О правилах мониторинга файловых операций
Задача Мониторинг файловых операций выполняется на основе правил мониторинга файловых операций. Вы можете настраивать условия срабатывания правила и регулировать уровень важности событий для обнаруженных файловых операций, регистрируемых в журнале выполнения задачи, с помощью критериев срабатывания правила.
Правило мониторинга файловых операций задается для каждой указанной области мониторинга.
Вы можете настраивать следующие критерии срабатывания правил:
- доверенные пользователи;
- маркеры файловых операций.
Доверенные пользователи
По умолчанию действия всех пользователей расцениваются программой как потенциальные нарушения безопасности. Список доверенных пользователей пуст. Вы можете настраивать уровни важности события, формируя список доверенных пользователей в параметрах правила мониторинга файловых операций.
Недоверенный пользователь – любой пользователь, не указанный в списке доверенных в параметрах правила области мониторинга. Если Kaspersky Security для Windows Server обнаруживает файловую операцию, выполненную недоверенным пользователем, задача Мониторинг файловых операций фиксирует Критическое событие в журнале выполнения задач.
Доверенный пользователь – пользователь или группа пользователей, которым разрешено выполнение файловых операций в указанной области мониторинга. Если Kaspersky Security для Windows Server обнаруживает файловую операцию, выполненную доверенным пользователем, задача Мониторинг файловых операций фиксирует Информационное событие в журнале выполнения задач.
Kaspersky Security для Windows Server не может определить пользователя, выполнившего операции в период обрыва мониторинга. В этом случае статус пользователя определяется как неизвестный.
Неизвестный пользователь – данный статус присваивается пользователю в случае, когда Kaspersky Security для Windows Server не может получить данные о пользователе вследствие прерывания задачи или сбоя драйвера синхронизации данных или USN-журнала. Если Kaspersky Security для Windows Server обнаруживает файловую операцию, выполненную неизвестным пользователем, задача Мониторинг файловых операций фиксирует событие Предупреждение в журнале выполнения задач.
Маркеры файловых операций
В ходе выполнения задачи Мониторинг файловых операций Kaspersky Security для Windows Server определяет, что над файлом было произведено действие, с помощью маркеров файловых операций.
Маркер файловой операции – это единичный признак, которым может быть охарактеризована файловая операция.
Каждая файловая операция может представлять собой одно действие или цепочку действий с файлами. Каждое такое действие приравнивается к маркеру файловой операции. Если в цепочке файловой операции был обнаружен маркер, указанный вами в качестве критерия срабатывания правила мониторинга, программа зарегистрирует событие по факту совершения такой файловой операции.
Уровень важности фиксируемых событий не зависит от выбранных маркеров файловых операций или их количества.
По умолчанию Kaspersky Security для Windows Server учитывает все доступные маркеры файловых операций. Вы можете выбрать маркеры файловых операций вручную в параметрах правил задачи (см. таблицу ниже).
Маркеры файловых операций
ID файловой операции | Маркер файловой операции | Поддерживаемые файловые системы |
---|---|---|
BASIC_INFO_CHANGE | изменены атрибуты или метки времени файла или папки | NTFS, ReFS |
COMPRESSION_CHANGE | изменено сжатие файла или папки | NTFS, ReFS |
DATA_EXTEND | размер файла или папки увеличен | NTFS, ReFS |
DATA_OVERWRITE | перезаписаны данные в файле или папке | NTFS, ReFS |
DATA_TRUNCATION | файл или папка усечены | NTFS, ReFS |
EA_CHANGE | изменены расширенные атрибуты файла или папки | только NTFS |
ENCRYPTION_CHANGE | изменен статус шифрования файла или папки | NTFS, ReFS |
FILE_CREATE | файл или папка созданы впервые | NTFS, ReFS |
FILE_DELETE | Файл или папка удалены, минуя корзину, с помощью команды SHIFT+DEL | NTFS, ReFS |
HARD_LINK_CHANGE | жесткая связь создана или удалена для файла или папки | только NTFS |
INDEXABLE_CHANGE | изменен статус индексирования файла или папки | NTFS, ReFS |
INTEGRITY_CHANGE | изменен атрибут целостности для именованного файлового потока | только ReFS |
NAMED_DATA_EXTEND | размер именованного файлового потока увеличен | NTFS, ReFS |
NAMED_DATA_OVERWRITE | именованный файловый поток перезаписан | NTFS, ReFS |
NAMED_DATA_TRUNCATION | именованный файловый поток усечен | NTFS, ReFS |
OBJECT_ID_CHANGE | изменен идентификатор файла или папки | NTFS, ReFS |
RENAME_NEW_NAME | присвоено новое имя для файла или папки | NTFS, ReFS |
REPARSE_POINT_CHANGE | создана новая или изменена существующая точка повторного анализа для файла или папки | NTFS, ReFS |
SECURITY_CHANGE | изменены права доступа к файлу или папке | NTFS, ReFS |
STREAM_CHANGE | создан новый или изменен существующий именованный файловый поток | NTFS, ReFS |
TRANSACTED_CHANGE | именованный файловый поток изменен транзакцией TxF | только ReFS |