События Контроля приложений

Настройка получения статистики

Чтобы активировать отправку информации со станций для раздела События Контроля приложений

1.В разделе Антивирусная сеть выберите в дереве станции или группы станций с установленным Контролем приложений, с которых вы хотите получать информацию о запуске приложений.

2.В управляющем меню выберите пункт Windows → Агент Dr.Web.

3.На вкладке Общие установите флаг Отслеживать события Контроля приложений, чтобы отслеживать активность процессов на станциях, зафиксированную Контролем приложений, и отправлять события на Сервер. При отсутствии подключения к Серверу события накапливаются и отправляются при подключении. Если флаг снят, активность процессов игнорируется.

4.Нажмите Сохранить.

Чтобы активировать сбор информации Сервером для раздела События Контроля приложений

5.В разделе Администрирование → Конфигурация Сервера Dr.Web перейдите на вкладку Статистика.

6.Установите одну из следующих опций:

Статистика Контроля приложений по активности процессов, чтобы получать и записывать информацию по любой активности всех процессов: как разрешенных для запуска, так и запрещенных Контролем приложений. При выборе этой опции в справочник будут заноситься приложения при условии создания и назначения хотя бы одного профиля с одной или несколькими выбранными категориями критериев функционального анализа.
До создания профилей и назначения их на станции антивирусной сети, запуск всех приложений разрешается.

Статистика Контроля приложений по блокировке процессов, чтобы получать и записывать информацию по активности всех процессов, запрещенных для запуска Контролем приложений. При выборе этой опции в справочник будут заноситься приложения только после создания профилей, по настройкам которых запуск приложений будет блокироваться, и назначения этих профилей на станции антивирусной сети.

Флаг Статистика Контроля приложений по активности процессов может значительно повысить ресурсоемкость сбора статистики по всей антивирусной сети.

7.Нажмите кнопку Сохранить.

8.Перезапустите Сервер.

9.После перезагрузки Сервер начнет фиксировать всю статистику по запуску приложений, присылаемую со всех станций с установленным Контролем приложений.

Просмотр статистики

Чтобы просмотреть события, зафиксированные на станциях компонентом Контроль приложений

1.В иерархическом списке выберите станцию или группу.

2.В управляющем меню в разделе Статистика выберите пункт События Контроля приложений.

3.Откроется окно, содержащее список приложений, запуск которых был запрещен или разрешен на выбранных станциях.

4.По умолчанию отображается статистика за последние сутки. Для отображения данных за определенный период укажите диапазон времени относительно сегодняшнего дня из выпадающего списка, либо задайте произвольный диапазон дат на панели инструментов. Для задания произвольного диапазона введите требуемые даты или нажмите на значки календаря рядом с полями дат. Для того чтобы загрузить данные, нажмите кнопку Обновить. В окно будет загружена таблица со статистическими данными. Описание столбцов таблицы представлено в таблице ниже.

Описание столбцов таблицы События Контроля приложений

Название столбца

Описание

Идентификатор

Идентификатор станции

Станция

Название станции

Адрес станции

Адрес станции

Идентификатор безопасности

Идентификатор безопасности учетной записи пользователя

Пользователь

Пользователь рабочей станции

Тип события

Тип запущенного на станции события

Примененное действие

Действие, примененное к запущенному на станции приложению

Критерий функционального анализа

Критерий, по которому разрешается или запрещается приложение

Маска функционального анализа

Параметр критерия функционального анализа, который определяет, разрешено приложение для запуска на станции или нет

ID профиля

Идентификатор профиля

Название профиля

Название профиля

ID правила

Идентификатор правила

Название правила

Название правила

Режим работы

Режим, в котором работает правило

Путь к файлу процесса

Расположение файла процесса

Процесс

Процесс, разрешенный или запрещенный для запуска на станции

Бюллетень с хешем процесса

Бюллетень, в котором присутствует хеш файла запущенного процесса

Путь к файлу скрипта

Расположение файла скрипта

Скрипт

Файл скрипта

Бюллетень с хешем скрипта

Бюллетень, в котором присутствует хеш файла запущенного скрипта

Появление события

Дата и время появления события

Оповещение о событии

Дата и время оповещения о событии

Хеш файла (SHA-256)

Значение хеша файла по алгоритму SHA-256

Описание файла

Описание файла

Издатель

Издатель файла

Издатель сертификата

Удостоверяющий центр, выпустивший сертификат

Хеш сертификата (SHA-1)

Значение хеша сертификата по алгоритму SHA-1

Дата начала действия сертификата

Дата начала действия сертификата

Дата окончания действия сертификата

Дата окончания действия сертификата

Параметры фильтра непостоянны. Их наличие или отсутствие зависит от данных, которые были получены за указанный период времени. Параметр исчезает из фильтра, если за указанный период времени не были получены соответствующие ему данные.

5.При необходимости сохранить таблицу статистики для распечатки или дальнейшей обработки нажмите на одну из кнопок:

Сохранить данные в CSV-файл,

Сохранить данные в HTML-файл,

Сохранить данные в XML-файл,

Сохранить данные в PDF-файл.

При наличии профиля или правила в тестовом режиме запускаемые на назначенных станциях приложения проверяются по всей схеме работы Контроля приложений от начала до конца. В статистике будут фиксироваться случаи совпадения приложения по всем возможным критериям: настройкам функционального анализа, правилам и группе доверенных приложений. Следовательно, одно и то же приложение может иметь несколько записей в колонке Примененное действие, где будет указано, что оно разрешено по одним критериям и/или заблокировано по другим.

Создание правил

Чтобы создать новое правило на основе статистики по событиям Контроля приложений

1.В разделе Статистика → События Контроля приложений выберите строку с событием о попытке запуска приложения, для которого вы хотите создать правило, контролирующее запуск.

2.При нажатии на строку таблицы откроется окно с информацией о выбранном событии.

3.Нажмите кнопку Создать правило.

4.Откроется окно для создания нового правила. Задайте следующие настройки:

a)В выпадающем списке Название профиля выберите профиль Контроля приложений, в котором будет создано правило.

b)В поле Название правила задайте название для создаваемого правила.

c)В разделе Тип правила выберите тип создаваемого правила: запрещающее или разрешающее.

d)Для опции Режим работы выберите, в каком режиме будет работать созданное правило (соответствует флагу Перевести правило в тестовый режим при создании правила из профиля):
Если вы хотите проверить работу правила, выберите режим Тестовый. Приложения не будут блокироваться на станциях, однако будет осуществляться запись журнала активности как при включенных настройках. Результаты запусков и блокировок приложений в тестовом режиме работы правила будут отображаться в разделе События Контроля приложений.
В режиме Активный  правило будет работать в активном режиме с блокировкой приложений на станциях по заданным настройкам правила (см. также режимы работы профилей).

e)В разделе Запрещать запуск приложений по следующим критериям/Разрешать запуск приложений по следующим критериям (в зависимости от типа правила, выбранного на шаге 4c) будут автоматически заполнены поля в соответствии с приложением, на основе которого создается правило. При необходимости можете отредактировать значения настроек.

5.Нажмите Сохранить. Правило будет создано в заданном профиле Контроля приложений.