О правилах мониторинга файловых операций
Задача Мониторинг файловых операций выполняется на основе правил мониторинга файловых операций. Вы можете настраивать условия срабатывания правила и регулировать уровень важности событий для обнаруженных файловых операций, регистрируемых в журнале выполнения задачи, с помощью критериев срабатывания правила.
Правило мониторинга файловых операций задается для каждой указанной области мониторинга.
Вы можете настраивать следующие критерии срабатывания правил:
- доверенные пользователи;
- маркеры файловых операций.
Доверенные пользователи
По умолчанию действия всех пользователей расцениваются программой как потенциальные нарушения безопасности. Список доверенных пользователей пуст. Вы можете настраивать уровни важности события, формируя список доверенных пользователей в параметрах правила мониторинга файловых операций.
Недоверенный пользователь – любой пользователь, не указанный в списке доверенных в параметрах правила области мониторинга. Если Kaspersky Embedded Systems Security обнаруживает файловую операцию, выполненную недоверенным пользователем, задача Мониторинг файловых операций фиксирует Критическое событие в журнале выполнения задачи.
Доверенный пользователь – пользователь или группа пользователей, которым разрешено выполнение файловых операций в указанной области мониторинга. Если Kaspersky Embedded Systems Security обнаруживает файловую операцию, выполненную доверенным пользователем, задача Мониторинг файловых операций фиксирует Информационное событие в журнале выполнения задачи.
Kaspersky Embedded Systems Security не может определить пользователя, выполнившего операции в период обрыва мониторинга. В этом случае статус пользователя определяется как неизвестный.
Неизвестный пользователь – данный статус присваивается пользователю в случае, когда Kaspersky Embedded Systems Security не может получить данные о пользователе вследствие прерывания задачи или сбоя драйвера синхронизации данных или USN-журнала. Если Kaspersky Embedded Systems Security обнаруживает файловую операцию, выполненную неизвестным пользователем, задача Мониторинг файловых операций фиксирует событие Предупреждение в журнале выполнения задачи.
Маркеры файловых операций
В ходе выполнения задачи Мониторинг файловых операций Kaspersky Embedded Systems Security определяет, что над файлом было произведено действие, с помощью маркеров файловых операций.
Маркер файловой операции – это единичный признак, которым может быть охарактеризована файловая операция.
Каждая файловая операция может представлять собой одно действие или цепочку действий с файлами. Каждое такое действие приравнивается к маркеру файловой операции. Если в цепочке файловой операции был обнаружен маркер, указанный вами в качестве критерия срабатывания правила мониторинга, программа зарегистрирует событие по факту совершения такой файловой операции.
Уровень важности фиксируемых событий не зависит от выбранных маркеров файловых операций или их количества.
По умолчанию Kaspersky Embedded Systems Security учитывает все доступные маркеры файловых операций. Вы можете выбрать маркеры файловых операций вручную в параметрах правил задачи (см. таблицу ниже).
Маркеры файловых операций
ID файловой операции | Маркер файловой операции | Поддерживаемые файловые системы |
---|---|---|
BASIC_INFO_CHANGE | изменены атрибуты или метки времени файла или папки | NTFS, ReFS |
COMPRESSION_CHANGE | изменено сжатие файла или папки | NTFS, ReFS |
DATA_EXTEND | размер файла или папки увеличен | NTFS, ReFS |
DATA_OVERWRITE | перезаписаны данные в файле или папке | NTFS, ReFS |
DATA_TRUNCATION | файл или папка усечены | NTFS, ReFS |
EA_CHANGE | изменены расширенные атрибуты файла или папки | только NTFS |
ENCRYPTION_CHANGE | изменен статус шифрования файла или папки | NTFS, ReFS |
FILE_CREATE | файл или папка созданы впервые | NTFS, ReFS |
FILE_DELETE | Файл или папка удалены, минуя корзину, с помощью команды SHIFT+DEL | NTFS, ReFS |
HARD_LINK_CHANGE | жесткая связь создана или удалена для файла или папки | только NTFS |
INDEXABLE_CHANGE | изменен статус индексирования файла или папки | NTFS, ReFS |
INTEGRITY_CHANGE | изменен атрибут целостности для именованного файлового потока | только ReFS |
NAMED_DATA_EXTEND | размер именованного файлового потока увеличен | NTFS, ReFS |
NAMED_DATA_OVERWRITE | именованный файловый поток перезаписан | NTFS, ReFS |
NAMED_DATA_TRUNCATION | именованный файловый поток усечен | NTFS, ReFS |
OBJECT_ID_CHANGE | изменен идентификатор файла или папки | NTFS, ReFS |
RENAME_NEW_NAME | присвоено новое имя для файла или папки | NTFS, ReFS |
REPARSE_POINT_CHANGE | создана новая или изменена существующая точка повторного анализа для файла или папки | NTFS, ReFS |
SECURITY_CHANGE | изменены права доступа к файлу или папке | NTFS, ReFS |
STREAM_CHANGE | создан новый или изменен существующий именованный файловый поток | NTFS, ReFS |
TRANSACTED_CHANGE | именованный файловый поток изменен транзакцией TxF | только ReFS |