A tarefa do Monitor de Integridade do Sistema é executada de acordo com as regras de monitoramento de operações de arquivos. É possível usar os critérios para acionamento de regras para configurar as condições que acionam a tarefa e ajustar o nível de importância de eventos de operações de arquivo detectados e registrados no log de tarefas.
Uma regra de monitoramento de operações de arquivos é especificada para cada escopo de monitoramento.
É possível configurar os seguintes critérios para acionamento de regras:
Usuários confiáveis
Por padrão, o aplicativo trata todas as ações de usuário como potenciais violações de segurança. A lista de usuários confiáveis está vazia. É possível configurar o nível de importância do evento ao criar uma lista de usuários confiáveis nas configurações da regra de monitoramento de operações de arquivos.
Usuário não confiável é um status atribuído a qualquer usuário não indicado na lista de usuário confiável nas configurações da regra de escopo de monitoramento. Se o Kaspersky Embedded Systems Security for Windows detectar uma operação de arquivo realizada por um usuário não confiável, a tarefa de Monitor de Integridade de Arquivos registrará um Evento crítico no Log de tarefas.
Usuário confiável é um status atribuído para um usuário ou grupo de usuários autorizados a realizar operações de arquivo no escopo de monitoramento especificado. Se o Kaspersky Embedded Systems Security for Windows detectar operações de arquivo realizadas por um usuário confiável, a tarefa de Monitor de Integridade de Arquivos registrará um Evento informativo no Log de tarefas.
O Kaspersky Embedded Systems Security for Windows não é capaz de determinar os usuários que iniciam operações durante interrupções no monitoramento. Neste caso, o status do usuário é determinado como desconhecido.
Usuário desconhecido é um status atribuído a um usuário se o Kaspersky Embedded Systems Security for Windows não puder receber informações sobre um usuário devido a uma interrupção da tarefa ou uma falha no driver de sincronização de dados ou USN Journal. Se o Kaspersky Embedded Systems Security for Windows detectar uma operação de arquivo realizada por um usuário desconhecido, a tarefa de Monitor de Integridade de Arquivos registrará um evento de Aviso no Log de tarefas.
Marcadores de operação do arquivo
Quando a tarefa de Monitor de Integridade de Arquivos for executada, o Kaspersky Embedded Systems Security for Windows usará os marcadores de operação do arquivo para determinar se uma ação foi realizada em um arquivo.
Um marcador de operações de arquivos é um descritor único que pode caracterizar uma operação de arquivo.
Cada operação de arquivo pode ser uma ação única ou uma cadeia de ações com arquivos. Cada ação dessa espécie é comparada a um marcador de operações de arquivos. Se o marcador especificado como um critério para acionamento de regras for detectado em uma cadeia de operação de arquivo, o aplicativo registrará um evento indicando que a determinada operação de arquivo foi realizada.
O nível de importância dos eventos registrados em log não depende dos marcadores de operação do arquivo selecionados ou do número de eventos.
Por padrão, o Kaspersky Embedded Systems Security for Windows considera todos os marcadores de operações de arquivos disponíveis. É possível selecionar marcadores de operação do arquivo manualmente nas configurações de regra da tarefa.
Considerar marcadores de operação do arquivo
ID de operação de arquivo |
Marcador de operações de arquivos |
Sistemas de arquivos compatíveis |
---|---|---|
BASIC_INFO_CHANGE |
Os atributos ou marcadores de tempo de um arquivo ou pasta foram alterados |
NTFS, ReFS |
COMPRESSION_CHANGE |
A compactação de um arquivo ou pasta foi alterada |
NTFS, ReFS |
DATA_EXTEND |
O tamanho de um arquivo ou pasta foi aumentado |
NTFS, ReFS |
DATA_OVERWRITE |
Os dados em um arquivo ou pasta foram substituídos |
NTFS, ReFS |
DATA_TRUNCATION |
Arquivo ou pasta truncados |
NTFS, ReFS |
EA_CHANGE |
Os atributos do arquivo ou pasta estendidos foram alterados |
Somente NTFS |
ENCRYPTION_CHANGE |
O status de criptografia de um arquivo ou pasta foi alterado |
NTFS, ReFS |
FILE_CREATE |
Arquivo ou pasta criados pela primeira vez |
NTFS, ReFS |
FILE_DELETE |
O arquivo ou a pasta foi permanentemente excluído usando a combinação SHIFT+DEL |
NTFS, ReFS |
HARD_LINK_CHANGE |
Conexão física criada ou excluída para o arquivo ou pasta |
Somente NTFS |
INDEXABLE_CHANGE |
O status de indexação de um arquivo ou pasta foi alterado |
NTFS, ReFS |
INTEGRITY_CHANGE |
O atributo de integridade foi alterado para um fluxo de arquivo nomeado |
Somente ReFS |
NAMED_DATA_EXTEND |
O tamanho de um fluxo de arquivo nomeado foi aumentado |
NTFS, ReFS |
NAMED_DATA_OVERWRITE |
Fluxo do arquivo nomeado substituído |
NTFS, ReFS |
NAMED_DATA_TRUNCATION |
Fluxo do arquivo nomeado truncado |
NTFS, ReFS |
OBJECT_ID_CHANGE |
Identificador de arquivo ou pasta alterado |
NTFS, ReFS |
RENAME_NEW_NAME |
Novo nome atribuído ao arquivo ou à pasta |
NTFS, ReFS |
REPARSE_POINT_CHANGE |
O novo ponto de reanálise criado ou existente alterado para um arquivo ou pasta |
NTFS, ReFS |
SECURITY_CHANGE |
Direitos de acesso de arquivo ou pasta alterados |
NTFS, ReFS |
STREAM_CHANGE |
Nova fluxo de arquivo nomeado criado ou existente alterado |
NTFS, ReFS |
TRANSACTED_CHANGE |
Fluxo de arquivo nomeado alterado pela transação TxF |
Somente ReFS |