Configuração de regras de monitoramento

Para adicionar um escopo de monitoramento:

1. Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
2. Clique no nome da política que você quer configurar.
3. Na janela <Nome da política> que é exibida, selecione a guia Configurações do aplicativo.
4. Selecione a seção Inspeção do sistema.
5. Clique em Configurações na subseção Monitor de Integridade de Arquivos.
6. Na janela Monitor de Integridade de Arquivos que é exibida, abra a guia Configurações de monitoramento de operações de arquivos.
7. Na seção Log USN, clique no botão Adicionar.

   A janela Regra de monitoramento de operações de arquivos é exibida.

8. Na guia Monitorar operações de arquivos para o escopo, especifique um caminho usando uma máscara suportada:
   • <*.ext> - todos os arquivos com a extensão <ext>, independentemente da sua localização
   • <*\nome.ext> - todos os arquivos com o nome <nome> e a extensão <ext>, independentemente da sua localização
   • <\dir\*> - todos os arquivos na pasta <\dir>
   • <\dir\*\nome.ext> - todos os arquivos com o nome <nome> e a extensão <ext> na pasta <\dir> e todas as subpastas

   Ao especificar um escopo de monitoramento manualmente, certifique-se de que o caminho esteja no seguinte formato: <letra do volume>: \<máscara>. Se a letra do volume estiver faltando, o Kaspersky Embedded Systems Security não adicionará o escopo de monitoramento especificado.

9. Na guia Usuários confiáveis, execute uma das seguintes ações:
   • Clique no botão Adicionar e, na janela aberta, especifique o usuário no campo Nome do usuário utilizando a notação SID.
   • Clique no botão Adicionar a partir do servidor de administração e, na janela aberta na tela, selecione o usuário na lista.

   Por padrão, o Kaspersky Embedded Systems Security trata todos os usuários que não estejam na lista de usuários confiáveis como não confiáveis, e gera eventos críticos para eles. Para usuários confiáveis, as estatísticas são compiladas.

10. Clique em OK.
11. Selecione a guia Marcadores de operações de arquivos.
12. Execute as seguintes ações para selecionar vários marcadores, conforme aplicável:
    1. Selecione a opção Detectar operações de arquivo com base nos seguintes marcadores.
    2. Na lista de operações de arquivos disponíveis, selecione as caixas ao lado das operações que deseja monitorar.

    Por padrão, o Kaspersky Embedded Systems Security detecta todos os marcadores de operação de arquivos, a opção Detectar operações de arquivo com base em todos os marcadores reconhecíveis está marcada.

13. Caso queira bloquear todas as operações de arquivo para a área selecionada, marque a caixa de seleção Detectar e bloquear todas as operações de arquivos na área selecionada.
14. Se quiser que o Kaspersky Embedded Systems Security calcule a soma de verificação de um arquivo após a operação ser realizada:
    1. Selecione Calcular a soma de verificação para o arquivo, se possível. A soma de verificação estará disponível para visualização no relatório da tarefa relatório de tarefa.
       

       Se a caixa de seleção for marcada, o Kaspersky Embedded Systems Security calculará a soma de verificação do arquivo modificado, se uma operação de arquivo com pelo menos um marcador selecionado tiver sido detectada.

       Se a operação de arquivo for detectada por diversos marcadores, o Kaspersky Embedded Systems Security calculará apenas a soma de verificação do arquivo final após todas as modificações.

       Se a caixa estiver desmarcada, o Kaspersky Embedded Systems Security não calculará a soma de verificação de arquivos modificados.

       Nenhum cálculo da soma de verificação será realizado nos casos a seguir:

       • Se o arquivo tiver ficado indisponível (por exemplo, devido à modificação de permissões de acesso).
       • Se a operação de arquivo for detectada em um arquivo que foi removido posteriormente.

       Esta caixa é desmarcada por padrão.

    2. Na lista suspensa Tipo de cálculo de soma de verificação, selecione uma das opções:
       • Hash SHA256
       • Hash MD5
15. Se não quiser monitorar todas as operações do arquivo, na lista de operações do arquivo disponíveis, marque as caixas de seleção ao lado das operações que deseja monitorar.
16. Adicione escopos de monitoramento excluídos conforme aplicável:
    1. Selecione a guia Exclusões.
    2. Marque a caixa de seleção Excluir as seguintes pastas do controle.
       

       A caixa de seleção desativa o uso de exclusões para pastas em que as operações de arquivo não precisam ser monitoradas.

       Se a caixa de seleção estiver marcada, o Kaspersky Embedded Systems Security ignorará os escopos de monitoramento especificados na lista de exclusões quando a tarefa de Monitor de Integridade de Arquivos for executada.

       Se a caixa estiver desmarcada, o Kaspersky Embedded Systems Security registrará eventos para todos os escopos de monitoramento especificados.

       Por padrão, a caixa de seleção está desmarcada e a lista de exclusão, vazia.

    3. Clique no botão Adicionar.

       A janela Selecionar pasta a adicionar é exibida.

    4. No painel exibido à direita, especifique a pasta que você deseja excluir do escopo de monitoramento.
    5. Clique em OK.

       A pasta especificada é adicionada à lista de escopos excluídos.

17. Clique em OK na janela Regra de monitoramento de operações de arquivos.

    As configurações da regra especificada serão aplicadas ao escopo de monitoramento selecionado da tarefa do Monitor de Integridade de Arquivos.