О правилах мониторинга файловых операций
16 ноября 2023
ID 146697
Задача Мониторинг файловых операций выполняется на основе правил мониторинга файловых операций. Вы можете настраивать условия срабатывания правила и регулировать уровень важности событий для обнаруженных файловых операций, регистрируемых в журнале выполнения задачи, с помощью критериев срабатывания правила.
Правило мониторинга файловых операций задается для каждой указанной области мониторинга.
Вы можете настраивать следующие критерии срабатывания правил:
- Доверенные пользователи
- Маркеры файловых операций
Доверенные пользователи
По умолчанию действия всех пользователей расцениваются программой как потенциальные нарушения безопасности. Список доверенных пользователей пуст. Вы можете настраивать уровни важности события, формируя список доверенных пользователей в параметрах правила мониторинга файловых операций.
Статус Недоверенный пользователь присваивается всем пользователям, не указанным в списке доверенных в параметрах правила области мониторинга. Если Kaspersky Industrial CyberSecurity for Nodes обнаруживает файловую операцию, выполненную недоверенным пользователем, задача Мониторинг файловых операций фиксирует событие с уровнем важности Критическое событие в журнале выполнения задачи.
Статус Доверенный пользователь присваивается пользователю или группе пользователей, которым разрешено выполнение файловых операций в указанной области мониторинга. Если Kaspersky Industrial CyberSecurity for Nodes обнаруживает файловую операцию, выполненную доверенным пользователем, задача Мониторинг файловых операций фиксирует событие с уровнем важности Информационное событие в журнале выполнения задачи.
Kaspersky Industrial CyberSecurity for Nodes не может определить пользователя, выполнившего операции в период обрыва мониторинга. В этом случае статус пользователя определяется как неизвестный.
Статус Неизвестный пользователь присваивается пользователю в случае, когда Kaspersky Industrial CyberSecurity for Nodes не может получить данные о пользователе вследствие прерывания задачи или сбоя драйвера синхронизации данных или USN-журнала. Если Kaspersky Industrial CyberSecurity for Nodes обнаруживает файловую операцию, выполненную неизвестным пользователем, задача Мониторинг файловых операций фиксирует событие с уровнем важности Предупреждение в журнале выполнения задачи.
Маркеры файловых операций
В ходе выполнения задачи Мониторинг файловых операций Kaspersky Industrial CyberSecurity for Nodes определяет, что над файлом было произведено действие, с помощью маркеров файловых операций.
Маркер файловой операции – это единичный признак, которым может быть охарактеризована файловая операция.
Каждая файловая операция может представлять собой одно действие или цепочку действий с файлами. Каждое такое действие приравнивается к маркеру файловой операции. Если в цепочке файловой операции был обнаружен маркер, указанный вами в качестве критерия срабатывания правила мониторинга, программа зарегистрирует событие по факту совершения такой файловой операции.
Уровень важности фиксируемых событий не зависит от выбранных маркеров файловых операций или их количества.
По умолчанию Kaspersky Industrial CyberSecurity for Nodes учитывает все доступные маркеры файловых операций. Вы можете выбрать маркеры файловых операций вручную в параметрах правил задачи (см. таблицу ниже).
Маркеры файловых операций
ID файловой операции | Маркер файловой операции | Поддерживаемые файловые системы |
---|---|---|
BASIC_INFO_CHANGE | изменены атрибуты или метки времени файла или папки | NTFS, ReFS |
COMPRESSION_CHANGE | изменено сжатие файла или папки | NTFS, ReFS |
DATA_EXTEND | размер файла или папки увеличен | NTFS, ReFS |
DATA_OVERWRITE | перезаписаны данные в файле или папке | NTFS, ReFS |
DATA_TRUNCATION | файл или папка усечены | NTFS, ReFS |
EA_CHANGE | изменены расширенные атрибуты файла или папки | только NTFS |
ENCRYPTION_CHANGE | изменен статус шифрования файла или папки | NTFS, ReFS |
FILE_CREATE | файл или папка созданы впервые | NTFS, ReFS |
FILE_DELETE | Файл или папка удалены, минуя корзину, с помощью команды SHIFT+DEL | NTFS, ReFS |
HARD_LINK_CHANGE | жесткая связь создана или удалена для файла или папки | только NTFS |
INDEXABLE_CHANGE | изменен статус индексирования файла или папки | NTFS, ReFS |
INTEGRITY_CHANGE | изменен атрибут целостности для именованного файлового потока | только ReFS |
NAMED_DATA_EXTEND | размер именованного файлового потока увеличен | NTFS, ReFS |
NAMED_DATA_OVERWRITE | именованный файловый поток перезаписан | NTFS, ReFS |
NAMED_DATA_TRUNCATION | именованный файловый поток усечен | NTFS, ReFS |
OBJECT_ID_CHANGE | изменен идентификатор файла или папки | NTFS, ReFS |
RENAME_NEW_NAME | присвоено новое имя для файла или папки | NTFS, ReFS |
REPARSE_POINT_CHANGE | создана новая или изменена существующая точка повторного анализа для файла или папки | NTFS, ReFS |
SECURITY_CHANGE | изменены права доступа к файлу или папке | NTFS, ReFS |
STREAM_CHANGE | создан новый или изменен существующий именованный файловый поток | NTFS, ReFS |
TRANSACTED_CHANGE | именованный файловый поток изменен транзакцией TxF | только ReFS |