Описание

<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

Для работы компонента System Integrity Monitoring необходима лицензия, которая поддерживает данный функционал.

Подробнее: https://support.kaspersky.com/KES4Linux/12.3.0/ru-RU/273758.htm

</aside>

Компонент System Integrity Monitoring в реальном времени отслеживать изменения в файлах и директориях, которые вы включили в область мониторинга в параметрах компонента. Вы можете отслеживать изменения в файлах, которые могут указывать на нарушение безопасности на защищаемом устройстве.

Обнаружив изменения файлов и директорий из области мониторинга, приложение Kaspersky Endpoint Security формирует события об изменениях в списках контроля доступа к объектам. Компонент Контроль целостности системы не передает данные о том, какие именно изменения внесены.

• Документация: https://support.kaspersky.com/KES4Linux/12.3.0/ru-RU/264310.htm

Step by Step

Активация функционала System Integrity Monitoring через Kaspersky Security Center

Для работы компонента System Integrity Monitoring требуется лицензия, которая поддерживает данный функционал. Для активации лицензии выполните шаги, описанные ниже. В данной инструкции используется лицензия Kaspersky Hybrid Cloud Security Enterprise.

1. Добавьте лицензию в Хранилище Kaspersky Security Center, для этого перейдите в раздел “Operations” → “Kaspersky licenses”, после этого:

   • Screenshot
   • Нажмите “Add”;
   • В открывшемся окне введите код активации или добавьте файл ключа, если у KSC нет доступа к серверам активации Kaspersky (получать файл ключа по коду можно на портале вендора: https://keyfile.kaspersky.com/);
   • Нажмите “Send”, если используется код активации;
   • Не активируйте галочку “Automatically distribute license key to managed devices”, поскольку обычно функционал System Integrity Monitoring используется только на части хостов в сети. Далее по инструкции будет создана задача по применению ключа на необходимые устройства;
   • Нажмите “Save”;

2. Создайте задачу распространения лицензии на необходимые устройства, для этого перейдите в раздел “Assets” → ”Tasks” → “Add”, в открывшемся мастере создания задачи:

   • На шаге “New Task Settings” укажите:

     • Application - Kaspersky Security for Linux;
     • Task type = Add key;
     • Task name - удобное имя для идентификации задачи;
     • Devices to which the task will be assigned - выберите один из трех типов назначения задачи:
       • Assign task to an administration group - для назначения задачи на группу администрирования (далее используется этот способ назначения);
       • Specify device addresses manually or import addresses from a list - для выбора устройств вручную;
       • Assign task to a device selection - для назначения на выборку устройств;

     Для продолжения нажмите “Next”;

   • На шаге “Task scope” выберите группу администрирования на которую будет назначена задача;

     Для продолжения нажмите “Next”;

   • На шаге “Kaspersky Security Center key storage” выберите лицензию, добавленную на шаге 1;

     Для продолжения нажмите “Next”;

   • На шаге “Add key” не выбирайте опцию “Use as a reserve key” и убедитесь, что выбрана корректная лицензия;

     Для продолжения нажмите “Next”;

   • На шаге “Finish task creation” выберите опцию “Open task details when creation is complete” и нажмите “Finish”;

   • В открывшемся окне перейдите в раздел “Schedule” и выберите желаемое расписание запуска, например “Manually” для запуска вручную, сохраните изменения - “Save”;

   • В списке задач выберите только что созданную задачу и запустите ее - “Start”;

   После выполнения задачи на хостах, компонент “System Integrity Monitoring” будет активирован.

3. Настройте компонент System Integrity Monitoring в политике Kaspersky Endpoint Security for Linux:

   • Screenshot
   • В разделе “Assets” → “Policies & profiles” откройте необходимую политику Kaspersky Endpoint Security for Linux, перейдите к настройкам компонента: “Application settings” → “Security Controls” → “System Integrity Monitoring”;
   • Включите компонент;
   • В разделе “Monitoring scopes” укажите директории, целостность файлов в которых должна контролироваться;
   • При необходимости в разделе “Exclusion scopes” укажите директории, которые должны быть исключены из контроля;
   • При необходимости в разделе “Exclusions by mask” укажите маски файлов, которые должны быть исключены из контроля;
     • Рекомендуется добавить маски временных файлов для снижения шума:
       • *.swp
       • *.swpx

   Убедитесь, что изменение параметров в дочерних политиках и на конечных устройствах заблокировано (включены парамтеры Enforce), нажмите “OK” для сохранения параметров компонента.

   Сохраните политику - Save and Close.

После выполнения задачи по добавлению ключа и применения политики на хосты компонент будет активирован, чтобы убедиться в этом, вы можете открыть свойства одного из устройств, перейти в раздел “Applications”, открыть “Kaspersky Endpoint Security for Linux” → “Components” и проверить статус компонента “System Integrity Monitoring”, он должен быть в статусе “Running”.

• Screenshot

Проверка работоспособности компонента System Integrity Monitoring

• Screenshot

1. Создайте / удалите / измените любой файл в контролируемой директории на хосте;
2. Убедитесь, что в свойствах хоста → “Events”, появилось событие “System integrity check failed”, в котором указано действие с файлом;

<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />

Если настроена интеграция с SIEM, будут передаваться события с классом “GNRL_EV_FIM_ALARM”, которое может использоваться для создания правил корреляции.

</aside>