檢視次數:
完整性監控保護模組會檢測檔案和關鍵系統區域(如 Windows 登錄)的變更,這些變更可能表示可疑活動。該模組通過將當前狀況與先前記錄的基準進行比較來實現此功能。伺服器與工作負載保護 擁有預定義的完整性監控規則,並在安全更新中提供新的完整性監控規則。
完整性監控檢測系統所做的變更,但不會防止或撤銷這些變更。
注意
注意
您需要工作負載許可證才能啟用完整性監控。

啟用完整性監控 上層主題

您可以在 政策 中或在電腦防護層級啟用完整性監控。啟用完整性監控涉及幾個程序:

步驟

  1. 開啟完整性監控
  2. 執行建議掃瞄
  3. 套用完整性監控規則
  4. 為電腦防護建立基準
  5. 定期掃瞄變更.
  6. 測試完整性監控

接下來需執行的動作

當您啟用完整性監控時,您應該了解更多有關其功能的資訊:

開啟完整性監控 上層主題

您可以在電腦的設定或政策中啟用完整性監控。

步驟

  1. 打開政策或電腦防護編輯器。
  2. 前往 Integrity Monitoring General
  3. 選擇Configuration
  4. 按一下「儲存」。

執行建議掃瞄 上層主題

在電腦上執行一個建議掃瞄以獲取適當規則的建議。建議的完整性監控規則可能會導致被監控的實體和屬性過多。最佳做法是決定哪些是關鍵的並應該被監控,然後創建自定義規則或調整預定義規則。特別注意監控經常變更的屬性,例如進程 ID 和來源通訊埠號的規則,因為這些規則可能會產生噪音,並可能需要一些調整。

步驟

  1. 從電腦防護編輯器,前往 完整性監控General
  2. 在建議的General標籤下,點擊Scan for Recommendations
  3. 指定 伺服器與工作負載保護 是否應該實施其找到的建議。

關閉即時掃描 上層主題

如果您啟用即時完整性監控掃描並發現某些建議的規則產生過多事件,您可以關閉這些規則的即時掃描。

步驟

  1. 前往 Policies Common Objects Rules Integrity Monitoring Rules
  2. 雙擊該規則。
  3. 選項標籤中,清除Allow Real Time Monitoring框。

套用完整性監控規則 上層主題

當您執行建議掃瞄時,您可以讓伺服器與工作負載保護自動實施建議的規則,或手動指派規則。您可以在本地編輯規則,這樣變更僅適用於該電腦或政策,或在全局編輯,這樣變更適用於所有使用該規則的政策或電腦。您還可以創建自定義規則,以監控對您組織關鍵的特定變更,例如新增用戶或安裝新軟體。有關如何創建自定義規則的信息,請參見完整性監控規則語言
某些完整性監控規則需要本地配置。如果您將這些規則中的一個指派給您的電腦,或這些規則中的一個被自動指派,系統會發出警報通知您配置該規則。
秘訣
秘訣
完整性監控規則應盡可能具體,以提高性能並避免衝突和誤報。例如,不要創建監控整個硬碟的規則。

步驟

  1. 在電腦防護或政策編輯器中,前往 Integrity Monitoring General
  2. 檢查Assigned Integrity Monitoring Rules的列表。
  3. 指派或未指派規則:
    1. 點擊 Assign/Unassign
    2. 選擇或取消選擇規則。
  4. 要在本地編輯規則,右鍵單擊該規則並選擇 Properties
  5. 要全域編輯規則,右鍵點擊該規則並選擇 Properties (Global)

為電腦防護建立基線 上層主題

基準是與完整性掃瞄結果相比的原始安全狀態。最佳做法是在應用補丁後執行新的基準掃瞄。
在電腦上建立完整性掃描的新基準:

步驟

  1. 在電腦防護編輯器中,前往 Integrity Monitoring General
  2. 點擊 Rebuild Baseline.

定期掃瞄變更 上層主題

使用以下方法執行完整性監控掃瞄:
  • On-demand scans 根據需要啟動即時完整性監控掃瞄。
    1. 從電腦防護編輯器,前往 完整性監控General
    2. Integrity Scan下,點擊Scan for Integrity
  • Scheduled scans 預約完整性監控掃瞄,就像其他 伺服器與工作負載保護 操作一樣。伺服器與工作負載保護 驗證實體是否正在被監控,並記錄自上次掃瞄以來的任何變更事件。此掃瞄僅檢測最後一次變更;它不會追蹤掃瞄之間的多次變更。要檢測並報告實體狀態的多次變更,請增加預約掃瞄的頻率或啟用即時掃瞄。欲了解有關預約任務的詳細資訊,請參閱 預約 伺服器與工作負載保護 執行任務
    1. 選擇 Administration Scheduled Tasks New
    2. 在新的排程任務精靈中,選擇 Scan Computers for Integrity Changes
    3. 選擇預約掃瞄的頻率。
    4. 指定新排程任務精靈所要求的資訊。
  • Real-time scans 監控即時變更,並在掃瞄檢測到變更時創建完整性監控事件。事件會透過 syslog 即時轉發至安全資訊與事件管理 (SIEM),或在下一次與 伺服器與工作負載保護 的心跳通訊時轉發。對於 64 位元 Linux 平台上的代理版本 11.0 或更高版本,以及 64 位元 Windows 伺服器上的代理版本 11.2 或更高版本,即時掃瞄結果會顯示更改檔案的使用者和進程。關於哪些平台支援此功能的詳細資訊,請參見 各平台支援的功能
    對整個磁碟進行即時監控以檢查任何檔案的變更可能會影響效能並導致事件過多。趨勢科技 建議指定根磁碟以外的資料夾。如果您選擇對根磁碟 (C:) 進行即時監控,伺服器與工作負載保護 只會監控可執行檔案和腳本。
    1. 從電腦防護或政策編輯器,前往 Integrity Monitoring General
    2. 選擇 Real Time

測試完整性監控 上層主題

在繼續進行完整性監控配置之前,請確認規則和基準運作正常:

步驟

  1. 確保完整性監控已啟動
  2. 從電腦防護或政策編輯器,前往 Integrity Monitoring Assigned Integrity Monitoring Rules
  3. 點擊 Assign/Unassign.
  4. 為作業系統啟用適當的規則:
    • 對於 Windows,請搜尋 1002773 - Microsoft Windows - 'Hosts' file modified 並啟用該規則。當對 C:\windows\system32\drivers\etc\hosts. 進行更改時,此規則會引發警報
    • 對於 Linux,請搜尋 1003513 - Unix - File attributes changes in /etc location 並啟用該規則。當對 /etc/hosts 檔案進行更改時,此規則會引發警報。
  5. 修改主機檔案並保存更改。
  6. 前往 Integrity Monitoring General
  7. 點擊 Scan for Integrity.
  8. 前往 Events & Reports Integrity Monitoring Events
  9. 驗證已修改的主機檔案的記錄。檢測的記錄顯示完整性監控運作正常。

改善完整性監控掃瞄效能 上層主題

您可以更改以下設定,以幫助改善完整性監控掃描的性能:

限制資源使用量 上層主題

完整性監控在建立基準和將後續狀態與基準進行比較時,會使用本地中央處理單元 (CPU) 資源。如果您發現完整性監控消耗的資源超過您的期望,您可以將 CPU 使用率限制為以下級別:
  • 逐一掃描檔案,並不會暫停。
  • 在掃描檔案之間暫停,以節省 CPU 資源。
  • 在掃描檔案之間的暫停時間比中等設定更長。
要更改Integrity Monitoring CPU Usage Level

步驟

  • 打開電腦防護或政策編輯器,然後轉到 Integrity Monitoring Advanced

更改內容雜湊算法 上層主題

您可以選擇完整性監控使用的哈希演算法來儲存基準資訊。避免使用多於一種演算法,以防對性能造成不利影響。

完整性監控事件標記 上層主題

事件標記可以幫助您對事件進行分類,並確定哪些事件是合法的,哪些事件需要進一步調查。
手動將標籤應用於事件,方法是右鍵單擊事件並選擇 Add Tag(s)。您可以將標籤僅應用於所選事件或類似的完整性監控事件。您還可以使用自動標籤功能來分組和標記多個事件。
您可以使用這些來源來執行標記:
  • 本機受信任的電腦防護。
  • 趨勢科技認證安全防護軟體服務。
  • 受信任的共同基線,是從一組電腦收集的一組檔案狀態。
    截至2022年1月1日,受信任的共同基準不再可用。2021年7月12日之前標記的事件保留其標籤,但您必須使用其他方法來標記較新的完整性監控事件。
如需有關事件標記的詳細資訊,請參閱 套用標籤以識別和分組事件

步驟

  • 要配置自動標籤,請前往 Events and Reports Integrity Monitoring Events Auto-Tagging New Trusted Source