完整性监控
完整性监控 通过审查和验证Windows与Linux终端上的变更,评估多类实体的完整性。
完整性监控 基于 Bitdefender 提供的默认规则及自定义规则运行。这些规则可在 策略 > 完整性监控 规则 页面位于 控制中心 .
根据这些规则, 完整性监控 会对文件、文件夹、注册表项、用户、服务及已安装软件生成的事件采取行动。这些事件会显示在 报告 > 完整性监控 事件 页面的 控制中心 .
您还可以创建一个小工具,以及基于 完整性监控 事件的两种报告类型:
-
完整性监控 活动 (显示事件页面中的事件)
-
完整性监控 配置变更 (显示 Bitdefender 受信任 以及 未批准 事件。
完整性监控 还内置了硬编码限制器,可自动执行最佳实践以减少警报疲劳并防止对性能产生负面影响。
完整性监控 适用于所有标准产品,除 GravityZone EDR 和 Bitdefender FRAT 外。对于拥有许可证密钥的产品,它以附加组件形式提供;对于按月订阅的产品,则作为许可选项提供。
默认情况下,它会将检测到的事件存储7天。此外,它还配备了一个数据保留附加组件来存储事件。您可以从三个选项中选择:90天、180天和365天的数据保留期。
注意
事件与创建时使用的数据保留附加组件相关联。如果修改了数据保留附加组件,则只有更改后生成的事件才会适用新的数据保留期限。
添加许可证后,请重新登录 GravityZone 。在 控制中心 :
-
在 策略 下,新增的 完整性监控 规则 页面包含用于配置 完整性监控 .
-
在 报告 下,新增的页面名为 完整性监控 事件 页面包含所有检测到的事件。此页面列出的事件基于默认和/或自定义规则。
此外,策略设置新增了一个名为 完整性监控 的模块,您可在此启用该功能并选择要应用于策略的规则集。
组件
完整性监控 使用以下组件:
-
GravityZone 控制中心
-
安全代理(Windows、Linux)
完整性监控 限制
Windows
-
完整性监控 会监控大量注册表键和值(部分例外)。完整监控列表请参阅此 文档 .
-
由 GravityZone 排除的进程所进行的更改不会生成事件。
-
自定义 EDR 排除项不适用于基于 完整性监控 规则生成的事件。
-
自定义 EDR 例外不适用于基于 完整性监控 规则。
Linux
-
完整性监控 不支持受保护的容器。
-
完整性监控 若后端从 kprobes 切换至 auditd .
-
仅基于Debian的操作系统会生成 InstalledSoftware 事件。
-
每个服务仅触发一次 service_added 事件。
-
连续多事件的处理速率较慢。
-
不同文本编辑器因调用不同API,可能对同一文件修改生成不同事件。
-
通过
runuser命令以其他用户身份执行操作时,触发的事件用户字段为空。 -
完整性监控 与32位操作系统不兼容。
-
权限及所有权变更事件无法生成终端事件。
-
自定义 EDR 排除项不适用于基于 完整性监控 规则生成的事件。
安装并配置 完整性监控
要开始使用此功能,请按照以下步骤操作:
重要提示
如果您的终端已部署BEST代理,但未安装 完整性监控 模块,您可以使用重新配置代理任务将该模块添加到终端。
如果未安装任何代理,则需要使用安装包在终端上部署BEST及所有必需模块。
以下我们提供了两种操作流程。
-
登录 GravityZone 控制中心 .
-
转到 安装包 页面,从左侧菜单中。
-
点击 创建 按钮,位于屏幕右上角。
-
输入 名称 和 描述 用于新的安装包。
-
选择您想要部署的模块。
注意
请确保包含 完整性监控 模块。
-
点击 保存 .
-
从软件包列表中选择新创建的软件包并点击 发送下载链接 .
-
输入收件人邮箱地址并点击 发送 .
测试功能
-
使用 配置并启用 完整性监控 功能 以创建执行特定操作的新规则。
例如,您可为终端特定路径创建一条规则,用于隔离所有带
.exe扩展名的新文件:-
前往 完整性监控规则 > 自定义规则 > 操作 > 新建规则 .
-
应用以下设置:
-
在 操作系统适用性 下,选择适用的操作系统。
-
在 密钥 下添加文件路径及希望规则适用的文件扩展名。
-
点击 添加 按钮:
-
在 监控 范围内,选择 文件创建时 并从右侧下拉菜单中选择 移至隔离区 操作。
-
点击 保存 .
-
-
模拟触发规则设计的场景。
针对上述示例,在
.exe文件路径C:\TestingIntegrityMonitoring下创建文件,该文件将被移至隔离区。
深入文档
有关 完整性监控 的更多信息,请参阅: