设置完整性监控
完整性监控防护模块会检测文件和关键系统区域(例如 Windows 注册表)发生的存在可疑活动迹象的更改。为此,它会将当前状况与之前记录的基线读取内容加以比较。趋势科技服务器深度安全防护系统随附有预定义的完整性监控规则,并在安全更新中提供了新的完整性监控规则。
注意:完整性监控只会检测系统发生的更改,而不会阻止或撤消这些更改。
如何启用完整性监控
您可以在策略或计算机级别启用完整性监控。
以下是启用完整性监控的典型步骤:
1. 打开完整性监控
您可以在计算机设置或在策略中启用完整性监控。要执行此操作,请打开策略编辑器或计算机编辑器,然后转至完整性监控 > 常规。将“配置”设为“打开”或“已继承 (打开)”,然后单击保存。
2. 运行“漏洞扫描 (推荐设置)”
在计算机上运行“漏洞扫描 (推荐设置)”,获取合适的规则建议。要执行此操作,请打开计算机编辑器,然后转至完整性监控 > 常规。在“建议”部分,单击漏洞扫描 (推荐设置)。您也可指定趋势科技服务器深度安全防护系统实施它找到的规则建议。
使用建议的完整性监控规则可能会产生大量受监控实体和属性。最佳做法是决定哪些是重要的并应该予以监控,然后创建定制规则来优化预定义规则。尤其要注意监控经常会更改的属性(例如进程 ID 和源端口号)的规则,因为这些属性会带来干扰,因此需要进行一定优化。
3. 应用完整性监控规则
如前文所述,运行“漏洞扫描 (推荐设置)”时,您可以要求趋势科技服务器深度安全防护系统自动实施建议的规则。您也可以手动分配规则。
在计算机编辑器或策略编辑器中,转至完整性监控 > 常规。“已分配完整性监控规则”部分会显示对此策略或计算机生效的规则。要添加或移除完整性监控规则,请单击分配/取消分配。此时将出现一个窗口,显示可从中选择或取消选择规则的所有可用完整性监控规则。
趋势科技编写的一些完整性监控规则需要本地配置才能正常运行。如果将这些规则之一分配给计算机或自动分配这些规则之一,则将发出警报以通知您需要进行配置。
您可以在本地编辑完整性监控规则,这样更改将仅应用于正在编辑的计算机或策略,或者也可以进行全局编辑,这样更改将应用于使用该规则的所有其他策略或计算机。要在本地编辑规则,请右键单击该规则,然后单击属性。要在全局编辑规则,请右键单击该规则,然后单击属性 (全局)。
您也可以创建定制规则,监控对您的组织来说至关重要的特定更改,例如添加了新用户或安装了新软件。有关如何创建定制规则的信息,请参阅完整性监控规则语言。
提示:完整性监控规则应尽可能明确且具体,这样可以改善性能,同时避免冲突和误报。例如,请勿创建一条监控整个硬盘驱动器的规则。
4. 为计算机生成基线
基线是将完整性扫描的结果与之进行比较的原始安全状态。要为计算机的完整性扫描创建新基线,请打开计算机编辑器,然后转至完整性监控 > 常规并单击重新生成基线。
要查看当前基线数据,请单击查看基线。
提示:最佳做法是在应用 Patch 后运行新基线扫描。
5. 定期扫描更改
定期扫描更改。要执行按需扫描,请打开计算机编辑器,然后转至完整性监控 > 常规并单击扫描完整性。您也可创建预设任务,用来定期执行扫描。
何时执行扫描?
执行完整性监控扫描有三个选项可用:
- 按需扫描:即便完整性监控已关闭,您也可以运行按需完整性监控扫描。要执行此操作,请打开计算机编辑器,然后转至完整性监控 > 常规。在“完整性扫描”部分,单击扫描完整性。
- 预设扫描:打开完整性扫描后,您可以像执行其他趋势科技服务器深度安全防护系统操作一样预设完整性监控扫描。趋势科技服务器深度安全防护系统会检查受监控实体,并标识和记录自上次执行扫描以来发生了任何更改的事件。不会跟踪两次扫描之间对受监控实体的多次更改,只会检测最后一次更改。要检测和报告对实体状态的多次更改,请考虑增加预设扫描的频率(例如,每天替代每周)或对频繁更改的实体启用实时扫描。
- 实时扫描:打开完整性监控后,您可以选中实时复选框来启用实时扫描。选中此选项后,趋势科技服务器深度安全防护系统会实时监控实体发生的更改,并在检测到更改时发出完整性监控事件。这些事件会实时通过 syslog 转发给 SIEM,或在与趋势科技服务器深度安全防护系统管理中心的下次波动信号通信发生时转发给 SIEM。
不限制 CPU 使用率
完整性监控会在创建初始基线的系统扫描以及将后续系统状态与之前创建的基线进行比较的系统扫描期间使用本地 CPU 资源。如果您发现完整性监控占用的资源超出了您的预想,可以将 CPU 使用率限制为以下级别:
- 高:不限制 CPU 使用率
- 中:完整性监控进程占用的 CPU 资源不超过 50%。
- 低:完整性监控进程占用的 CPU 资源不超过 25%。
要更改完整性监控 CPU 使用率级别设置,请打开策略编辑器或计算机编辑器,然后转至完整性监控 > 高级。
处理完整性监控事件
在趋势科技服务器深度安全防护系统管理中心中,由完整性监控模块生成的事件会显示在事件和报告 > 完整性监控事件下。事件标记有助于对事件进行排序,并确定哪些事件是正常事件,哪些需要作进一步调查。
您可以向事件手动应用标记,具体方法是右键单击事件,然后单击“添加标记”。您可以选择只将标记应用给选定事件,或将标记应用给类似的完整性监控事件。
您也可使用自动标记功能对多个事件进行分组和标记。要在趋势科技服务器深度安全防护系统管理中心中配置此功能,请转至事件和报告 > 完整性监控事件 > 自动标记 > 新建可信源。执行标记时可使用三个源:
- 本地可信计算机。
- 趋势科技安全软件认证服务。
- 可信通用基线(是指从一组计算机中收集的一组文件状态)。
有关事件标记的更多信息,请参阅应用标记来标识和分组事件。