监控应用程序控制事件

这是趋势科技服务器深度安全防护系统 10 中的新功能。

缺省情况下,如果启用应用程序控制,则它会记录诸如何时检测到软件更改等事件。应用程序控制还会在阻止软件执行时记录事件。软件更改事件会显示在操作选项卡和事件和报告选项卡上。如果已配置,它还会触发警报。

可以配置所记录的应用程序控制事件日志,还可以配置哪些应用程序控制事件日志将转发到外部 SIEM 系统、syslog 服务器或 SNMP 管理器。

要监控计算机上的软件更改,请执行以下基本步骤:

  1. 选择要记录的应用程序控制事件
  2. 监控应用程序控制警报

选择要记录的应用程序控制事件

  1. 转至管理 > 系统设置 > 系统事件
  2. 向下滚动到应用程序控制事件,例如事件 ID 7000“已导出应用程序控制事件”。
  3. 如果要记录该事件类型的事件日志,请启用记录

    当发生这些事件时,它们会显示在事件和报告 > 事件 > 系统事件上。日志将保留直至它们满足日志最长存在时间条件为止,此条件因趋势科技服务器深度安全防护系统管理中心平台而异。有关详细信息,请参阅日志和事件存储最佳做法事件会存储多长时间?

    显示在计算机 > 详细信息 > 应用程序控制 > 事件上的事件不在此处进行配置。始终都会记录这些事件。
  4. 如果要将事件日志转发到 SIEM、SNMP 或 syslog 服务器,请启用转发
  5. 如果特定计算机应将日志直接转发到 SIEM,而不应通过趋势科技服务器深度安全防护系统管理中心进行中继,请转至计算机,然后右键单击该计算机并选择详细信息。在左侧的窗格中,单击设置,然后转至 SIEM 选项卡。向下滚动至应用程序控制事件转发部分并配置设置。
  6. 如果使用外部 SIEM,您可能需要加载可能的应用程序控制事件日志的列表,并指示应采取什么操作。有关应用程序控制事件的列表,请参阅系统事件.

查看应用程序控制事件日志

应用程序事件的位置取决于事件的类别:

  • 审计事件(配置更改或软件更新的历史记录):事件和报告 > 事件 > 系统事件
  • 安全事件(应用程序控制阻止或允许了无法识别的软件,或者阻止了阻止规则中的软件):事件和报告 > 事件 > 应用程序控制事件 > 安全事件

有关应用程序控制事件的列表,请参阅系统事件

如果事件显示应用程序控制正在阻止软件,但它本不应阻止该软件,您可以撤消规则

监控应用程序控制警报

显示了应用程序控制警报的控制台的警报状态 widget。

要针对哪些应用程序控制事件或严重性级别会触发警报进行配置,请转至警报选项卡,单击配置警报按钮,然后选择一个事件并单击属性。有关详细信息,请参阅配置警报的电子邮件通知

为应用程序控制事件启用警报后,应用程序控制引擎检测到的任何软件更改以及该引擎阻止执行的任何软件都将显示在警报选项卡上。如果您启用了警报状态 Widget,则应用程序控制警报还会显示在控制台上。

要监控哪些计算机处于维护模式,您也可以单击添加/移除 Widget 并启用应用程序控制维护模式 Widget,它会显示一个计算机列表以及这些计算机的预设维护时段。

警报(和关联事件的计数)会保留直至达到已配置的警报最长存在时间(或硬编码的最长存在时间)为止。