Acerca de las reglas de supervisión de las operaciones de archivos
La tarea Monitor de integridad de archivos se ejecuta según las reglas de supervisión de operaciones de archivos. Puede usar los criterios de activación de la regla para configurar las condiciones que desencadenan la tarea y ajustan el nivel de importancia para eventos de operaciones con archivos detectados y registrados en el registro de tareas.
Una regla de supervisión de operación con archivos se especifica para cada área de supervisión.
Puede configurar los siguientes criterios de activación de la regla:
- Usuarios de confianza
- Marcadores de operación de los archivos
Usuarios de confianza
De forma predeterminada, la aplicación trata todas las acciones del usuario como posible violación de la seguridad. La lista de usuarios de confianza está vacía. Puede configurar el nivel de importancia del evento al crear una lista de usuarios de confianza en la operación con archivos que supervisa la configuración de la regla.
Usuario que no es de confianza: es un estado asignado a cualquier usuario no indicado en la lista de usuarios de confianza en la configuración de la regla del área de supervisión. Si Kaspersky Embedded Systems Security detecta una operación de archivo realizada por un usuario que no es de confianza, la tarea Monitor de integridad de archivos registrará un Evento crítico en el registro de tareas.
Usuario de confianza: es un estado asignado a un usuario o el grupo de usuarios autorizados para realizar operaciones con archivos en el área de supervisión especificada. Si Kaspersky Embedded Systems Security detecta operaciones de archivos realizadas por un usuario de confianza, la tarea Monitor de integridad de archivos registrará un Evento informativo en el registro de tareas.
Kaspersky Embedded Systems Security no puede determinar a los usuarios que inician operaciones durante las interrupciones de la supervisión. En este caso, el estado del usuario está determinado como desconocido.
Usuario desconocido: es un estado que se asigna a un usuario si Kaspersky Embedded Systems Security no puede recibir la información sobre un usuario debido a una interrupción de la tarea o una omisión del controlador de sincronización de datos o un diario de USN. Si Kaspersky Embedded Systems Security detecta una operación de archivos realizada por un usuario desconocido, la tarea Monitor de integridad de archivos registrará un evento de Advertencia en el registro de tareas.
Marcadores de operación de los archivos
Cuando la tarea Monitor de integridad de archivos se ejecuta, Kaspersky Embedded Systems Security usa marcadores de operaciones de archivos para decidir que una acción se ha realizado en un archivo.
Un marcador de operaciones con archivos es un descriptor único que puede caracterizar una operación con archivos.
Cada operación con archivos puede ser una sola acción o una cadena de acciones con archivos. Cada acción de esta clase se compara con un marcador de operaciones con archivos. Si el marcador que especifica como criterio de activación de la regla se detecta en una cadena de operaciones con archivos, la aplicación registra un evento que indica que la operación con archivos dada se realizó.
El nivel de importancia de los eventos registrados no depende de los marcadores de operaciones con archivos seleccionados o el número de eventos.
De forma predeterminada, Kaspersky Embedded Systems Security considera todos los marcadores de operaciones con archivos disponibles. Puede seleccionar marcadores de operaciones con archivos manualmente en la configuración de la regla de la tarea.
Marcadores de operación de los archivos
ID de operación con archivos | Marcador de operaciones con archivos | Sistemas de archivos admitidos |
|---|---|---|
BASIC_INFO_CHANGE | Los atributos o los marcadores del tiempo de un archivo o carpeta cambiaron. | NTFS, ReFS |
COMPRESSION_CHANGE | La compresión de un archivo o carpeta cambió. | NTFS, ReFS |
DATA_EXTEND | El tamaño de archivo o carpeta aumentó. | NTFS, ReFS |
DATA_OVERWRITE | El dato en un archivo o carpeta se sobrescribió. | NTFS, ReFS |
DATA_TRUNCATION | Archivo o carpeta truncados. | NTFS, ReFS |
EA_CHANGE | Los atributos de la carpeta o el archivo ampliado cambiaron. | Solo NTFS |
ENCRYPTION_CHANGE | El estado del cifrado del archivo o la carpeta cambió. | NTFS, ReFS |
FILE_CREATE | Archivo o carpeta creada por primera vez | NTFS, ReFS |
FILE_DELETE | El archivo o la carpeta eliminados de forma permanente con la combinación SHIFT+DEL | NTFS, ReFS |
HARD_LINK_CHANGE | Vínculo físico creado o eliminado del archivo o la carpeta | Solo NTFS |
INDEXABLE_CHANGE | El estado del índice de archivo o carpeta cambió. | NTFS, ReFS |
INTEGRITY_CHANGE | El atributo de integridad cambió para un determinado flujo de archivos. | Solo ReFS |
NAMED_DATA_EXTEND | El tamaño de un determinado flujo de archivos aumentó. | NTFS, ReFS |
NAMED_DATA_OVERWRITE | Determinado flujo de archivos sobrescrito | NTFS, ReFS |
NAMED_DATA_TRUNCATION | Determinado flujo de archivos truncado | NTFS, ReFS |
OBJECT_ID_CHANGE | El identificador de archivo o carpeta cambió. | NTFS, ReFS |
RENAME_NEW_NAME | Nombre nuevo asignado a archivo o carpeta | NTFS, ReFS |
REPARSE_POINT_CHANGE | Nuevo punto de reanálisis creado o existente cambiado para un archivo o carpeta | NTFS, ReFS |
SECURITY_CHANGE | Los derechos de acceso del archivo o la carpeta cambiaron. | NTFS, ReFS |
STREAM_CHANGE | Determinado flujo de archivos nuevo creado o flujo de archivos existentes modificado | NTFS, ReFS |
TRANSACTED_CHANGE | Flujo de archivos determinado modificado por transacción TxF | Solo ReFS |