быть указана в новой строке с новым индексом.	Значение по умолчанию не задано.
Секция [ScanScope.item_#] содержит области мониторинга для задачи Контроль целостности системы. Для задачи должна быть указана минимум одна область мониторинга. Вы можете указать несколько секций [ScanScope.item_#] в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания. Секция [ScanScope.item_#] содержит следующие параметры:
`AreaDesc`	Описание области мониторинга, содержит дополнительную информацию об области мониторинга.	Значение по умолчанию не задано.
`UseScanArea`	Включение мониторинга указанной области.	`Yes` (значение по умолчанию) – контролировать указанную область. `No` – не контролировать указанную область.
`Path`	Путь к директории для мониторинга.	Для указания пути вы можете использовать маски. Вы можете использовать символ `` (звездочка) для формирования маски имени файла или директории. Вы можете указать один символ `` вместо любого набора символов (включая пустой набор), предшествующего символу `/` в имени файла или директории. Например, `/dir//file` или `/dir///file`. Вы можете указать два последовательно идущих символа `` вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ `/`. Например, `/dir/*/file/` или `/dir/file/`. Маску `` можно использовать в имени директории только один раз. Например, `/dir///file` – это неправильная маска. Вы можете использовать символ `?` вместо любого одного символа в имени файла или директории. Значение по умолчанию: /opt/kaspersky/kess/
`AreaMask.item_#`	Ограничение области мониторинга. В области мониторинга приложение проверяет только объекты, указанные с помощью масок в формате shell. Вы можете указать несколько элементов `AreaMask.item_#` в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания.	Значение по умолчанию: `*` (контролировать все объекты).
Секция [ExcludedFromScanScope.item_#] содержит объекты, которые требуется исключить из всех секций [ScanScope.item_#]. Объекты, удовлетворяющие правилам любой из секций [ExcludedFromScanScope.item_#], будут исключены из мониторинга. Формат секции [ExcludedFromScanScope.item_#] аналогичен формату секции [ScanScope.item_#]. Вы можете указать несколько секций [ExcludedFromScanScope.item_#] в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания. Секция [ExcludedFromScanScope.item_#] содержит следующие параметры:
`AreaDesc`	Описание области исключения из мониторинга, содержит дополнительную информацию об области исключения из мониторинга.	Значение по умолчанию не задано.
`UseScanArea`	Исключение указанной области из мониторинга.	`Yes` (значение по умолчанию) – исключать указанную область из мониторинга. `No` – не исключать указанную область из мониторинга.
`Path`	Путь к директории с объектами, исключаемыми из мониторинга.	Для указания пути вы можете использовать маски. Вы можете использовать символ `` (звездочка) для формирования маски имени файла или директории. Вы можете указать один символ `` вместо любого набора символов (включая пустой набор), предшествующего символу `/` в имени файла или директории. Например, `/dir//file` или `/dir///file`. Вы можете указать два последовательно идущих символа `` вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ `/`. Например, `/dir/*/file/` или `/dir/file/`. Маску `` можно использовать в имени директории только один раз. Например, `/dir///file` – это неправильная маска. Вы можете использовать символ `?` вместо любого одного символа в имени файла или директории. Значение по умолчанию не задано.
`AreaMask.item_#`	Ограничение области исключения из мониторинга. В области исключения из мониторинга приложение исключает только объекты, указанные с помощью масок в формате shell. Вы можете указать несколько элементов `AreaMask.item_#` в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания.	Значение по умолчанию: `*` (исключать из мониторинга все объекты).

В начало