Ustawienia zaawansowane — Ograniczanie
Funkcja ograniczania umożliwia zapobieganie wykonywaniu określonego zadania. Zazwyczaj ograniczanie jest stosowane, jeśli zadanie jest wyzwalane przez zdarzenie o dużej częstotliwości. W określonych okolicznościach ograniczanie może uniemożliwić aktywację elementu wyzwalającego. Każde aktywowanie elementu wyzwalającego jest poddawane analizie zgodnie z poniższym schematem. Wykonanie zadania wymuszają wyłącznie elementy wyzwalające spełniające zdefiniowane warunki. W przypadku nieustawienia warunków ograniczania wszystkie zdarzenia aktywujące element wyzwalający spowodują uruchomienie zadania.
Istnieją trzy rodzaje warunków ograniczania:
•Kryteria czasowe
•kryteria statystyczne,
•kryteria dziennika zdarzeń.
Aby zadanie zostało wykonane:
•Musi spełnić warunki wszystkich rodzajów.
•Warunki muszą być ustawione — puste warunki są pomijane.
•Muszą zostać spełnione wszystkie warunki czasowe połączone operatorem AND.
•Muszą zostać spełnione wszystkie warunki statystyczne połączone operatorem AND oraz co najmniej jeden warunek statystyczny z operatorem OR.
•Muszą zostać spełnione warunki statystyczne i czasowe zdefiniowane łącznie, zgodnie z kolejnością operatora AND, po czym następuje wykonanie zadania.
W przypadku spełnienia któregoś ze zdefiniowanych warunków informacje skumulowane w ramach wszystkich obserwatorów zostają zresetowane (odliczanie zaczyna się ponownie od 0). Dotyczy to zarówno warunków czasowych, jak i statystycznych. Informacje te zostają również zresetowane w przypadku ponownego uruchomienia agenta lub serwera ESET PROTECT. Wprowadzenie jakichkolwiek modyfikacji w elemencie wyzwalającym powoduje zresetowanie jego stanu. Zalecamy stosowanie tylko jednego warunku statystycznego oraz wielu warunków czasowych. Większa liczba warunków statystycznych może niepotrzebnie komplikować działanie elementu wyzwalającego i zmieniać jego wyniki.
Ustawienia wstępne
Dostępne są trzy ustawienia wstępne. Po wybraniu ustawienia wstępnego ustawienia ograniczania zostaną wyczyszczone i zastąpione wartościami ustawienia wstępnego. Wartości te można dalej modyfikować i wykorzystywać, jednak nie można utworzyć nowego ustawienia wstępnego.
Kryteria czasowe
Okres (T2) — jednorazowe wyzwolenie w zdefiniowanym okresie. Na przykład, jeśli ustawiono wartość dziesięciu sekund i w tym czasie warunek wystąpi dziesięć razy, zdarzenie aktywuje tylko pierwsze wystąpienie.
Należy skonfigurować throttling z kryteriami opartymi na czasie, aby ograniczyć wykonywanie zadań do co najwyżej jednego razu na 15 min i wyświetlanie powiadomień do co najwyżej 1 na minutę (ikona kłódki wskazuje występowanie ograniczenia): •Zadania serwera (w tym generowanie raportów) – wszystkie typy elementów wyzwalających. •Zadania klienta – typy elementów wyzwalających w postaci wyrażeń zaplanowanych i CRON. |
Harmonogram (T1) — wyzwalanie wyłącznie w zdefiniowanym zakresie czasu. Kliknij opcję Dodaj okres. Pojawi się nowe okno. Ustaw wartość Długość okresu w wybranych jednostkach czasu. Wybierz jedną opcję z listy Cykliczność i wypełnij pola dostępne w zależności od wybranej cykliczności. Cykliczność można także określić w formie wyrażenia CRON. Kliknij przycisk OK, aby zapisać zakres. Do listy można dodać wiele zakresów czasu, które zostaną posortowane chronologicznie.
W celu wyzwolenia danego zadania wszystkie skonfigurowane warunki muszą zostać spełnione.
Kryteria statystyczne
Warunek — warunki statystyczne można łączyć przy użyciu operatora logicznego:
•Wysyłaj powiadomienie po spełnieniu wszystkich kryteriów statystycznychANO: operator logiczny używany do określania wartości wyrażenia
•Wysyłaj powiadomienie po spełnieniu co najmniej jednego kryterium statystycznego - OR: operator logiczny używany do określania wartości wyrażenia
Liczba wystąpień (S1) — rejestrowane jest co x-te aktywowanie elementu wyzwalającego. Na przykład, jeśli wprowadzono wartość 10, rejestrowany będzie co 10-te aktywowanie.
Liczba wystąpień w danym okresie
Liczba wystąpień (S2) — wyzwalanie wyłącznie w zdefiniowanym okresie. Umożliwia to określenie minimalnej częstotliwości zdarzeń wymaganej do wyzwolenia zadania. Na przykład można skorzystać z tego ustawienia, aby zezwolić na wykonanie zadania, gdy zdarzenie jest wykrywane 10 razy w ciągu godziny. Aktywacja elementu wyzwalającego powoduje zresetowanie licznika.
Okres — podanie okresu na potrzeby opisanej powyżej opcji.
Trzeci warunek statystyczny jest dostępny wyłącznie w przypadku określonych typów elementów wyzwalających. Zobacz Element wyzwalający > Typ elementu wyzwalającego > Element wyzwalający dziennik zdarzeń.
Kryteria dziennika zdarzeń
Te kryteria są szacowane przez program ESET PROTECT jako trzecie kryterium statystyczne (S3). Operator stosowania kryteriów statystycznych (AND/OR) służy do równoczesnego oceniania wszystkich trzech warunków statystycznych. Zalecamy używanie kryteriów dziennika zdarzeń w połączeniu z zadaniem Generowanie raportów. Aby kryterium działało prawidłowo, należy uzupełnić wszystkie trzy pola. Bufor symboli jest resetowany po aktywowaniu elementu wyzwalającego, gdy symbol jest już w buforze.
Warunek — określa, jakie zdarzenia lub zestawy zdarzeń będą wyzwalać warunek. Dostępne opcje:
•Następujących po sobie — wybrana liczba zdarzeń musi mieć miejsce po sobie. Zdarzenia muszą być unikatowe.
•Występujących od ostatniego uruchomienia elementu wyzwalającego — warunek jest aktywowany po osiągnięciu wybranej liczby unikatowych zdarzeń od ostatniego wyzwolenia zadania.
Liczba wystąpień — wprowadź liczbę unikatowych zdarzeń z wybranymi symbolami, aby uruchomić zadanie.
Symbol — można wybrać symbol w dzienniku, aby go wyszukiwać (zgodnie z typem dziennika ustawionym w menu Element wyzwalający). Kliknij opcję Wybierz, aby wyświetlić menu. Można usunąć wybrany symbol, klikając opcję Usuń.
W przypadku użycia funkcji z zadaniem serwera brane są pod uwagę wszystkie komputery klienckie. Uzyskanie większej liczby charakterystycznych symboli następujących po sobie jest mało prawdopodobne. Z ustawienia Następujących po sobie należy korzystać tylko w uzasadnionych przypadkach. Brakująca wartość („nie dotyczy”) nie jest uznawana za unikatową, dlatego w tym momencie następuje zresetowanie bufora. |
Właściwości dodatkowe
Zgodnie z powyższym nie każde zdarzenie spowoduje aktywowanie elementu wyzwalającego. Oto możliwe czynności w przypadku zdarzeń, które nie wywołują aktywacji:
•Gdy pominięte zostanie więcej niż jedno zdarzenie, następuje zgrupowanie ostatnich N zdarzeń w jedno (dane znaczników blokowanych zostają zachowane) [N <= 100]
•Gdy N == 0, przetworzone zostaje tylko ostatnie zdarzenie (N oznacza długość historii, ostatnie zdarzenie jest zawsze przetwarzane)
•Wszystkie zdarzenia, które nie wywołują aktywacji, są scalane (ostatni znacznik zostaje scalony ze znacznikami historycznymi w liczbie N)
Jeśli element wyzwalający jest aktywowany zbyt często lub powiadomienia mają być wysyłane rzadziej, należy wziąć pod uwagę następujące sugestie:
•Jeśli użytkownik chce reagować tyko wówczas, gdy pojawi się więcej zdarzeń, należy użyć warunku statystycznego S1
•Jeśli element wyzwalający powinien być aktywowany tylko wówczas, gdy zaistnieje klaster zdarzeń, należy użyć warunku statystycznego S2
•Jeśli zdarzenia o niepożądanych wartościach mają być ignorowane, należy użyć warunku statystycznego S3
•Jeśli zdarzenia mające miejsce poza wyznaczonymi godzinami (na przykład godzinami pracy) mają być ignorowane, należy użyć warunku czasowego T1
•W celu wyznaczenia minimalnego czasu pomiędzy aktywacją elementów wyzwalających należy użyć warunku czasowego T2
Warunki te można również łączyć w celu uzyskania bardziej złożonych scenariuszy ograniczania. Więcej informacji można znaleźć w sekcji przykładów ograniczania. |