关于文件操作监控规则
“文件完整性监控”根据文件操作监控规则运行。可以使用规则触发条件来配置触发任务的条件,以及调整任务日志中记录的已删除文件操作事件的重要性级别。
针对每个监控范围指定了文件操作监控规则。
可以配置以下规则触发条件:
- 受信任用户。
- 文件操作标记。
受信任用户
默认情况下,应用程序将所有操作视为潜在安全入侵。受信任用户列表为空。可以通过在文件操作监控规则设置中创建受信任用户列表来配置事件重要性级别。
不受信任用户 – 监控范围规则设置中的受信任用户列表中未指定的任何用户。如果 Kaspersky Security for Windows Server 检测到不受信任用户执行的文件操作,则“文件完整性监控”任务将在任务日志中记录一个严重事件。
受信任用户 – 经过授权可在指定的监控范围内执行文件操作的用户或用户组。如果 Kaspersky Security for Windows Server 检测到受信任用户执行的文件操作,则“文件完整性监控”任务将在任务日志中记录一个“信息事件”。
Kaspersky Security for Windows Server 在监控中断期间无法确定发起操作的用户。在此情况下,用户状态被确定为未知。
未知用户 – 如果由于任务中断或者数据同步驱动程序或 USN 日志失败导致 Kaspersky Security for Windows Server 无法获取有关用户的数据,则将此状态分配给用户。如果 Kaspersky Security for Windows Server 检测到未知用户执行的文件操作,则“文件完整性监控”任务将在任务日志中记录一个“警告事件”。
文件操作标记
当“文件完整性监控”任务运行时,Kaspersky Security for Windows Server 使用文件操作标记来确定已对文件执行了操作。
文件操作标记是可以对文件操作进行特征化的独特描述符。
每个文件操作可以是针对文件进行的单个操作或系列操作。每个此类操作等同于一个文件操作标记。如果您指定作为规则触发条件的标记在文件操作链中被删除,则应用程序将记录一个事件,表示已执行指定的文件操作。
已记录事件的重要性级别不取决于选定的文件操作标记或事件的数量。
默认情况下,Kaspersky Security for Windows Server 考虑所有可用的文件操作标记。可以在任务规则设置中手动选择文件操作标记。
文件操作标记
文件操作 ID | 文件操作标记 | 支持的文件系统 |
---|---|---|
BASIC_INFO_CHANGE | 已更改文件或文件夹的属性或时间标记 | NTFS、ReFS |
COMPRESSION_CHANGE | 已更改文件或文件夹的压缩 | NTFS、ReFS |
DATA_EXTEND | 已更改文件或文件夹的大小 | NTFS、ReFS |
DATA_OVERWRITE | 已覆盖文件或文件夹中的数据 | NTFS、ReFS |
DATA_TRUNCATION | 已截断文件或文件夹 | NTFS、ReFS |
EA_CHANGE | 已更改扩展的文件或文件夹属性 | 仅限 NTFS |
ENCRYPTION_CHANGE | 已更改文件或文件夹的加密状态 | NTFS、ReFS |
FILE_CREATE | 首次创建文件或文件夹 | NTFS、ReFS |
FILE_DELETE | 使用 SHIFT+DEL 组合键永久删除的文件或文件夹 | NTFS、ReFS |
HARD_LINK_CHANGE | 已为创建或删除文件或文件夹的硬链接 | 仅限 NTFS |
INDEXABLE_CHANGE | 已更改文件或文件夹的索引状态 | NTFS、ReFS |
INTEGRITY_CHANGE | 已更改命名的文件流的完整性属性 | 仅限 ReFS |
NAMED_DATA_EXTEND | 已增大命名的文件流的大小 | NTFS、ReFS |
NAMED_DATA_OVERWRITE | 已覆盖命名的文件流 | NTFS、ReFS |
NAMED_DATA_TRUNCATION | 已截断命名的文件流 | NTFS、ReFS |
OBJECT_ID_CHANGE | 已更改文件或文件夹标识符 | NTFS、ReFS |
RENAME_NEW_NAME | 已为文件或文件夹分配新名称 | NTFS、ReFS |
REPARSE_POINT_CHANGE | 已为文件或文件夹创建新的重分析点或更改其现有重分析点 | NTFS、ReFS |
SECURITY_CHANGE | 已更改文件或文件夹访问权限 | NTFS、ReFS |
STREAM_CHANGE | 已创建新的命名的文件流或更改现有命名的文件流 | NTFS、ReFS |
TRANSACTED_CHANGE | TxF 事务已更改命名的文件流 | 仅限 ReFS |