Configuración de la recepción de mensajes desde Monitor de integridad de archivos
Las aplicaciones administradas, como Kaspersky Security for Windows Server o Kaspersky Security for Virtualization Light Agente, envían mensajes desde Monitor de integridad de archivos a Kaspersky Security Center. Kaspersky Security Center también le permite supervisar cualquier cambio en los componentes importantes de los sistemas (por ejemplo, servidores web y cajeros automáticos) y responder lo antes posible de amenazas a la integridad de tales sistemas. Para este fin, puede recibir mensajes del componente Monitor de integridad de archivos. El componente Monitor de integridad de archivos no solo le permite supervisar el sistema de archivos de un dispositivo, sino también los subárboles de registro, el estado del firewall y el estado del hardware conectado.
Debe configurar Kaspersky Security Center para recibir mensajes del componente Monitor de integridad de archivos sin usar Kaspersky Security for Windows Server o Kaspersky Security for Virtualization Light Agent.
Para configurar la recepción de mensajes desde Monitor de integridad de archivos:
Abra el registro del sistema del dispositivo en el que está instalado el Servidor de administración (por ejemplo, de forma local con el comando regedit en el menú Iniciar → Ejecutar).
Cree la clave KLSRV_EVP_FIM_PERIOD_SEC para especificar el período de tiempo para contar el número de eventos procesados. Especifique los siguientes parámetros:
Especifique KLSRV_EVP_FIM_PERIOD_SEC como nombre de la clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores para el intervalo de tiempo desde 43.200 hasta 172.800 segundos. De forma predeterminada, el intervalo de tiempo es 86.400 segundos.
Cree la clave KLSRV_EVP_FIM_LIMIT para limitar el número de eventos recibidos para el intervalo de tiempo especificado. Especifique los siguientes parámetros:
Especifique KLSRV_EVP_FIM_LIMIT como nombre de la clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores para eventos recibidos desde 2000 hasta 50 000. El número predeterminado de eventos es de 20 000.
Cree la clave KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC para contar eventos con exactitud hasta un intervalo de tiempo específico. Especifique los siguientes parámetros:
Especifique KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC como nombre de la clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores desde 120 hasta 600 segundos. De forma predeterminada, el intervalo de tiempo es 300 segundos.
Cree la clave KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC de modo que, después de la cantidad de tiempo especificada, la aplicación puede comprobar si el número de eventos procesados en el intervalo de tiempo está resultando ser menos que el límite especificado. Esta comprobación se realiza después de alcanzar el límite de eventos recibidos. Si esta condición se cumple, la aplicación vuelve a guardar eventos en la base de datos. Especifique los siguientes parámetros:
Especifique KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC como tipo de clave.
Especifique DWORD como tipo de clave.
Especifique un intervalo de valores desde 600 hasta 3.600 segundos. De forma predeterminada, el intervalo de tiempo es 1.800 segundos.
Si las claves no se crean, los valores predeterminados se utilizan.
Reinicie el servicio del Servidor de administración.
Se configurarán los límites de la recepción de eventos desde el componente Monitor de integridad de archivos. Puede ver los resultados del componente Monitor de integridad de archivos en los informes denominados Las 10 reglas del Monitor de integridad de archivos/Control de integridad del sistema que se activaron en los dispositivos la mayoría de las veces y Los 10 principales dispositivos en los que las reglas de Monitor de integridad de archivos/Control de integridad del sistema se activan con mayor frecuencia.