Monitorowanie integralności systemu w czasie rzeczywistym

Monitorowanie integralności systemu umożliwia śledzenie zmian w systemie operacyjnym w czasie rzeczywistym. Możesz śledzić zmiany, które mogą wskazywać na naruszenia bezpieczeństwa w komputerze. Komponent umożliwia blokowanie tych zmian lub jedynie rejestrowanie zdarzeń zmian.

Aby Monitorowanie integralności systemu działało, musisz dodać co najmniej jedną regułę. Reguła Monitorowania integralności systemu to zbiór kryteriów definiujących dostęp użytkowników do plików i rejestru. Monitorowanie integralności systemu wykrywa zmiany w plikach i rejestrze w określonym zakresie monitorowania. Zakres monitorowania jest jednym z kryteriów reguły Monitorowania integralności systemu.

Tryby Monitorowania integralności systemu w czasie rzeczywistym

Aby mieć pewność, że reguły Monitorowania integralności systemu nie blokują żadnych działań z zasobami o znaczeniu krytycznym dla funkcjonowania systemu operacyjnego lub innych usług, zalecamy włączenie trybu testowego i przeanalizowanie wpływu komponentu na system. Gdy tryb testowy jest włączony, Kaspersky Endpoint Security nie blokuje aktywności użytkownika zabronionej przez reguły, zamiast tego generując zdarzenia Ostrzeżenie Ikona zdarzenia ostrzegawczego..

Komponent Monitorowania integralności systemu w czasie rzeczywistym ma dwa tryby:

Włączanie Monitorowania integralności systemu w czasie rzeczywistym

Jak włączyć Monitorowanie integralności systemu w czasie rzeczywistym w Konsoli Administracyjnej (MMC)

Jak włączyć Monitorowanie integralności systemu w czasie rzeczywistym w konsoli Web Console

Jak włączyć Monitorowanie integralności systemu w czasie rzeczywistym w interfejsie aplikacji

Ustawienia reguły Monitorowania integralności systemu w czasie rzeczywistym

Parametr

Opis

Nazwa reguły

Nazwa reguły Monitorowania integralności systemu w czasie rzeczywistym

Operacje na plikach i rejestrze

  • Zezwól. Monitorowanie integralności systemu zezwala na działania na plikach i kluczach rejestru z zakresu monitorowania.
  • Zablokuj. Zachowanie Monitorowania integralności systemu zależy od wybranego trybu. Jeżeli wybrałeś(aś) tryb ochrony Systemu, Monitorowanie integralności systemu blokuje działania na plikach i kluczach rejestru z zakresu monitorowania, generuje odpowiadające temu zdarzenie i zmienia status urządzenia w konsoli Kaspersky Security Center. Jeżeli wybrałeś(aś) tryb testowy, Monitorowanie integralności systemu zezwala na działania na plikach i kluczach rejestru z zakresu monitorowania.

Poziom wagi zdarzenia

Kaspersky Endpoint Security rejestruje zdarzenia modyfikacji plików za każdym razem, gdy plik lub klucz rejestru w zakresie monitorowania zostanie zmodyfikowany. Dostępne są poniższe poziomy wagi zdarzenia: Informacyjny Ikona zdarzenia informacyjnego., Ostrzeżenie Ikona zdarzenia ostrzegawczego., Krytyczny Ikona zdarzenia krytycznego..

Zakres monitorowania

  • Plik. Lista plików i folderów monitorowanych przez komponent. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.

    Użyj masek:

    • Znak * (gwiazdka), który zastępuje dowolny zestaw znaków, za wyjątkiem znaków: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\*\*.txt będzie zawierała wszystkie ścieżki do plików z rozszerzeniem TXT, znajdujących się w folderach na dysku C:, ale nie w podfolderach.
    • Dwa występujące po sobie znaki * zastępują dowolny zestaw znaków (w tym pusty zestaw) w nazwie pliku lub folderu, w tym znaki: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\Folder\**\*.txt będzie zawierała wszystkie ścieżki do plików z rozszerzeniem TXT, znajdujących się w folderze o nazwie Folder i w jego podfolderach. Maska musi zawierać przynajmniej jeden poziom zagnieżdżenia. Maska C:\**\*.txt nie jest ważną maską.
    • Znak ? (znak zapytania), który zastępuje dowolny pojedynczy znak, za wyjątkiem znaków: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\Folder\???.txt będzie zawierała ścieżki do wszystkich plików znajdujących się w folderze o nazwie Folder, które posiadają rozszerzenie TXT i nazwę składającą się z trzech znaków.
  • Rejestr. Lista kluczy rejestru i wartości monitorowanych przez komponent. Kaspersky Endpoint Security obsługuje znaki * i ? podczas wprowadzania maski.

Wykluczenia

  • Plik. Lista wykluczeń z zakresu monitorowania. Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?. Na przykład, C:\Folder\Application\*.log. Wpisy wykluczające mają wyższy priorytet niż wpisy zakresu monitorowania.

    Użyj masek:

    • Znak * (gwiazdka), który zastępuje dowolny zestaw znaków, za wyjątkiem znaków: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\*\*.txt będzie zawierała wszystkie ścieżki do plików z rozszerzeniem TXT, znajdujących się w folderach na dysku C:, ale nie w podfolderach.
    • Dwa występujące po sobie znaki * zastępują dowolny zestaw znaków (w tym pusty zestaw) w nazwie pliku lub folderu, w tym znaki: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\Folder\**\*.txt będzie zawierała wszystkie ścieżki do plików z rozszerzeniem TXT, znajdujących się w folderze o nazwie Folder i w jego podfolderach. Maska musi zawierać przynajmniej jeden poziom zagnieżdżenia. Maska C:\**\*.txt nie jest ważną maską.
    • Znak ? (znak zapytania), który zastępuje dowolny pojedynczy znak, za wyjątkiem znaków: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\Folder\???.txt będzie zawierała ścieżki do wszystkich plików znajdujących się w folderze o nazwie Folder, które posiadają rozszerzenie TXT i nazwę składającą się z trzech znaków.
  • Rejestr. Lista wykluczeń z zakresu monitorowania. Kaspersky Endpoint Security obsługuje znaki * i ? podczas wprowadzania maski. Wpisy wykluczające mają wyższy priorytet niż wpisy zakresu monitorowania.

Zaufani użytkownicy i/lub grupy użytkowników

Zaufany użytkownik to użytkownik, który może wykonywać działania na plikach i kluczach rejestru w zakresie monitorowania. Jeśli Kaspersky Endpoint Security wykryje działanie wykonane przez zaufanego użytkownika, Monitorowanie integralności systemu wygeneruje zdarzenie Informacyjny Ikona zdarzenia informacyjnego..

Możesz wybrać użytkowników w Active Directory, na liście kont w Kaspersky Security Center lub ręcznie wprowadzając lokalną nazwę użytkownika. Kaspersky zaleca używanie lokalnych kont użytkowników tylko w szczególnych przypadkach, gdy nie jest możliwe korzystanie z kont użytkowników domeny.

Markery operacji plikowej / Monitorowane operacje

Znaczniki charakteryzujące działanie z plikami lub kluczami rejestru, które aplikacja będzie monitorować.

Haszowanie

Obliczanie sumy kontrolnej pliku po modyfikacji. Kaspersky Endpoint Security dodaje informacje o sumie kontrolnej pliku po wygenerowaniu zdarzenia.

Przejdź do góry