Configurazione dell'ottenimento delle statistiche
Per attivare l'invio di informazioni dalle postazioni per la sezione Eventi di Controllo delle applicazioni
1.Nella sezione Rete antivirus selezionare nell'albero le postazioni o i gruppi di postazioni con il Controllo applicazioni installato, da cui si desidera ricevere informazioni sull'avvio delle applicazioni.
2.Nel menu di gestione selezionare la voce Windows → Agent Dr.Web.
3.Nella scheda Generali spuntare il flag Monitora eventi di Controllo applicazioni per monitorare l'attività dei processi sulle postazioni, registrata dal Controllo applicazioni, e inviare gli eventi sul Server Dr.Web. Se la connessione al Server Dr.Web non è disponibile, gli eventi vengono accumulati e inviati quando la connessione viene stabilita. Se il flag è tolto, l'attività di processi viene ignorata.
4.Premere Salva.
Per attivare la raccolta delle informazioni da parte del Server Dr.Web per la sezione Eventi di Controllo delle applicazioni
1.Nella sezione Amministrazione → Configurazione del Server Dr.Web andare alla scheda Statistiche.
2.Impostare una delle seguenti opzioni:
•Statistiche di Controllo applicazioni sull'attività dei processi, per ricevere e registrare informazioni su qualsiasi attività di tutti i processi: sia quelli il cui avvio è consentito che quelli vietati da Controllo applicazioni. Quando questa opzione è selezionata, le applicazioni verranno inserite nel prontuario a condizione che sia stato creato e assegnato almeno un profilo con una o più categorie selezionate di criteri di analisi funzionale.
Fino a quando profili non vengono creati e assegnati a postazioni della rete antivirus, l'avvio di tutte le applicazioni è consentito.
•Statistiche di Controllo applicazioni sul blocco dei processi, per ricevere e registrare informazioni sull'attività di tutti i processi il cui avvio è vietato da Controllo applicazioni. Quando questa opzione è selezionata, applicazioni verranno inserite nel prontuario solo dopo che vengono creati profili secondo le cui impostazioni l'avvio delle applicazioni verrà bloccato e vengono assegnati a postazioni della rete antivirus.
|
Il flag Statistiche di Controllo applicazioni sull'attività dei processi può aumentare significativamente l'intensità d'uso delle risorse per la raccolta delle statistiche su tutta la rete antivirus. |
3.Premere il pulsante Salva.
4.Riavviare il Server Dr.Web.
5.Dopo il riavvio il Server Dr.Web inizierà a registrare tutte le statistiche di avvio applicazioni, che vengono inviate da tutte le postazioni con il Controllo applicazioni installato.
Visualizzazione delle statistiche
Per visualizzare gli eventi registrati sulle postazioni dal componente Controllo delle applicazioni
1.Nella lista gerarchica selezionare una postazione o un gruppo.
2.Nel menu di gestione nella sezione Statistiche selezionare la voce Eventi di Controllo delle applicazioni.
3.Si apre una finestra che contiene una lista delle applicazioni il cui avvio è stato consentito o vietato sulle postazioni selezionate.
4.Di default vengono visualizzate le statistiche delle ultime ventiquattro ore. Per visualizzare i dati per un determinato periodo, indicare nella lista a cascata un intervallo di tempo relativo al giorno di oggi o impostare un intervallo di tempo nella barra degli strumenti. Per impostare un intervallo di tempo arbitrario, inserire le date richieste o fare clic sulle icone di calendario accanto ai campi di date. Per caricare i dati, premere il pulsante Aggiorna. Nella finestra verrà caricata una tabella con i dati statistici. Le colonne della tabella sono descritte nella tabella seguente.
Descrizione delle colonne della tabella Eventi di Controllo delle applicazioni
Nome di colonna |
Descrizione |
|---|---|
Identificatore |
Identificatore della postazione |
Postazione |
Nome della postazione |
Indirizzo della postazione |
Indirizzo della postazione |
Identificatore di sicurezza |
Identificatore di sicurezza dell'account utente |
Utente |
Utente della postazione |
Tipo di evento |
Tipo di evento avviato sulla postazione |
Azione applicata |
Azione applicata all'applicazione avviata sulla postazione |
Criterio di analisi funzionale |
Criterio in base a cui l'applicazione viene consentita o vietata |
Maschera di analisi funzionale |
Parametro del criterio di analisi funzionale che determina se è consentito avviare l'applicazione sulla postazione o meno |
ID del profilo |
Identificatore del profilo |
Nome del profilo |
Nome del profilo |
ID della regola |
Identificatore della regola |
Nome della regola |
Nome della regola |
Modalità di funzionamento |
Modalità in cui funziona la regola |
Percorso del file del processo |
Posizione del file del processo |
Processo |
Processo che è consentito o vietato avviare sulla postazione |
Bollettino con l’hash del processo |
Bollettino in cui è presente l'hash del file del processo avviato |
Percorso del file dello script |
Posizione del file dello script |
Script |
File dello script |
Bollettino con l'hash dello script |
Bollettino in cui è presente l'hash del file dello script avviato |
Comparsa dell’evento |
Data e ora di comparsa dell'evento |
Avviso di evento |
Data e ora dell'avviso di evento |
Hash del file (SHA-256) |
Valore di hash del file secondo l'algoritmo SHA-256 |
Descrizione del file |
Descrizione del file |
Editore |
Editore del file |
Emittente del certificato |
Autorità di certificazione che ha rilasciato il certificato |
Hash del certificato (SHA-1) |
Valore di hash del certificato secondo l'algoritmo SHA-1 |
Data di inizio validità del certificato |
Data di inizio validità del certificato |
Data di fine validità del certificato |
Data di fine validità del certificato |
5.Se occorre salvare la tabella delle statistiche in modo da stamparla o da elaborarla in seguito, premere uno dei pulsanti:
Registra le informazioni in file CSV,
Registra le informazioni in file HTML,
Registra le informazioni in file XML,
Registra le informazioni in file PDF.
|
Con un profilo o una regola presente in modalità test le applicazioni avviate sulle postazioni specificate vengono controllate per tutto lo schema di funzionamento di Controllo delle applicazioni dall'inizio alla fine. Nelle statistiche verranno registrati i casi di corrispondenza dell'applicazione a tutti i criteri possibili: impostazioni di analisi funzionale, regole e gruppo di applicazioni affidabili. Pertanto, la stessa applicazione può avere più record nella colonna Azione applicata dove verrà indicato che è consentita secondo alcuni criteri e/o bloccata secondo altri. |
Creazione delle regole
Per creare una nuova regola basata sulle statistiche di eventi di Controllo delle applicazioni
1.Nella sezione Statistiche → Eventi di Controllo delle applicazioni selezionare una riga con un evento di tentativo di avvio di un'applicazione per cui si desidera creare una regola che ne controlli l'avvio.
2.Dopo un click su una riga della tabella si aprirà una finestra con informazioni sull'evento selezionato.
3.Premere il pulsante Crea regola.
4.Si apre una finestra per la creazione di una nuova regola. Configurare le seguenti impostazioni:
a)Dalla lista a cascata Nome del profilo selezionare un profilo di Controllo delle applicazioni in cui verrà creata la regola.
b)Nel campo Nome della regola specificare un nome per la regola che viene creata.
c)Nella sezione Tipo di regola selezionare il tipo di regola creata: quella di divieto o di permesso.
d)Per l'opzione Modalità di funzionamento selezionare in quale modalità funzionerà la regola creata (corrisponde al flag Metti la regola in modalità test disponibile durante la creazione di una regola da un profilo):
Se si vuole testare la regola, selezionare la modalità Test. Le applicazioni non verranno bloccate sulle postazioni, però la registrazione del log delle attività verrà eseguita come con le impostazioni attivate. I risultati di avvii e blocchi delle applicazioni in modalità test di funzionamento della regola verranno visualizzati nella sezione Eventi di Controllo delle applicazioni.
In modalità Attivo la regola funzionerà in modalità attiva in cui le applicazioni sulle postazioni vengono bloccate in base alle impostazioni della regola specificate (vedi inoltre modalità di funzionamento dei profili).
e)Nella sezione Proibisci l’avvio di applicazioni secondo i seguenti criteri/Consenti l’avvio di applicazioni secondo i seguenti criteri (a seconda del tipo di regola selezionato nel passaggio 4c) i campi verranno automaticamente compilati in conformità all'applicazione sulla base della quale viene creata la regola. Se necessario, è possibile modificare i valori delle impostazioni.
5.Premere Salva. La regola verrà creata nel profilo specificato di Controllo applicazioni.