Controllo integrità di sistema su richiesta

Controllo integrità di sistema su richiesta è un'attività che è possibile eseguire manualmente o in base a una pianificazione. Quando si esegue l'attività Controllo integrità di sistema, l'applicazione confronta lo stato corrente degli oggetti inclusi nell'ambito di monitoraggio con lo stato della relativa linea di base. A differenza di Monitoraggio integrità di sistema in tempo reale, l'attività Controllo integrità di sistema consente di limitare il numero di eventi e consente di generare un rapporto generale delle modifiche apportate al sistema operativo.

Per il corretto funzionamento di Monitoraggio integrità di sistema, è necessario aggiungere almeno una regola. Una regola di Monitoraggio integrità di sistema è un set di criteri che definiscono l'accesso degli utenti ai file e al Registro di sistema. Monitoraggio integrità di sistema rileva le modifiche nei file e nel Registro di sistema all'interno dell'ambito di monitoraggio specificato. L'ambito del monitoraggio è uno dei criteri di una regola di Monitoraggio integrità di sistema. È possibile configurare le regole per la condivisione da parte di Monitoraggio integrità di sistema in tempo reale e l'attività Controllo integrità di sistema oppure creare regole separate per l'attività. Per creare una linea di base, Kaspersky Endpoint Security applica l'ambito di monitoraggio dall'attività Controllo integrità di sistema all'attività Aggiornamento di riferimento.

Creazione e aggiornamento di una linea di base

Per funzionare, l'attività Controllo integrità di sistema richiede una linea di base. Una linea di base è uno stato registrato degli oggetti nel sistema che l'applicazione utilizza come riferimento per il confronto con lo stato corrente. Se lo stato corrente del sistema è diverso dallo stato del sistema registrato nella linea di base, Kaspersky Endpoint Security genera l'evento corrispondente. È possibile creare o aggiornare una linea di base tramite l'attività Aggiornamento di riferimento.

È possibile aggiornare la linea di base nei seguenti modi:

Come creare o aggiornare una linea di base in Administration Console (MMC)

Come creare o aggiornare una linea di base in Web Console

Configurazione dell'ambito di monitoraggio per l'attività Controllo integrità di sistema

Per impostazione predefinita, l'ambito di monitoraggio dell'attività Controllo integrità di sistema corrisponde all'ambito di monitoraggio di Monitoraggio integrità di sistema in tempo reale. È possibile configurare un ambito di monitoraggio diverso per l'attività.

Come configurare un ambito di monitoraggio diverso per l'attività Controllo integrità di sistema in Administration Console (MMC)

Come configurare un ambito di monitoraggio diverso per l'attività Controllo integrità di sistema in Web Console

Come configurare un ambito di monitoraggio diverso per l'attività Controllo integrità di sistema nell'interfaccia dell'applicazione

Impostazioni di una regola dell'attività Controllo integrità di sistema

Parametro

Descrizione

Nome regola

Nome di una regola dell'attività Controllo integrità di sistema.

Livello di gravità evento

Kaspersky Endpoint Security registra gli eventi di modifica dei file ogni volta che si modifica un file o una chiave del Registro di sistema nell'ambito del monitoraggio. Sono disponibili i seguenti livelli di gravità degli eventi: Informativo Icona di evento informativo., Avviso Icona di evento di avviso., Critico Icona di evento critico..

Ambito del monitoraggio

  • File. Elenco di file e cartelle monitorati dal componente. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera.

    Utilizzare le maschere:

    • Il carattere * (asterisco), che sostituisce qualsiasi set di caratteri, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\*\*.txt includerà tutti i percorsi dei file con l'estensione TXT situata in cartelle sull'unità C:, ma non nelle sottocartelle.
    • Due caratteri * consecutivi sostituiscono qualsiasi set di caratteri (incluso un set vuoto) nel nome del file o della cartella, compresi i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\**\*.txt includerà tutti i percorsi dei file con estensione TXT situati nelle cartelle nidificate all'interno della cartella, ad eccezione della cartella stessa. La maschera deve includere almeno un livello di nidificazione. La maschera C:\**\*.txt non è una maschera valida.
    • Il carattere ? (punto interrogativo), che sostituisce qualsiasi carattere singolo, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\???.txt includerà i percorsi di tutti i file che si trovano nella cartella denominata Cartella con l'estensione TXT e un nome composto da tre caratteri.
  • Registro di sistema. Elenco di chiavi e valori del Registro di sistema monitorati dal componente. Kaspersky Endpoint Security supporta i caratteri * e ? quando si inserisce una maschera:

Esclusioni

  • File. Elenco delle esclusioni dall'ambito del monitoraggio. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera. Ad esempio, C:\Folder\Application\*.log. Le voci di esclusione hanno una priorità maggiore rispetto alle voci dell'ambito del monitoraggio.

    Utilizzare le maschere:

    • Il carattere * (asterisco), che sostituisce qualsiasi set di caratteri, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\*\*.txt includerà tutti i percorsi dei file con l'estensione TXT situata in cartelle sull'unità C:, ma non nelle sottocartelle.
    • Due caratteri * consecutivi sostituiscono qualsiasi set di caratteri (incluso un set vuoto) nel nome del file o della cartella, compresi i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\**\*.txt includerà tutti i percorsi dei file con estensione TXT situati nelle cartelle nidificate all'interno della cartella, ad eccezione della cartella stessa. La maschera deve includere almeno un livello di nidificazione. La maschera C:\**\*.txt non è una maschera valida.
    • Il carattere ? (punto interrogativo), che sostituisce qualsiasi carattere singolo, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\???.txt includerà i percorsi di tutti i file che si trovano nella cartella denominata Cartella con l'estensione TXT e un nome composto da tre caratteri.
  • Registro di sistema. Elenco delle esclusioni dall'ambito del monitoraggio. Kaspersky Endpoint Security supporta i caratteri * e ? quando si inserisce una maschera: Le voci di esclusione hanno una priorità maggiore rispetto alle voci dell'ambito del monitoraggio.

Esecuzione dell'attività Controllo integrità di sistema

L'attività Controllo integrità di sistema consente di verificare la presenza di modifiche nei file o nelle chiavi del Registro di sistema, nonché di verificare la connessione dei dispositivi esterni. Per verificare la presenza di modifiche nei file, è possibile eseguire l'attività Controllo integrità di sistema nei seguenti modi:

La modalità in cui viene eseguita l'attività non influisce sul controllo del Registro di sistema o sui dispositivi esterni.

Come eseguire l'attività Controllo integrità di sistema in Administration Console (MMC)

Come eseguire un'attività Controllo integrità di sistema in Web Console

Affinché l'attività Controllo integrità di sistema venga completata correttamente, l'ambito di monitoraggio dell'attività Controllo integrità di sistema deve corrispondere totalmente alla linea di base. Se l'ambito di monitoraggio è diverso, l'attività viene terminata con un errore. Per sincronizzare gli ambiti di monitoraggio, eseguire l'attività Aggiornamento di riferimento con un nuovo ambito di monitoraggio.

Inizio pagina