配置監控規則
配置監控規則
要新增監控範圍:
- 在 Web 控制的主視窗中,選取裝置 → 政策和設定檔案。
- 點擊要設定的政策名稱。
- 在開啟的“<政策名稱>”視窗中,選擇“應用程式設定”標籤。
- 選擇“系統稽核”部分。
- 點擊“設定”子區段中的“檔案完整性監控”。
- 在顯示的“檔案完整性監控”視窗中,開啟“檔案操作監控設定”標籤。
- 在“USN 記錄”部分中,點擊“新增”按鈕。
將顯示“檔案操作監控規則”視窗。
- 在“ 監控此範圍的檔案操作 ”中,使用受支援的遮罩指定路徑:
- <*.ext> - 帶有 <ext> 副檔名的所有檔案,與其位置無關
- <*\name.ext> - 帶有 <name> 名稱和 <ext> 副檔名的所有檔案,與其位置無關
- <\dir\*> - 位於 <\dir> 資料夾中的所有檔案
- <\dir\*\name.ext> - <\dir> 資料夾及其所有子資料夾中帶有 <name> 名稱和 <ext> 副檔名的所有檔案
當手動指定監控範圍時,請確保路徑為以下格式:<卷字母>:\<遮罩>。如果缺少磁區字母,則 Kaspersky Embedded Systems Security 將不會新增指定的監控範圍。
- 在“受信任使用者”區段中,執行以下操作之一:
- 點擊新增按鈕,然後在開啟的視窗中使用 SID 符號在使用者名稱欄位中指定使用者。
- 點擊從管理伺服器新增按鈕,然後畫面上顯示的視窗中從清單中選取使用者。
預設情況下,Kaspersky Embedded Systems Security 將未列入受信任使用者清單的所有使用者視為不受信任,並為他們產生嚴重事件。針對受信任使用者,將編譯統計資料。
- 點擊“確定”。
- 選擇“檔案操作標記”標籤。
- 執行以下操作,以根據需要選擇多個標記:
- 選擇“根據以下標記偵測檔案操作”選項。
- 在可用檔案操作清單中,選中要監控的操作旁邊的核取方塊。
預設情況下,Kaspersky Embedded Systems Security 將偵測所有檔案操作標記,已選擇“根據所有可辨識的標記偵測檔案操作”選項。
- 如果要封鎖所選區域的所有檔案操作,請選取在所選區域中偵測並封鎖所有檔案操作核取方塊。
- 如果執行操作後,您想要 Kaspersky Embedded Systems Security 計算檔案核對總和:
- 選取如果可能,計算檔案的核對總和。該核對總和將可在工作記錄中檢視核取方塊。
- 在“核對總和類型”下拉清單中,選擇以下選項之一:
- SHA256 雜湊
- MD5 雜湊
- 如果您不希望監控所有檔案操作,則在可用檔案操作清單中,選中要監控的操作旁邊的核取方塊。
- 根據需要新增排除的監控範圍:
- 選擇“排除”標籤。
- 選中“從控制中排除以下資料夾”核取方塊。
- 點擊“新增”按鈕。
將開啟“選擇要新增的資料夾”視窗。
- 在右側開啟的窗格中,指定要從監控範圍中排除的資料夾。
- 點擊“確定”。
指定的資料夾被新增到排除範圍清單。
- 在檔案操作監控規則視窗中點擊檔案操作監控規則。
指定的規則設定將套用於“檔案完整性監控”工作的選定監控範圍。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。