完整性监控
完整性监控 通过审查和验证Windows与Linux终端上的变更,评估各类实体的完整性。
完整性监控 基于默认规则运行,这些规则由 Bitdefender 及自定义规则提供,可在 策略 > 完整性监控 规则 页面中查看 控制中心 .
根据这些规则, 完整性监控 会在文件、文件夹、注册表项、用户、服务和已安装软件生成事件时采取行动。这些事件会显示在 报告 > 完整性监控 事件 页面的 控制中心 .
您还可以创建一个小工具,以及基于 完整性监控 事件的两种报告类型:
-
完整性监控 活动 (显示事件页面中的事件),
-
完整性监控 配置变更 (显示 Bitdefender 受信任 以及 未批准 事件)。
完整性监控 还内置了硬编码限制器,可自动执行最佳实践以减少警报疲劳并防止对性能产生负面影响。
完整性监控 适用于所有标准产品,但不包括 GravityZone EDR 和 Bitdefender FRAT 。对于拥有许可证密钥的产品,它以附加组件形式提供;对于按月订阅的产品,则作为授权选项提供。
默认情况下,它会将检测到的事件存储7天。此外,还提供数据保留附加组件来存储事件。您有三种可选方案:90天、180天或365天的数据保留期。
注意
事件与创建时使用的数据保留附加组件相关联。如果修改了数据保留附加组件,只有变更后生成的事件才会适用新的数据保留期限。
添加许可证后,请重新登录 GravityZone 。在 控制中心 :
-
在 策略 下,新增的 完整性监控规则 页面 包含用于配置 完整性监控 .
-
在 报告 下,新增的 完整性监控事件 页面 包含所有检测到的事件。该页面列出的事件基于默认和/或自定义规则生成。
此外,策略设置中还新增了一个名为 完整性监控 ,您可在此启用模块并选择要应用于策略的规则集。
组件
完整性监控 使用以下组件:
-
GravityZone 控制中心
-
安全代理(Windows、Linux)
完整性监控 限制
Windows
-
完整性监控 会监控大量注册表键和值(部分例外)。完整监控清单请参阅此 文档 .
-
由 GravityZone 排除的进程不会生成事件。
-
自定义 EDR 排除项不适用于基于 完整性监控 规则生成的事件。
-
自定义 EDR 例外不适用于基于 完整性监控 规则生成的事件。
Linux
-
完整性监控 不支持受保护容器。
-
完整性监控 若后端从 kprobes 切换至 auditd .
-
仅基于Debian的操作系统会生成 已安装软件 事件。
-
每个服务仅触发一次 服务新增 事件。
-
连续多个事件的处理速率较慢。
-
不同文本编辑器因调用不同API,可能对同一文件修改生成不同事件。
-
通过
runuser命令以其他用户身份执行操作时,触发的事件用户字段为空。 -
完整性监控 不兼容32位操作系统。
-
权限及所有权变更事件无法生成终端安全事件。
-
自定义 EDR 排除项不适用于基于 完整性监控 规则生成的事件。
安装并配置 完整性监控
请按以下步骤启用该功能:
重要提示
若终端已部署BEST代理但未安装 完整性监控 模块未安装,您可以使用重新配置代理任务将该模块添加到终端。
若未安装任何代理,则需使用安装包在终端部署BEST及所有必需模块。
下文将包含两种操作流程。
-
登录 GravityZone 控制中心 .
-
从左侧菜单进入 安装包 页面。
-
点击屏幕右上角的 创建 按钮。
-
输入新安装包的 名称 和 描述 。
-
选择您要部署的模块。
注意
确保包含 完整性监控 模块。
-
点击 保存 .
-
从软件包列表中选择新创建的软件包并点击 发送下载链接 .
-
输入收件人邮箱地址并点击 发送 .
测试功能
-
使用以下步骤 配置并启用 完整性监控 功能 以创建执行特定操作的新规则。
例如,您可为端点上的特定路径创建特殊规则,将带有
.exe扩展名的所有新文件隔离:-
前往 完整性监控规则 > 自定义规则 > 操作 > 新建规则 .
-
应用以下设置:
-
在 操作系统适用性 下,选择适用的操作系统。
-
在 密钥 中添加文件路径及希望规则适用的文件扩展名。
-
点击 添加 按钮:
-
在 监控 范围内,选择 文件被创建 并从右侧下拉菜单中选择 移至隔离区 操作。
-
点击 保存 .
-
-
模拟您设计规则时希望触发的场景。
针对上述示例,在
.exe文件路径下创建一个C:\TestingIntegrityMonitoring文件。这将导致该文件被移至隔离区。
深入文档
有关 完整性监控 的更多信息,请参阅: