關於檔案操作監控規則

“檔案完整性監控”根據檔案操作監控規則執行。可以使用規則觸發條件來配置觸發工作的條件，以及調整工作記錄中記錄的已刪除檔案操作事件的重要性等級。

針對每個監控範圍指定了檔案操作監控規則。

可以配置以下規則觸發條件：

受信任使用者。
檔案操作標記。

受信任使用者

預設情況下，應用程式將所有操作視為潛在安全入侵。受信任使用者清單為空。可以透過在檔案操作監控規則設定中建立受信任使用者清單來配置事件重要性等級。

不受信任使用者 – 監控範圍規則設定中的受信任使用者清單中未指定的任何使用者。如果 Kaspersky Security for Windows Server 偵測到不受信任使用者執行的檔案操作，則“檔案完整性監控”工作將在工作記錄中記錄一個緊急事件。

受信任使用者 – 經過產品授權可在指定的監控範圍內執行檔案操作的使用者或群組。如果 Kaspersky Security for Windows Server 偵測到受信任使用者執行的檔案操作，則“檔案完整性監控”工作將在工作記錄中記錄一個“資訊事件”。

Kaspersky Security for Windows Server 在監控中斷期間無法確定發起操作的使用者。在此情況下，使用者狀態被確定為未知。

未知使用者 – 如果由於工作中斷或者資料同步驅動程式或 USN 記錄失敗導致 Kaspersky Security for Windows Server 無法獲取有關使用者的資料，則將此狀態分配給使用者。如果 Kaspersky Security for Windows Server 偵測到未知使用者執行的檔案操作，則“檔案完整性監控”工作將在工作記錄中記錄一個“警告事件”。

檔案操作標記

當“檔案完整性監控”工作執行時，Kaspersky Security for Windows Server 使用檔案操作標記來確定已對檔案執行了操作。

檔案操作標記是可以對檔案操作進行特徵化的獨特敘述符。

每個檔案操作可以是針對檔案進行的單個操作或系列操作。每個此類操作等同於一個檔案操作標記。如果您指定作為規則觸發條件的標記在檔案操作鏈中被刪除，則應用程式將記錄一個事件，表示已執行指定的檔案操作。

已記錄事件的重要性等級不取決於選定的檔案操作標記或事件的數量。

預設情況下，Kaspersky Security for Windows Server 考慮所有可用的檔案操作標記。可以在工作規則設定中手動選擇檔案操作標記。

檔案操作標記

檔案操作 ID	檔案操作標記	支援的檔案系統
BASIC_INFO_CHANGE	已變更檔案或資料夾的內容或時間標記	NTFS、ReFS
COMPRESSION_CHANGE	已變更檔案或資料夾的壓縮	NTFS、ReFS
DATA_EXTEND	已變更檔案或資料夾的大小	NTFS、ReFS
DATA_OVERWRITE	已覆蓋檔案或資料夾中的資料	NTFS、ReFS
DATA_TRUNCATION	已截斷檔案或資料夾	NTFS、ReFS
EA_CHANGE	已變更延伸的檔案或資料夾內容	僅限 NTFS
ENCRYPTION_CHANGE	已變更檔案或資料夾的加密狀態	NTFS、ReFS
FILE_CREATE	首次建立檔案或資料夾	NTFS、ReFS
FILE_DELETE	使用 SHIFT+DEL 組合鍵永久刪除的檔案或資料夾	NTFS、ReFS
HARD_LINK_CHANGE	已為建立或刪除檔案或資料夾的硬連結	僅限 NTFS
INDEXABLE_CHANGE	已變更檔案或資料夾的索引狀態	NTFS、ReFS
INTEGRITY_CHANGE	已變更命名的檔案流的完整性內容	僅限 ReFS
NAMED_DATA_EXTEND	已增大命名的檔案流的大小	NTFS、ReFS
NAMED_DATA_OVERWRITE	已覆蓋命名的檔案流	NTFS、ReFS
NAMED_DATA_TRUNCATION	已截斷命名的檔案流	NTFS、ReFS
OBJECT_ID_CHANGE	已變更檔案或資料夾識別碼	NTFS、ReFS
RENAME_NEW_NAME	已為檔案或資料夾分配新名稱	NTFS、ReFS
REPARSE_POINT_CHANGE	已為檔案或資料夾建立新的重分析點或變更其現有重分析點	NTFS、ReFS
SECURITY_CHANGE	已變更檔案或資料夾存取權限	NTFS、ReFS
STREAM_CHANGE	已建立新的命名的檔案流或變更現有命名的檔案流	NTFS、ReFS
TRANSACTED_CHANGE	TxF 事務已變更命名的檔案流	僅限 ReFS

頁面頂部