Configuración de recepción de estadísticas
Para activar el envío de información desde las estaciones papa la sección Eventos de Control de aplicaciones
1.En la sección Red antivirus seleccione en el árbol de la estación o grupo de estaciones con el Control de aplicaciones instalado de los que desea recibir la información sobre la ejecución de aplicaciones.
2.En el menú de administración seleccione el punto Windows → Agente Dr.Web.
3.En la pestaña Generales marque la casilla Monitorear eventos del Control de aplicaciones, para monitorear la actividad de los procesos en las estaciones, registrada por el Control de aplicaciones y enviar los eventos al Servidor. Si no hay conexión con el Servidor, los eventos se acumulan y se envían en el momento de la conexión. Si la casilla no está marcada, la actividad de los procesos se ignora.
4.Haga clic en Guardar.
Para activar la recopilación de información por el Servidor para la sección Eventos del Control de aplicaciones
5.En la sección Administración → Configuración del Servidor Dr.Web vaya a la pestaña Estadísticas.
6.Establezca una de las siguientes opciones:
•Estadísticas del Control de aplicaciones por actividad de los procesos, para recibir y registrar información sobre cualquier actividad de todos los procesos: tanto los autorizados para iniciar como los prohibidos por Control de aplicaciones. Cuando se selecciona esta opción, las aplicaciones se ingresarán en el directorio siempre que al menos un perfil con una o más categorías seleccionadas de criterios de análisis funcional.
Antes de crear perfiles y asignarlos a las estaciones de la red antivirus, todas las aplicaciones pueden iniciarse.
•Estadísticas del Control de aplicaciones por el bloqueo de los procesos, para recibir y registrar información sobre la actividad de todos los procesos que el Control de aplicaciones tiene prohibido iniciar. Cuando se selecciona esta opción, las aplicaciones se ingresarán en el directorio solo después de la creación de los perfiles, según la configuración de los cuales se bloqueará el inicio de las aplicaciones y la asignación de estos perfiles a las estaciones de la red antivirus.
|
La casilla Estadísticas del Control de aplicaciones por actividad de los procesos puede aumentar significativamente el consumo de recursos de la recopilación de estadísticas en toda la red antivirus. |
7.Haga clic en el botón Guardar.
8.Reinicie el Servidor.
9.Después de reiniciar, el Servidor comenzará a registrar todas las estadísticas de inicio de aplicaciones enviada desde todas las estaciones con el Control de aplicaciones instalado.
Ver estadísticas
Para ver los eventos registrados en las estaciones por el componente Control de aplicaciones
1.En la lista jerárquica, seleccione la estación o grupo.
2.En el menú de control en la sección Estadísticas seleccione el elemento Eventos del Control de aplicaciones.
3.Se abrirá la ventana que contiene una lista de aplicaciones, cuyo lanzamiento estaba prohibido o permitido en las estaciones seleccionadas.
4.De forma predeterminada, se muestran las estadísticas de las últimas 24 horas. Para mostrar datos de un período determinado, especifique un rango de tiempo relativo al día de hoy en la lista desplegable o especifique un rango de fechas arbitrario en la barra de herramientas. Para establecer un rango personalizado, ingrese las fechas requeridas o haga clic en los íconos del calendario junto a los campos de fecha. Para descargar los datos, haga clic en el botón Actualizar. Se cargará una tabla con los datos estadísticos en la ventana. Las columnas de la tabla se describen en la siguiente tabla.
Descripción de las columnas de la tabla Eventos de Control de aplicaciones
Nombre de la columna |
Descripción |
|---|---|
Identificador |
Identificador de la estación |
Estación |
Nombre de la estación |
Dirección de la estación |
Dirección de la estación |
Identificador de seguridad |
Identificador de seguridad de la cuenta de usuario |
Usuario |
Usuario de la estación de trabajo |
Tipo de evento |
Tipo de evento ejecutado en la estación |
Acción aplicada |
Acción aplicada a una aplicación que se ejecuta en una estación |
Criterio de análisis funcional |
El criterio por el cual se permite o deniega la solicitud |
Máscara de análisis funcional |
Parámetro de criterio de análisis funcional que determina si la aplicación puede ejecutarse en la estación o no |
ID del perfil |
Identificador de perfil |
Nombre del perfil |
Nombre del perfil |
ID de la regla |
Identificador de regla |
Nombre de la regla |
Nombre de la regla |
Modo de funcionamiento |
El modo en que funciona la regla |
Ruta del archivo del proceso |
Ubicación del archivo de proceso |
Proceso |
Proceso permitido o denegado para ejecutarse en una estación |
Boletín de hash de proceso |
Boletín que contiene el hash del archivo del proceso en ejecución |
Ruta del archivo del script |
Ubicación del script de proceso |
Script |
Archivo de script |
Boletín de hash de script |
Boletín que contiene el hash del archivo de script en ejecución |
Surgimiento del evento |
Fecha y hora en que ocurrió el evento |
Notificación sobre el evento |
Fecha y hora de notificación sobre el evento |
Hash del archivo (SHA-256) |
Valor del hash del archivo según el algoritmo SHA-256 |
Descripción del archivo |
Descripción del archivo |
Editor |
Editor del archivo |
Editorial del certificado |
Centro de certificación que emitió el certificado |
Hash del certificado (SHA-1) |
Valor del hash del certificado según el algoritmo SHA-1 |
Fecha de inicio de validez del certificado |
Fecha de inicio de validez del certificado |
Fecha de terminación de validez del certificado |
Fecha de terminación de validez del certificado |
|
Los parámetros de filtro son variables. Su presencia o ausencia depende de los datos que se obtuvieron durante el período de tiempo especificado. El parámetro desaparece del filtro si no se han recibido los datos correspondientes durante el período de tiempo especificado. |
5.Si necesita guardar la tabla de estadísticas para imprimirla o procesarla, haga clic en uno de los botones:
Guardar datos en formato CSV,
Guardar datos en formato HTML,
Guardar datos en formato XML,
Guardar datos en un formato PDF.
|
Si existe un perfil o regla en modo de prueba las aplicaciones lanzadas en las estaciones designadas se escanean de acuerdo al completo esquema de trabajo de Control de aplicaciones desde el principio hasta el final. Las estadísticas registrarán los casos de coincidencia de aplicaciones según todos los criterios posibles: configuración de análisis funcional, reglas y un grupo de aplicaciones confiables. Por tanto, la misma aplicación puede tener varias entradas en la columna Acción aplicada, donde se indicará que está permitido según unos criterios y / o bloqueado según otros. |
Creación de reglas
Para crear una nueva regla basada en las estadísticas de los eventos del Control de aplicaciones
1.En la sección Estadísticas → Eventos del Control de aplicaciones seleccione la línea con el evento sobre el intento de iniciar la aplicación para la que desea crear una regla que controle el inicio.
2.Al hacer clic en una línea de la tabla, se abrirá la ventana con información sobre el evento seleccionado.
3.Presione el botón Crear regla.
4.Se abrirá la ventana para crear una nueva regla. Establezca la siguiente configuración:
a)En la lista desplegable Nombre del perfil seleccione el perfil del Control de aplicaciones, en el que se creará la regla.
b)En el campo Nombre de la regla especifique el nombre para la regla creada.
c)En la sección Tipo de regla seleccione el tipo de regla para crear: restrictiva o permisiva.
d)Para la opción Modo de funcionamiento seleccione el modo en que funcionará la regla creada (corresponde a la casilla Transferir la regla al modo de prueba al crear la regla desde el perfil):
Si desea verificar el funcionamiento de la regla, marque la casilla De pruebas. Las aplicaciones no se bloquearán en las estaciones, pero el registro de actividad se registrará como si la configuración estuviera habilitada. Los resultados de iniciar y bloquear aplicaciones en el modo de prueba de la regla se mostrarán en la sección Eventos del Control de aplicaciones.
En el modo Activo, la regla funcionará en modo activo con el bloqueo de aplicaciones en estaciones de acuerdo con la configuración de la regla especificada (vea también modos de operación de los perfiles).
e)En la sección Bloquear el inicio de las aplicaciones de acuerdo con los siguientes criterios/Permitir el inicio de las aplicaciones de acuerdo con los siguientes criterios (según el tipo de regla que seleccionó en el paso 4c), los campos se completarán automáticamente de acuerdo con la aplicación según la cual se crea la regla. Si es necesario, puede editar los valores de configuración.
5.Haga clic en Guardar. La regla se creará en el perfil especificado del Control de aplicaciones.