Sobre regras de monitoramento de operações de arquivos
A tarefa do Monitor de Integridade de Arquivos é executada com base nas regras de monitoramento de operações de arquivos. É possível usar os critérios para acionamento de regras para configurar as condições que acionam a tarefa e ajustar o nível de importância de eventos de operações de arquivo detectados registrados no log de tarefas.
Uma regra de monitoramento de operações de arquivos é especificada para cada escopo de monitoramento.
É possível configurar os seguintes critérios para acionamento de regras:
- Usuários confiáveis
- Marcadores de operação do arquivo
Usuários confiáveis
Por padrão, o aplicativo trata todas as ações de usuário como potenciais violações de segurança. A lista de usuários confiáveis está vazia. É possível configurar o nível de importância de evento criando uma lista de usuários confiáveis nas configurações da regra de monitoramento de operações de arquivos.
Usuário não confiável é um status atribuído a qualquer usuário não indicado na lista de usuário confiável nas configurações da regra de escopo de monitoramento. Se o Kaspersky Embedded Systems Security detectar uma operação de arquivo realizada por um usuário não confiável, a tarefa de Monitor de Integridade de Arquivos registrará um Evento crítico no Log de tarefas.
Usuário confiável é um status atribuído para um usuário ou grupo de usuários autorizados a realizar operações de arquivo no escopo de monitoramento especificado. Se o Kaspersky Embedded Systems Security detectar operações de arquivo realizadas por um usuário confiável, a tarefa de Monitor de Integridade de Arquivos registrará um Evento informativo no Log de tarefas.
O Kaspersky Embedded Systems Security não é capaz de determinar os usuários que iniciam operações durante interrupções no monitoramento. Neste caso, o status do usuário é determinado como desconhecido.
Usuário desconhecido é um status atribuído a um usuário se o Kaspersky Embedded Systems Security não puder receber informações sobre um usuário devido a uma interrupção da tarefa ou uma falha no driver de sincronização de dados ou USN Journal. Se o Kaspersky Embedded Systems Security detectar uma operação de arquivo realizada por um usuário desconhecido, a tarefa de Monitor de Integridade de Arquivos registrará um evento de Aviso no Log de tarefas.
Marcadores de operação do arquivo
Quando a tarefa de Monitor de Integridade de Arquivos for executada, o Kaspersky Embedded Systems Security usará os marcadores de operação do arquivo para determinar se uma ação foi realizada em um arquivo.
Um marcador de operações de arquivos é um descritor único que pode caracterizar uma operação de arquivo.
Cada operação de arquivo pode ser uma ação única ou uma cadeia de ações com arquivos. Cada ação dessa espécie é comparada a um marcador de operações de arquivos. Se o marcador especificado como um critério para acionamento de regras for detectado em uma cadeia de operação de arquivo, o aplicativo registrará um evento indicando que a determinada operação de arquivo foi realizada.
O nível de importância dos eventos registrados em log não depende dos marcadores de operação do arquivo selecionados ou do número de eventos.
Por padrão, o Kaspersky Embedded Systems Security considera todos os marcadores de operações de arquivos disponíveis. É possível selecionar marcadores de operação do arquivo manualmente nas configurações de regra da tarefa.
Marcadores de operação do arquivo
ID de operação de arquivo | Marcador de operações de arquivos | Sistemas de arquivos compatíveis |
|---|---|---|
BASIC_INFO_CHANGE | Os atributos ou marcadores de tempo de um arquivo ou pasta foram alterados | NTFS, ReFS |
COMPRESSION_CHANGE | A compactação de um arquivo ou pasta foi alterada | NTFS, ReFS |
DATA_EXTEND | O tamanho de um arquivo ou pasta foi aumentado | NTFS, ReFS |
DATA_OVERWRITE | Os dados em um arquivo ou pasta foram substituídos | NTFS, ReFS |
DATA_TRUNCATION | Arquivo ou pasta truncados | NTFS, ReFS |
EA_CHANGE | Os atributos do arquivo ou pasta estendidos foram alterados | Somente NTFS |
ENCRYPTION_CHANGE | O status de criptografia de um arquivo ou pasta foi alterado | NTFS, ReFS |
FILE_CREATE | Arquivo ou pasta criados pela primeira vez | NTFS, ReFS |
FILE_DELETE | O arquivo ou a pasta foi permanentemente excluído usando a combinação SHIFT+DEL | NTFS, ReFS |
HARD_LINK_CHANGE | Conexão física criada ou excluída para o arquivo ou pasta | Somente NTFS |
INDEXABLE_CHANGE | O status de indexação de um arquivo ou pasta foi alterado | NTFS, ReFS |
INTEGRITY_CHANGE | O atributo de integridade foi alterado para um fluxo de arquivo nomeado | Somente ReFS |
NAMED_DATA_EXTEND | O tamanho de um fluxo de arquivo nomeado foi aumentado | NTFS, ReFS |
NAMED_DATA_OVERWRITE | Fluxo do arquivo nomeado substituído | NTFS, ReFS |
NAMED_DATA_TRUNCATION | Fluxo do arquivo nomeado truncado | NTFS, ReFS |
OBJECT_ID_CHANGE | Identificador de arquivo ou pasta alterado | NTFS, ReFS |
RENAME_NEW_NAME | Novo nome atribuído ao arquivo ou à pasta | NTFS, ReFS |
REPARSE_POINT_CHANGE | O novo ponto de reanálise criado ou existente alterado para um arquivo ou pasta | NTFS, ReFS |
SECURITY_CHANGE | Direitos de acesso de arquivo ou pasta alterados | NTFS, ReFS |
STREAM_CHANGE | Nova fluxo de arquivo nomeado criado ou existente alterado | NTFS, ReFS |
TRANSACTED_CHANGE | Fluxo de arquivo nomeado alterado pela transação TxF | Somente ReFS |