完整性監控保護模組檢測檔案和 Windows 登錄等關鍵系統區域的變更,這些變更可能表明可疑活動。它通過將當前狀況與先前記錄的基線讀數進行比較來實現這一點。Server & Workload Security保護 隨附預定義的完整性監控規則,並在安全更新中提供新的完整性監控規則。
 |
注意完整性監控會檢測系統所做的變更,但不會阻止或撤銷這些變更。
|
|
注意您需要工作負載許可證才能啟用完整性監控。
|
如何啟用完整性監控 
您可以在政策或電腦防護層級啟用完整性監控。為此,您需要:
步驟
接下來需執行的動作
一旦您已啟動完整性監控,您還可以了解更多關於:
以下是啟用完整性監控的典型程序:
開啟完整性監控
您可以在電腦防護或政策的設定中啟用完整性監控。要執行此操作,請開啟政策或電腦防護編輯器,然後前往。將配置設置為“開”或“繼承(開)”,然後點選儲存。
執行推薦掃瞄
在電腦防護上執行建議掃瞄,以獲取適當規則的建議。要執行此操作,請開啟電腦防護編輯器並前往。在建議部分,點選Scan for Recommendations。您可以選擇指定Server & Workload Security保護應實施其找到的規則建議。
建議的完整性監控規則可能會導致過多的受監控實體和屬性。最佳做法是決定哪些是關鍵且應該被監控的,然後創建自訂規則或調整預定義規則。特別注意監控經常變更屬性的規則,例如進程
ID 和來源通訊埠號碼,因為它們可能會產生噪音並需要一些調整。
如果您已啟動即時完整性監控掃描,並發現某些建議規則因監控頻繁變更的目錄而產生過多事件,您可以關閉這些規則的即時掃描。請前往並雙擊該規則。在選項標籤中,取消選中Allow Real Time Monitoring複選框。
套用完整性監控規則
如上所述,當您執行建議掃瞄時,您可以讓Server & Workload Security保護自動實施建議的規則。您也可以手動指派規則。
在電腦防護或政策編輯器中,前往。"已分配的完整性監控規則"部分顯示了此政策或電腦防護中生效的規則。要添加或移除完整性監控規則,點選Assign/Unassign。這將顯示一個視窗,顯示所有可用的完整性監控規則,您可以從中選擇或取消選擇規則。
某些由趨勢科技編寫的完整性監控規則需要本地配置才能正常運行。如果您指派其中一個規則到您的電腦或其中一個規則被自動指派,將會發出警報通知您需要進行配置。
您可以在本地編輯完整性監控規則,使更改僅適用於正在編輯的電腦或政策,或在全域範圍內編輯,使更改適用於所有使用該規則的其他政策或電腦。要在本地編輯規則,請右鍵點選並點選Properties。要在全域範圍內編輯規則,請右鍵點選並點選Properties (Global)。
您也可以建立自訂規則來監控貴組織關注的特定變更,例如新增使用者或安裝新軟體。如需有關如何建立自訂規則的資訊,請參閱完整性監控規則語言。
 |
秘訣完整性監控規則應盡可能具體,以提高性能並避免衝突和誤報。例如,不要創建監控整個硬碟的規則。
|
為電腦防護建立基線
基準線是完整性掃瞄結果將被比較的原始安全狀態。要在電腦防護上建立新的完整性掃瞄基準線,請開啟電腦防護編輯器,前往並點選Rebuild Baseline。
|
秘訣建議在套用修補程式後執行新的基準掃瞄。
|
要查看當前的基準資料,請點選View Baseline。
|
注意對於在 2021 年七月 12 日或之後訂閱 Server & Workload Security保護 並使用代理版本 20.0.0-2593 及以上的客戶,View Baseline 按鈕將不再顯示。對於在 2021 年七月 12 日之前訂閱的客戶,該按鈕將可用至 2022 年一月 1 日。欲了解詳細資訊,請參閱 從 Server & Workload Security保護 中移除完整性監控“查看基線”選項。
|
定期掃瞄變更
要執行視需要掃瞄,請開啟電腦防護編輯器,前往並點選Scan for Integrity。您也可以建立一個排程任務,以定期執行掃瞄。
測試完整性監控
在繼續進行進一步的完整性監控配置步驟之前,請測試規則和基線是否正常運作:
步驟
- 確保完整性監控已啟動。
- 前往。點選Assign/Unassign。
- 如果您是 Windows 使用者:
- 搜尋 1002773 - Microsoft Windows - 'Hosts' file modified 並啟用規則。當對
C:\windows\system32\drivers\etc\hosts.進行更改時,此規則會發出警報
如果您是 Linux 使用者:- 搜尋 1003513 - Unix - File attributes changes in /etc location 並啟用規則。當對
/etc/hosts檔案進行更改時,此規則會發出警報。
- 搜尋 1002773 - Microsoft Windows - 'Hosts' file modified 並啟用規則。當對
- 修改上述檔案並儲存變更。
- 前往 並點選 Scan for Integrity。
- 前往 以驗證已修改主機檔案的記錄。如果檢測到記錄,則完整性監控模組運作正常。
接下來需執行的動作
當執行完整性監控掃描時
執行完整性監控掃描有三個選項:
- On-demand scans:您可以根據需要開啟電腦防護編輯器,並前往完整性監控 > 一般,來啟動隨需完整性監控掃瞄。在完整性掃瞄部分,點選Scan for Integrity。
- Scheduled scans:您可以像其他Server & Workload Security保護操作一樣預約完整性監控掃瞄。Server & Workload Security保護會檢查正在監控的實體,並識別和記錄自上次掃瞄以來的任何變更。掃瞄之間對監控實體的多次變更將不會被追蹤;只有最後一次變更會被檢測到。要檢測和報告實體狀態的多次變更,請考慮增加預約掃瞄的頻率(例如,每日而不是每週),或啟用對頻繁變更實體的即時掃瞄。要啟用預約完整性監控掃瞄,請前往。在新預約任務精靈中,選擇Scan Computers for Integrity Changes和預約掃瞄的頻率。根據新預約任務精靈的要求填寫您所需的規格。關於預約任務的詳細資訊,請參閱預約Server & Workload Security保護以執行任務。
- Real-time scans:您可以啟用即時掃瞄。選擇此選項後,Server & Workload Security保護會即時監控實體的變更,並在檢測到變更時觸發完整性監控事件。事件會通過 syslog 即時轉發到 SIEM,或在下一次與 Server & Workload Security保護 的心跳通信時發送。要啟用即時掃瞄,請前往 並選擇 Real Time。在 64 位元 Linux 平台上的代理版本 11.0+ 和 64 位元 Windows 伺服器上的代理版本 11.2+ 中,即時掃瞄結果會顯示更改檔案的使用者和進程。關於支援此功能的平台詳細資訊,請參閱 各平台支援的功能。
|
注意對整個磁碟進行實時監控以檢測任何文件的變更會影響性能並導致過多的完整性監控事件。作為一種保護措施,如果您選擇對根驅動器 (C:) 進行實時監控,Server & Workload Security保護 將僅監控可執行文件和腳本。如果您想對所有文件進行實時監控,請指定根驅動器以外的文件夾。
|
完整性監控掃瞄效能設定
更改以下設定可能有助於提高完整性監控掃描的性能:
限制 CPU 使用率
完整性監控在系統掃瞄期間使用本地 CPU 資源,這會導致建立初始基線,並在系統掃瞄期間將系統的後期狀態與先前建立的基線進行比較。如果您發現完整性監控消耗的資源超過您的預期,您可以將
CPU 使用率限制在以下級別:
- 高:連續掃描檔案而不暫停
- 中:在掃描文件之間暫停以節省CPU資源
- 低:比中等設定更長的間隔暫停掃描檔案
要更改Integrity Monitoring CPU Usage Level設定,請打開電腦防護或政策編輯器,然後轉到。
更改內容雜湊算法
您可以選擇將由完整性監控模組用來儲存基線資訊的雜湊演算法。您可以選擇多個演算法,但不建議這樣做,因為這會對效能產生不利影響。
您可以更改內容雜湊算法。
完整性監控事件標記
由完整性監控模組生成的事件顯示在Server & Workload Security保護控制台中,位於下。事件標記可以幫助您對事件進行排序,並確定哪些是合法的,哪些需要進一步調查。
您可以通過右鍵點擊事件,然後點擊Add Tag(s)來手動應用標籤。您可以選擇僅將標籤應用於所選事件或任何類似的完整性監控事件。
您也可以使用自動標籤功能來分組和標記多個事件。要在Server & Workload Security保護控制台中配置此功能,請轉到。
您可以使用三個來源來執行標記:
- 本機受信任的電腦防護。
- 趨勢科技認證安全防護軟體服務。
- 受信任的共同基線,是從一組電腦收集的一組檔案狀態。
如需有關事件標記的詳細資訊,請參閱 套用標籤以識別和分組事件。