Контроль целостности системы в режиме реального времени

Контроль целостности системы позволяет отслеживать изменения в операционной системе в режиме реального времени. Вы можете отслеживать изменения, которые могут указывать на нарушения безопасности на компьютере. Компонент позволяет или блокировать эти изменения, или только регистрировать события об изменениях.

Для работы Контроля целостности системы требуется добавить хотя бы одно правило. Правило Контроля целостности системы – набор критериев, которые определяют доступ пользователей к файлам и реестру. Контроль целостности системы обнаруживает изменения в файлах и реестре в заданной области мониторинга. Область мониторинга является одним из критериев правила Контроля целостности системы.

Как включить и настроить Контроль целостности системы в режиме реального времени в Консоли администрирования Kaspersky Security Center

В дереве Консоли администрирования Kaspersky Security Center выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне свойств политики выберите Диагностика системы.
В разделе Контроль целостности системы нажмите Настройка.
Установите флажок Контроль целостности системы.
Настройте мониторинг файловых операций:
1. Установите флажок Следить за файлами на вкладке Файлы.
2. В блоке Режим работы для блокирующих правил выберите режим мониторинга файловых операций:
  - Блокировать. В этом режиме приложение выполняет действия с файлами в соответствии с правилами мониторинга файловых операций и формирует в журнале работы Контроля целостности системы соответствующие события.
  - Информировать. В этом режиме приложение только формирует в журнале работы Контроля целостности системы события о срабатывании правил мониторинга файловых операций.
3. Добавьте правила мониторинга файловых операций вручную с помощью кнопки Добавить или с помощью импорта из XML-файла. Настройки правил мониторинга файловых операций описаны в таблице ниже.
4. В списке правил мониторинга файловых операций с помощью флажков оставьте включенными нужные правила.
Настройте мониторинг доступа к реестру:
1. Установите флажок Следить за реестром на вкладке Реестр.
2. В блоке Режим работы для блокирующих правил выберите режим мониторинга доступа к реестру:
  - Блокировать. В этом режиме приложение блокирует действия с реестром в соответствии с правилами мониторинга доступа к реестру и формирует в журнале работы Контроля целостности системы соответствующие события.
  - Информировать. В этом режиме приложение только формирует в журнале работы Контроля целостности системы события о срабатывании правил мониторинга доступа к реестру.
3. Добавьте правила мониторинга доступа к реестру вручную с помощью кнопки Добавить или с помощью импорта из XML-файла. Настройки правил мониторинга доступа к реестру описаны в таблице ниже.
4. В списке правил мониторинга доступа к реестру с помощью флажков оставьте включенными нужные правила.
Настройте мониторинг внешних устройств:
1. Установите флажок Следить за устройствами на вкладке Устройства.
2. В раскрывающемся списке Уровень важности событий выберите уровень важности событий мониторинга внешних устройств: Информационное, Предупреждение, Критическое.
  После применения настроек мониторинга внешних устройств приложение фиксирует текущие подключения внешних устройств. Далее при подключении или отключении внешних устройств приложение формирует соответствующие события в журнале работы Контроля целостности системы.
Сохраните внесенные изменения.

Как включить и настроить Контроль целостности системы в режиме реального времени в Web Console

В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.
Откроется окно свойств политики.
Выберите вкладку Параметры приложения.
Перейдите в раздел Диагностика системы → Контроль целостности системы и нажмите на кнопку Настроить.
Установите флажок Контроль целостности системы.
Настройте мониторинг файловых операций:
1. Установите флажок Следить за файлами на вкладке Файлы.
2. В блоке Режим работы для блокирующих правил выберите режим мониторинга файловых операций:
  - Блокировать. В этом режиме приложение выполняет действия с файлами в соответствии с правилами мониторинга файловых операций и формирует в журнале работы Контроля целостности системы соответствующие события.
  - Информировать. В этом режиме приложение только формирует в журнале работы Контроля целостности системы события о срабатывании правил мониторинга файловых операций.
3. Добавьте правила мониторинга файловых операций вручную с помощью кнопки Добавить или с помощью импорта из XML-файла. Настройки правил мониторинга файловых операций описаны в таблице ниже.
4. В списке правил мониторинга файловых операций с помощью переключателя в графе Статус оставьте включенными нужные правила.
Настройте мониторинг доступа к реестру:
1. Установите флажок Следить за реестром на вкладке Реестр.
2. В блоке Режим работы для блокирующих правил выберите режим мониторинга доступа к реестру:
  - Блокировать. В этом режиме приложение блокирует действия с реестром в соответствии с правилами мониторинга доступа к реестру и формирует в журнале работы Контроля целостности системы соответствующие события.
  - Информировать. В этом режиме приложение только формирует в журнале работы Контроля целостности системы события о срабатывании правил мониторинга доступа к реестру.
3. Добавьте правила мониторинга доступа к реестру вручную с помощью кнопки Добавить или с помощью импорта из XML-файла. Настройки правил мониторинга доступа к реестру описаны в таблице ниже.
4. В списке правил мониторинга доступа к реестру с помощью переключателя в графе Статус оставьте включенными нужные правила.
Настройте мониторинг внешних устройств:
1. Установите флажок Следить за устройствами на закладке Устройства.
2. В раскрывающемся списке Уровень важности событий выберите уровень важности событий мониторинга внешних устройств: Информационное, Предупреждение, Критическое.
  Контроль целостности системы фиксирует текущее подключение внешних устройств. Приложение начинает контролировать подключение и отключение внешних устройств после включения компонента в параметрах приложения. Далее при подключении или отключении внешних устройств приложение формирует соответствующее событие.
Сохраните внесенные изменения.

Как включить и настроить Контроль целостности системы в режиме реального времени в Консоли приложения

В дереве Консоли Kaspersky Industrial CyberSecurity for Nodes выберите Мониторинг целостности системы → Контроль целостности системы.
В панели результатов узла Контроль целостности системы нажмите Свойства.
Откроется окно Свойства: Контроль целостности системы.
Установите флажок Контроль целостности системы.
Настройте мониторинг файловых операций:
1. Установите флажок Следить за файлами на вкладке Файлы.
2. В блоке Режим работы для блокирующих правил выберите режим мониторинга файловых операций:
  - Блокировать. В этом режиме приложение выполняет действия с файлами в соответствии с правилами мониторинга файловых операций и формирует в журнале работы Контроля целостности системы соответствующие события.
  - Информировать. В этом режиме приложение только формирует в журнале работы Контроля целостности системы события о срабатывании правил мониторинга файловых операций.
3. Добавьте правила мониторинга файловых операций вручную с помощью кнопки Добавить или с помощью импорта из XML-файла. Настройки правил мониторинга файловых операций описаны в таблице ниже.
4. В списке правил мониторинга файловых операций с помощью флажков оставьте включенными нужные правила.
Настройте мониторинг доступа к реестру:
1. Установите флажок Следить за реестром на вкладке Реестр.
2. В блоке Режим работы для блокирующих правил выберите режим мониторинга доступа к реестру:
  - Блокировать. В этом режиме приложение блокирует действия с реестром в соответствии с правилами мониторинга доступа к реестру и формирует в журнале работы Контроля целостности системы соответствующие события.
  - Информировать. В этом режиме приложение только формирует в журнале работы Контроля целостности системы события о срабатывании правил мониторинга доступа к реестру.
3. Добавьте правила мониторинга доступа к реестру вручную с помощью кнопки Добавить или с помощью импорта из XML-файла. Настройки правил мониторинга доступа к реестру описаны в таблице ниже.
4. В списке правил мониторинга доступа к реестру с помощью флажков оставьте включенными нужные правила.
Настройте мониторинг внешних устройств:
1. Установите флажок Следить за устройствами на вкладке Устройства.
2. В раскрывающемся списке Уровень важности событий выберите уровень важности событий мониторинга внешних устройств: Информационное, Предупреждение, Критическое.
  После применения настроек мониторинга внешних устройств приложение фиксирует текущие подключения внешних устройств. Далее при подключении или отключении внешних устройств приложение формирует соответствующие события в журнале работы Контроля целостности системы.
Сохраните внесенные изменения.

Параметры правил Контроля целостности системы

Параметр	Описание
Выполнять мониторинг файловых операций для области	Область, для которой будет производиться мониторинг файловых операций. Данное поле является обязательным. Используйте маски: Kaspersky Industrial CyberSecurity for Nodes поддерживает переменные среды и символы `` и `?` для ввода маски. Символ ``, который заменяет любой набор символов, в том числе пустой, кроме символов `\` и `/` (разделители имен файлов и папок в путях к файлам и папкам). Например, маска `C:\\.txt` будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках. Два введенных подряд символа `` заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы `\` и `/` (разделители имен файлов и папок в путях к файлам и папкам). Например, маска `C:\Folder\\.txt` будет включать все пути к файлам с расширением txt в папках, вложенных в папку `Folder`, кроме самой папки `Folder`. Маска должна включать хотя бы один уровень вложенности. Маска `C:\*\.txt` не работает. Символ `?`, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска `C:\Folder\???.txt` будет включать пути ко всем расположенным в папке `Folder` файлам с расширением txt и именем, состоящим из трех символов.
Объекты мониторинга	Здесь вы можете указать имя или значение ключа реестра. Используйте маски: Kaspersky Industrial CyberSecurity for Nodes поддерживает символы `*` и `?` для ввода маски.
Действия с файлами	Обнаруживать. Приложение разрешает действия с файлами в области мониторинга. Обнаруживать и блокировать. Действие приложения зависит от выбранного режима работы мониторинга файловых операций. Если вы выбрали режим Блокировать, Контроль целостности системы блокирует действия с файлами из области мониторинга. Если вы выбрали Информировать, Контроль целостности системы разрешает действия с файлами в области мониторинга.
Доверенные пользователи и / или группы пользователей	Доверенный пользователь – пользователь, которому разрешено выполнение действий с файлами и реестром в области мониторинга. Если Kaspersky Industrial CyberSecurity for Nodes обнаруживает действие, выполненное доверенным пользователем, Контроль целостности системы формирует событие с уровнем важности Информационные. Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную.
Маркеры файловых операций / Действия	Маркеры, характеризующие действие над файлами или реестром, которые будет контролировать приложение.
Обнаруживать файловые операции по всем распознаваемым маркерам / Обнаруживать операции с реестром по всем распознаваемым маркерам	По умолчанию Kaspersky Industrial CyberSecurity for Nodes обнаруживает все маркеры файловых операций / операций с реестром.
Обнаруживать файловые операции по следующим маркерам / Обнаруживать операции с реестром по следующим маркерам	В списке доступных файловых операций / операций с реестром установите флажки напротив тех операций, которые вы хотите контролировать.
Рассчитывать контрольную сумму файла после файловой операции, если это возможно. Контрольная сумма будет указана в журнале выполнения задачи	Если флажок установлен, Kaspersky Industrial CyberSecurity for Nodes рассчитывает контрольную сумму измененного файла, в котором была обнаружена файловая операция, соответствующая хотя бы одному маркеру файловой операции. Если файловая операция обнаружена сразу по нескольким маркерам, рассчитывается только окончательная контрольная сумма файла после всех изменений. Если флажок снят, Kaspersky Industrial CyberSecurity for Nodes не рассчитывает контрольную сумму измененных файлов. Расчет контрольной суммы не выполняется в следующих случаях: если файл стал недоступен (например, в результате изменения прав доступа к файлу); если файловая операция обнаружена в файле, который впоследствии был удален. По умолчанию флажок снят.
Алгоритм вычисления контрольной суммы	В раскрывающемся списке выберите один из алгоритмов вычисления контрольной суммы: Хеш MD5; Хеш SHA256.
Исключения	На закладке Исключения вы можете добавить объекты, которые вы хотите исключить из области мониторинга: для правила мониторинга файловых операций вы можете указать список папок; для правила мониторинга доступа к реестру, вы можете указать ключи реестра или значения ключей реестра. Используйте маски: Файлы Список файлов и папок, которые контролирует компонент. Kaspersky Industrial CyberSecurity for Nodes поддерживает переменные среды и символы `` и `?` для ввода маски. Символ ``, который заменяет любой набор символов, в том числе пустой, кроме символов `\` и `/` (разделители имен файлов и папок в путях к файлам и папкам). Например, маска `C:\\.txt` будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках. Два введенных подряд символа `` заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы `\` и `/` (разделители имен файлов и папок в путях к файлам и папкам). Например, маска `C:\Folder\\.txt` будет включать все пути к файлам с расширением txt в папках, вложенных в папку `Folder`, кроме самой папки `Folder`. Маска должна включать хотя бы один уровень вложенности. Маска `C:\*\.txt` не работает. Символ `?`, который заменяет любой один символ, кроме символов `\` и `/` (разделители имен файлов и папок в путях к файлам и папкам). Например, маска `C:\Folder\???.txt` будет включать пути ко всем расположенным в папке `Folder` файлам с расширением txt и именем, состоящим из трех символов. Реестр Kaspersky Industrial CyberSecurity for Nodes поддерживает символы `*` и `?` для ввода маски. Записи исключений имеют более высокий приоритет, чем записи в области мониторинга.
Уровень важности событий	Kaspersky Industrial CyberSecurity for Nodes регистрирует события изменения файлов и реестра в области мониторинга. Доступны следующие уровни важности событий: Информационные, Предупреждение, Критические.

В начало