定义完整性监控规则以在策略中使用

完整性监控规则使趋势科技服务器深度安全防护系统客户端能够扫描和检测对计算机的文件、目录、注册表项及其值进行的更改,以及对已安装软件、进程、侦听端口和正在运行的服务进行的更改。这些更改会作为事件记录在管理中心中,并与任何其他事件一样可配置以生成警报。可将完整性监控规则直接分配给计算机,或将其制作为策略的一部分。

完整性监控规则会指定要监控哪些实体(文件、注册表项、服务等等)的更改。趋势科技服务器深度安全防护系统会扫描向计算机分配的规则指定的所有实体并创建基线,根据基线比较计算机的未来扫描。如果将来扫描与此基线不匹配,则趋势科技服务器深度安全防护系统管理中心会记录完整性监控事件并触发警报(如果已这样配置)。

完整性监控规则图标:

  • 常规完整性监控规则
  • 具有配置选项的完整性监控规则

在主页面上可以执行下列操作:

  • 从头开始创建新的完整性监控规则 ()
  • 从 XML 文件导入 () 完整性监控规则
  • 查看或修改现有完整性监控规则的属性 ()
  • 复制(然后修改)现有完整性监控规则 ()
  • 删除完整性监控规则 ()
  • 将一个或多个完整性监控规则导出 () 到 XML 或 CSV 文件。(可以单击导出按钮导出所有目录列表,或者也可以从列表中选择目录列表以便仅导出选定的目录列表或所显示的目录列表)
无法删除已分配给一台或多台计算机或属于策略的完整性监控规则。

单击新建 () 或属性 () 显示完整性监控规则属性窗口。

完整性监控规则属性

常规信息

完整性监控规则的名称和描述,以及该规则正常运行所需的最低客户端和趋势科技服务器深度安全防护系统管理中心版本(如果由趋势科技发布此规则)。

详细信息

规则的严重性设置不会影响执行或应用规则的方式。当查看完整性监控规则列表时,严重性级别可作为排序条件。更重要的是,每个严重性级别都与一个严重性值相关联;将此值乘以计算机的资产值以确定事件的排序。(请参阅管理 > 系统设置 > 排序。)

标识

首次发布规则以及上次更新规则的日期,以及规则的唯一标识符。

内容

内容选项卡仅针对您自己创建的完整性监控规则显示。而趋势科技发布的完整性监控规则具有一个显示完整性监控规则配置选项(如果有)的配置选项卡。趋势科技发布的完整性监控规则不可编辑(然而可对其进行复制,然后再编辑副本)。

您可以选择以下三种模板之一来创建新的完整性规则:注册表值模板、文件模板或定制 (XML) 模板。使用注册表值模板创建监控注册表值的更改的完整性监控规则。使用文件模板创建仅监控文件更改的简单完整性监控规则。使用定制 (XML) 模板以 XML 格式编写监控目录、注册表值、注册表项、服务、进程、已安装软件、端口(以及文件)的规则。

帮助的此部分介绍了如何使用注册表值文件模板。有关使用定制 (XML) 模板以 XML 格式编写完整性监控规则的信息,请参阅参考部分中的完整性监控规则语言

注册表值模板

基本键

选择要监控的基本项以及是否监控子项的内容。

值名称

列出要包含或排除的值名称。可以使用 "?" 和 "*" 作为通配符。

属性

使用“标准”监控大小或内容的更改。有关其他属性,请参阅 RegistryValueSet

文件模板

基本目录

指定规则的基本目录。关于此规则的其他所有信息都是相对于该目录的。选择“包含子目录”可包含子目录。例如,有效条目为 C:\Program Files\MySQL 并选择“包含子目录”。

文件名

使用文件名文本框来包含或排除特定文件。您还可以使用通配符 (" ?" 用于代替单个字符,"*" 用于代替零个或多个字符)。

这些文本框可保留为空,用于监控基本目录中的所有文件,但是,如果目录中有很多或很大的文件,这对系统资源要求很高。

属性

可监控以下文件属性的更改:

  • Created:创建文件的时间戳。
  • LastModified:上次修改文件的时间戳。
  • LastAccessed:上次访问文件的时间戳在 Windows 上,不会立即更新此值,并且记录上次访问的时间戳会因性能增强而遭到禁用。有关详细信息,请参阅文件时间。扫描文件需要客户端打开该文件,这将更改其上次访问时间戳。在 Unix 上,客户端在打开文件时将使用 O_NOATIME 标志(如果可用),这将防止操作系统更新上次访问时间戳并可以加快扫描的速度。
  • Permissions:在 Windows 上,是文件的安全描述符,格式为 SDDL;或在支持 ACL 的 Unix 系统上,是 Posix 样式的 ACL,否则将会是数字(八进制)格式的 Unix 样式 rwxrwxrwx 文件权限。
  • Owner:文件所有者的用户 ID(在 Unix 上通常指 "UID")。
  • 组:文件所有者的组 ID(在 Unix 上通常指 "GID")。
  • Size:文件的大小。
  • Sha1:SHA-1 哈希。
  • Sha256:SHA-256 哈希。
  • Md5:MD5 哈希。
  • Flags:仅限 Windows。由 GetFileAttributes() Win32 API 返回的标志。Windows 资源管理器将以下内容称为文件的“属性”:只读、已归档、已压缩等。
  • SymLinkPath(仅限 Linux 和 Unix):如果文件是符号链接,则链接的路径存储在此处。Windows NTFS 支持类似于 Unix 的符号链接,但仅限目录,并不包括文件。Windows 快捷方式对象不是真的符号链接,因为它们不由操作系统来处理;Windows 资源管理器处理快捷方式文件 (*.lnk),但是打开 *.lnk 文件的其他应用程序将看到 lnk 文件的内容。
  • InodeNumber(仅限 Linux 和 Unix):文件的 inode 编号。
  • DeviceNumber(仅限 Linux 和 Unix):存储与文件相关的 inode 的磁盘的设备号。
  • BlocksAllocated(仅限 Linux 和 Unix):已分配用于存储文件的块的数量。

速记关键字

可以使用 CONTENTS 或 STANDARD 速记关键字查找对一组属性进行的更改。

CONTENTS 速记关键字可查找对文件内容的哈希或哈希集进行的更改。缺省哈希为 SHA-1。

STANDARD 速记关键字可查找对以下属性集(包括 CONTENTS 速记关键字中的那些属性)进行的更改:

  • Created
  • LastModified
  • Permissions
  • Owner
  • Group
  • Size
  • Contents
  • Flags(仅限 Windows)
  • SymLinkPath(仅限 Unix)

选项

  • 此规则记录事件时发出警报:如果触发了规则,则触发警报。
  • 允许实时监控:缺省情况下,选择此选项。如果未选择此选项,将仅在扫描更改时生成完整性监控事件。

已分配给

显示含有此完整性监控规则的策略列表,以及此完整性监控规则直接分配到的所有计算机。可以在策略页面上将完整性监控规则分配给策略;可以在计算机页面上将完整性监控规则分配给计算机。