Monitoraggio integrità di sistema in tempo reale

Monitoraggio integrità di sistema consente di tenere traccia delle modifiche nel sistema operativo in tempo reale. È possibile tenere traccia delle modifiche che potrebbero indicare violazioni della sicurezza nel computer. Il componente consente di bloccare queste modifiche o semplicemente di registrare gli eventi di modifica.

Per il corretto funzionamento di Monitoraggio integrità di sistema, è necessario aggiungere almeno una regola. Una regola di Monitoraggio integrità di sistema è un set di criteri che definiscono l'accesso degli utenti ai file e al Registro di sistema. Monitoraggio integrità di sistema rileva le modifiche nei file e nel Registro di sistema all'interno dell'ambito di monitoraggio specificato. L'ambito del monitoraggio è uno dei criteri di una regola di Monitoraggio integrità di sistema.

Modalità di Monitoraggio integrità di sistema in tempo reale

Per assicurarsi che le regole di Monitoraggio integrità di sistema non blocchino le azioni con le risorse critiche per il funzionamento del sistema operativo o di altri servizi, è consigliabile abilitare la modalità Test e analizzare l'impatto del componente sul sistema. Con la modalità Test attivata, Kaspersky Endpoint Security non blocca le attività dell'utente vietate dalle regole, ma genera eventi di Avviso Icona di evento di avviso..

Il componente Monitoraggio integrità di sistema in tempo reale dispone di due modalità:

Abilitazione di Monitoraggio integrità di sistema in tempo reale

Come abilitare Monitoraggio integrità di sistema in tempo reale in Administration Console (MMC)

Come abilitare Monitoraggio integrità di sistema in tempo reale in Web Console

Come abilitare Monitoraggio integrità di sistema in tempo reale nell'interfaccia dell'applicazione

Impostazioni delle regole di Monitoraggio integrità di sistema in tempo reale

Parametro

Descrizione

Nome regola

Nome della regola di Monitoraggio integrità di sistema in tempo reale

Operazioni con file e Registro di sistema

  • Consenti. Monitoraggio integrità di sistema consente di eseguire azioni con file e chiavi del Registro di sistema nell'ambito del monitoraggio.
  • Blocca. Il comportamento di Monitoraggio integrità di sistema dipende dalla modalità selezionata. Se è stata selezionata la Modalità di protezione del sistema, Monitoraggio integrità di sistema blocca le azioni con file e chiavi del Registro di sistema dall'ambito di monitoraggio, genera un evento corrispondente e modifica lo stato del dispositivo nella console di Kaspersky Security Center. Se è stata selezionata la modalità Test, Monitoraggio integrità di sistema consente di eseguire azioni con file e chiavi del Registro di sistema nell'ambito del monitoraggio.

Livello di gravità evento

Kaspersky Endpoint Security registra gli eventi di modifica dei file ogni volta che si modifica un file o una chiave del Registro di sistema nell'ambito del monitoraggio. Sono disponibili i seguenti livelli di gravità degli eventi: Informativo Icona di evento informativo., Avviso Icona di evento di avviso., Critico Icona di evento critico..

Ambito del monitoraggio

  • File. Elenco di file e cartelle monitorati dal componente. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera.

    Utilizzare le maschere:

    • Il carattere * (asterisco), che sostituisce qualsiasi set di caratteri, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\*\*.txt includerà tutti i percorsi dei file con l'estensione TXT situata in cartelle sull'unità C:, ma non nelle sottocartelle.
    • Due caratteri * consecutivi sostituiscono qualsiasi set di caratteri (incluso un set vuoto) nel nome del file o della cartella, compresi i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\**\*.txt includerà tutti i percorsi dei file con estensione TXT situati nelle cartelle nidificate all'interno della Folder, ad eccezione della Folder stessa. La maschera deve includere almeno un livello di nidificazione. La maschera C:\**\*.txt non è una maschera valida.
    • Il carattere ? (punto interrogativo), che sostituisce qualsiasi carattere singolo, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\???.txt includerà i percorsi di tutti i file che si trovano nella cartella denominata Folder con l'estensione TXT e un nome composto da tre caratteri.
  • Registro di sistema. Elenco di chiavi e valori del Registro di sistema monitorati dal componente. Kaspersky Endpoint Security supporta i caratteri * e ? quando si inserisce una maschera:

Esclusioni

  • File. Elenco delle esclusioni dall'ambito del monitoraggio. Kaspersky Endpoint Security supporta le variabili di ambiente e i caratteri * e ? durante l'immissione di una maschera. Ad esempio, C:\Folder\Application\*.log. Le voci di esclusione hanno una priorità maggiore rispetto alle voci dell'ambito del monitoraggio.

    Utilizzare le maschere:

    • Il carattere * (asterisco), che sostituisce qualsiasi set di caratteri, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\*\*.txt includerà tutti i percorsi dei file con l'estensione TXT situata in cartelle sull'unità C:, ma non nelle sottocartelle.
    • Due caratteri * consecutivi sostituiscono qualsiasi set di caratteri (incluso un set vuoto) nel nome del file o della cartella, compresi i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\**\*.txt includerà tutti i percorsi dei file con estensione TXT situati nelle cartelle nidificate all'interno della Folder, ad eccezione della Folder stessa. La maschera deve includere almeno un livello di nidificazione. La maschera C:\**\*.txt non è una maschera valida.
    • Il carattere ? (punto interrogativo), che sostituisce qualsiasi carattere singolo, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\???.txt includerà i percorsi di tutti i file che si trovano nella cartella denominata Folder con l'estensione TXT e un nome composto da tre caratteri.
  • Registro di sistema. Elenco delle esclusioni dall'ambito del monitoraggio. Kaspersky Endpoint Security supporta i caratteri * e ? quando si inserisce una maschera: Le voci di esclusione hanno una priorità maggiore rispetto alle voci dell'ambito del monitoraggio.

Utenti e/o gruppi di utenti attendibili

Un utente attendibile è un utente autorizzato a eseguire azioni con file e chiavi del Registro di sistema nell'ambito di monitoraggio. Se Kaspersky Endpoint Security rileva un'azione eseguita da un utente attendibile, Monitoraggio integrità di sistema genera un evento Informativo Icona di evento informativo..

È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio.

Marcatori operazioni sul file/Operazioni monitorate

Indicatori che caratterizzano l'azione con file o chiavi del Registro di sistema che verranno monitorati dall'applicazione.

Hashing

Calcolo di un hash di file in fase di modifica. Kaspersky Endpoint Security aggiunge informazioni sull'hash del file quando viene generato un evento.

Inizio pagina