Configurazione della ricezione dei messaggi da File Integrity Monitor

Le applicazioni gestite, ad esempio Kaspersky Security for Windows Server o Kaspersky Security for Virtualization Light Agent, inviano messaggi da File Integrity Monitor a Kaspersky Security Center. Kaspersky Security Center consente anche di monitorare qualsiasi variazione dei componenti critici dei sistemi (ad esempio server Web e sportelli bancomat) e rispondere tempestivamente alle violazioni dell'integrità di tali sistemi. A tale scopo, è possibile ricevere messaggi dal componente File Integrity Monitor. Il componente File Integrity Monitor consente di monitorare non solo il file system di un dispositivo, ma anche gli hive del registro, lo stato del firewall e lo stato dell'hardware connesso.

È necessario configurare Kaspersky Security Center per la ricezione dei messaggi dal componente File Integrity Monitor senza utilizzare Kaspersky Security for Windows Server o Kaspersky Security for Virtualization Light Agent.

Per configurare la ricezione dei messaggi da File Integrity Monitor:

Aprire il Registro di sistema del dispositivo in cui è installato Administration Server (ad esempio, in locale, utilizzando il comando regedit dal menu Start → Esegui).
Passare al seguente hive:
- Per i sistemi a 32 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags
- Per i sistemi a 64 bit:
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags
Creare le chiavi:
- Creare la chiave KLSRV_EVP_FIM_PERIOD_SEC per specificare il periodo di tempo per il conteggio del numero di eventi elaborati. Specificare le seguenti impostazioni:
  1. Specificare KLSRV_EVP_FIM_PERIOD_SEC come nome della chiave.
  2. Specificare DWORD come tipo di chiave.
  3. Specificare un intervallo di valori per il periodo di tempo da 43 200 a 172 800 secondi. Per impostazione predefinita, l'intervallo di tempo è di 86 400 secondi.
- Creare la chiave KLSRV_EVP_FIM_LIMIT per limitare il numero di eventi ricevuti per l'intervallo di tempo specificato. Specificare le seguenti impostazioni:
  1. Specificare KLSRV_EVP_FIM_LIMIT come nome della chiave.
  2. Specificare DWORD come tipo di chiave.
  3. Specificare un intervallo di valori per gli eventi ricevuti da 2.000 a 50.000. Il numero predefinito di eventi è 20.000.
- Creare la chiave KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC per il conteggio degli eventi con una precisione fino a uno specifico intervallo di tempo. Specificare le seguenti impostazioni:
  1. Specificare KLSRV_EVP_FIM_PERIOD_ACCURACY_SEC come nome della chiave.
  2. Specificare DWORD come tipo di chiave.
  3. Specificare un intervallo di valori da 120 a 600 secondi. L'intervallo di tempo predefinito è 300 secondi.
- Creare la chiave KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC in modo che, al termine del periodo di tempo specificato, l'applicazione possa verificare se il numero di eventi elaborati nell'intervallo di tempo risulta inferiore il limite specificato. Questa verifica viene eseguita al raggiungimento del limite per la ricezione degli eventi. Se questa condizione risulta soddisfatta, l'applicazione riprende il salvataggio degli eventi nel database. Specificare le seguenti impostazioni:
  1. Specificare KLSRV_EVP_FIM_OVERFLOW_LATENCY_SEC come nome della chiave.
  2. Specificare DWORD come tipo di chiave.
  3. Specificare un intervallo di valori da 600 a 3600 secondi. L'intervallo di tempo predefinito è 1800 secondi.
Se le chiavi non vengono create, vengono utilizzati i valori predefiniti.
Riavviare il servizio Administration Server.

Verranno configurati i limiti per la ricezione degli eventi dal componente File Integrity Monitor. È possibile visualizzare i risultati del componente File Integrity Monitor nei rapporti denominati Le 10 regole di File Integrity Monitor/Monitoraggio integrità di sistema che sono state attivate più frequentemente nei dispositivi e I 10 dispositivi in cui sono state attivate più frequentemente le regole di File Integrity Monitor/Monitoraggio integrità di sistema.

Inizio pagina