Режимы мониторинга файлов

Общие сведения

Монитор файловой системы SpIDer Guard, осуществляющий контроль доступа к файлам, может использовать три режима мониторинга:

Обычный (установлен по умолчанию) — отслеживаются операции по доступу к файлам (создание, открытие, закрытие и запуск). Запрашивается проверка файла, доступ к которому был осуществлен, по результатам проверки к файлу могут быть применены действия по нейтрализации угрозы, если она в нем обнаружена. До окончания проверки доступ к файлу со стороны приложений, запросивших доступ, не ограничивается.

Усиленный контроль исполняемых файлов — для файлов, не считающихся исполняемыми, — так же, как и в обычном режиме. SpIDer Guard блокирует запрошенную операцию доступа к исполняемому файлу до тех пор, пока не станут известны результаты его проверки на наличие угроз.

Исполняемыми файлами считаются двоичные файлы форматов PE и ELF, а также файлы скриптов, содержащие преамбулу #!.

«Параноидальный» режим — SpIDer Guard блокирует запрошенную операцию доступа к любому файлу до тех пор, пока не станут известны результаты его проверки на наличие угроз.

Сканер в течение определенного времени сохраняет результаты проверки файлов в специальном кеше, поэтому при повторном доступе к тому же файлу, при наличии информации в кеше, повторное сканирование файла не производится, в качестве результата проверки этого файла используется результат, извлеченный из кеша. Несмотря на это, использование «параноидального» режима мониторинга приводит к существенному замедлению работы при доступе к файлам.

Изменение режима мониторинга файлов

Режимы усиленного мониторинга файлов с их предварительной блокировкой доступны, только если SpIDer Guard работает в режиме FANOTIFY, а ядро ОС собрано со включенной опцией CONFIG_FANOTIFY_ACCESS_PERMISSIONS.

 

Переключение режимов работы SpIDer Guard производится только при помощи команды cfset утилиты drweb-ctl.

 

Для переключения режимов работы SpIDer Guard необходимо обладать правами суперпользователя. Для получения прав суперпользователя воспользуйтесь командой смены пользователя su или командой выполнения от имени другого пользователя sudo.

Для переключения SpIDer Guard в режим работы FANOTIFY используйте команду:

# drweb-ctl cfset LinuxSpider.Mode FANOTIFY

Для изменения режима мониторинга используйте команду:

# drweb-ctl cfset LinuxSpider.BlockBeforeScan <режим>

где <режим> определяет режим блокировки:

Off — блокировка доступа не производится, SpIDer Guard осуществляет обычный (не блокирующий) режим мониторинга.

Executables — производится блокировка доступа к исполняемым файлам, SpIDer Guard осуществляет усиленный контроль исполняемых файлов.

All — производится блокировка доступа к любым файлам, SpIDer Guard осуществляет «параноидальный» режим мониторинга.

Для изменения срока актуальности результатов проверки файлов, хранимых Сканером в кеше, используйте команду:

# drweb-ctl cfset FileCheck.RescanInterval <период>

где <период> определяет период актуальности предыдущих результатов проверки, находящихся в кеше. Допустимо значение от 0s до 1m. Если указан период менее 1 секунды, то файл будет проверяться при любом запросе.