Vordefinierte Regeln konfigurieren

Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 11 für Windows

Kontrolle des Computers

Protokollanalyse

Vordefinierte Regeln konfigurieren

14. Februar 2024

ID 235320

Als PDF speichern

Vordefinierte Regeln enthalten Vorlagen für anormale Aktivitäten auf dem geschützten Computer. Abnormale Aktivität kann auf einen versuchten Angriff hindeuten. Vordefinierte Regeln basieren auf einer heuristischen Analyse. Für die Protokollanalyse stehen sieben vordefinierte Regeln zur Verfügung. Sie können diese Regeln aktivieren oder deaktivieren. Vordefinierte Regeln können nicht gelöscht werden.

Sie können die Auslösekriterien für Regeln konfigurieren, die Ereignisse für die folgenden Vorgänge überwachen:

Passwort-Brute-Force-Erkennung
Netzwerk-Login-Erkennung

So konfigurieren Sie vordefinierte Regeln in der Verwaltungskonsole (MMC)

Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Öffnen Sie in der Verwaltungskonsolenstruktur im Ordner Verwaltete Geräte den Ordner mit dem Namen der Administrationsgruppe, zu welcher die betreffenden Client-Computer gehören.
Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster Sicherheitskontrolle → Protokollanalyse aus.
Stellen Sie sicher, dass das Kontrollkästchen Protokollanalyse aktiviert ist.
Klicken Sie im Block Vordefinierte Regeln auf Einstellungen.
Aktivieren oder deaktivieren Sie Kontrollkästchen, um vordefinierte Regeln zu konfigurieren:
- Es gibt Muster eines möglichen Brute-Force-Angriffs im System..
- Während einer Netzwerkanmeldesitzung wurde eine ungewöhnliche Aktivität erkannt..
- Es gibt Muster eines möglichen Missbrauchs des Windows-Ereignisprotokolls..
- Es wurden ungewöhnliche Aktionen im Auftrag eines neu installierten Dienstes erkannt..
- Es wurde eine ungewöhnliche Anmeldung erkannt, die explizite Anmeldedaten verwendet..
- Es gibt Muster eines möglichen Angriffs mit gefälschtem Kerberos-PAC (MS14-068) im System..
- Es wurden verdächtige Änderungen in der privilegierten integrierten Administratorgruppe erkannt..
Konfigurieren Sie ggf. die Regel Es gibt Muster eines möglichen Brute-Force-Angriffs im System.:
1. Klicken Sie auf die Schaltfläche Einstellungen unter der Regel.
2. Geben Sie in dem sich öffnenden Fenster die Anzahl der Versuche und einen Zeitraum an, innerhalb dessen Versuche zur Eingabe eines Passworts unternommen werden müssen, damit die Regel ausgelöst wird.
3. Klicken Sie auf ОК.
Wenn Sie die Regel Während einer Netzwerkanmeldesitzung wurde eine ungewöhnliche Aktivität erkannt. ausgewählt haben, müssen Sie die entsprechenden Einstellungen konfigurieren:
1. Klicken Sie auf die Schaltfläche Einstellungen unter der Regel.
2. Geben Sie im Block Erkennung von Netzwerkanmeldungen Start und Ende des Intervalls ein.
  Kaspersky Endpoint Security betrachtet Anmeldeversuche, die während des angegebenen Intervalls durchgeführt werden, als anormale Aktivität.
  
  Das Intervall ist standardmäßig nicht angegeben und Anmeldeversuche werden von der App nicht überwacht. Damit Anmeldeversuche permanent von der App überwacht werden, geben Sie das Intervall 0:00 bis 23:59 an. Der Beginn und das Ende des Intervalls dürfen nicht übereinstimmen. Wenn sie den gleichen Wert haben, werden Anmeldeversuche nicht durch die App überwacht.
3. Erstellen Sie die Liste der vertrauenswürdigen Benutzer und vertrauenswürdigen IP-Adressen (IPv4 und IPv6).
  Kaspersky Endpoint Security überwacht die Anmeldeversuche dieser Benutzer und Computer nicht.
4. Klicken Sie auf ОК.
Speichern Sie die vorgenommenen Änderungen.

So konfigurieren Sie vordefinierte Regeln über die „Web Console“ und „Cloud Console“

Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Sicherheitskontrolle → Protokollanalyse.
Stellen Sie sicher, dass der Schalter Protokollanalyse aktiviert ist.
Aktivieren oder deaktivieren Sie im Block Vordefinierte Regeln die vordefinierten Regeln mithilfe der Schalter.
- Es gibt Muster eines möglichen Brute-Force-Angriffs im System..
- Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt..
- Es gibt Muster eines möglichen Missbrauchs des Windows-Ereignisprotokolls..
- Es wurden ungewöhnliche Aktionen im Auftrag eines neu installierten Dienstes erkannt..
- Es wurde eine ungewöhnliche Anmeldung mit expliziten Anmeldedaten erkannt..
- Es gibt Muster eines möglichen Angriffs mit gefälschtem Kerberos-PAC (MS14-068) im System..
1. Es wurden verdächtige Änderungen in der privilegierten integrierten Administratorgruppe erkannt..
Konfigurieren Sie ggf. die Regel Es gibt Muster eines möglichen Brute-Force-Angriffs im System.:
1. Klicken Sie auf Einstellungen unter der Regel.
2. Geben Sie in dem sich öffnenden Fenster die Anzahl der Versuche und einen Zeitraum an, innerhalb dessen Versuche zur Eingabe eines Passworts unternommen werden müssen, damit die Regel ausgelöst wird.
3. Klicken Sie auf ОК.
Wenn Sie die Regel Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt. ausgewählt haben, müssen Sie die entsprechenden Einstellungen konfigurieren:
1. Klicken Sie auf Einstellungen unter der Regel.
2. Geben Sie im Block Erkennung von Netzwerkanmeldungen Start und Ende des Intervalls ein.
  Kaspersky Endpoint Security betrachtet Anmeldeversuche, die während des angegebenen Intervalls durchgeführt werden, als anormale Aktivität.
  
  Das Intervall ist standardmäßig nicht angegeben und Anmeldeversuche werden von der App nicht überwacht. Damit Anmeldeversuche permanent von der App überwacht werden, geben Sie das Intervall 0:00 bis 23:59 an. Der Beginn und das Ende des Intervalls dürfen nicht übereinstimmen. Wenn sie den gleichen Wert haben, werden Anmeldeversuche nicht durch die App überwacht.
3. Fügen Sie im Block Ausnahmen vertrauenswürdige Benutzer und vertrauenswürdige IP-Adressen (IPv4 und IPv6) hinzu.
  Kaspersky Endpoint Security überwacht die Anmeldeversuche dieser Benutzer und Computer nicht.
4. Klicken Sie auf ОК.
Speichern Sie die vorgenommenen Änderungen.

So konfigurieren Sie vordefinierte Regeln über die Programmoberfläche.

Klicken Sie im Programmhauptfenster auf die Schaltfläche .
Wählen Sie im Fenster mit den Programmeinstellungen Sicherheitskontrolle → Protokollanalyse aus.
Stellen Sie sicher, dass der Schalter Protokollanalyse aktiviert ist.
Klicken Sie im Block Vordefinierte Regeln auf Konfigurieren.
Aktivieren oder deaktivieren Sie Kontrollkästchen, um vordefinierte Regeln zu konfigurieren:
- Es gibt Muster eines möglichen Brute-Force-Angriffs im System..
- Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt..
- Es gibt Muster eines möglichen Missbrauchs des Windows-Ereignisprotokolls..
- Es wurden ungewöhnliche Aktionen im Auftrag eines neu installierten Dienstes erkannt..
- Es wurde eine ungewöhnliche Anmeldung erkannt, die explizite Anmeldedaten verwendet..
- Es gibt Muster eines möglichen Angriffs mit gefälschtem Kerberos-PAC (MS14-068) im System..
1. Es wurden verdächtige Änderungen in der privilegierten integrierten Administratorgruppe erkannt..
Konfigurieren Sie ggf. die Regel Es gibt Muster eines möglichen Brute-Force-Angriffs im System.:
1. Klicken Sie auf Einstellungen unter der Regel.
2. Geben Sie in dem sich öffnenden Fenster die Anzahl der Versuche und einen Zeitraum an, innerhalb dessen Versuche zur Eingabe eines Passworts unternommen werden müssen, damit die Regel ausgelöst wird.
Wenn Sie die Regel Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt. ausgewählt haben, müssen Sie die entsprechenden Einstellungen konfigurieren:
1. Klicken Sie auf Einstellungen unter der Regel.
2. Geben Sie im Block Erkennung von Netzwerkanmeldungen Start und Ende des Intervalls ein.
  Kaspersky Endpoint Security betrachtet Anmeldeversuche, die während des angegebenen Intervalls durchgeführt werden, als anormale Aktivität.
  
  Das Intervall ist standardmäßig nicht angegeben und Anmeldeversuche werden von der App nicht überwacht. Damit Anmeldeversuche permanent von der App überwacht werden, geben Sie das Intervall 0:00 bis 23:59 an. Der Beginn und das Ende des Intervalls dürfen nicht übereinstimmen. Wenn sie den gleichen Wert haben, werden Anmeldeversuche nicht durch die App überwacht.
3. Fügen Sie im Block Ausnahmen vertrauenswürdige Benutzer und vertrauenswürdige IP-Adressen (IPv4 und IPv6) hinzu.
  Kaspersky Endpoint Security überwacht die Anmeldeversuche dieser Benutzer und Computer nicht.
Speichern Sie die vorgenommenen Änderungen.

Wenn die Regel ausgelöst wird, erstellt Kaspersky Endpoint Security daher ein kritisches Ereignis.

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen

Schützt jeden Endpoint ohne hohe Kosten. Optimiert das zentralisierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.

Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen

Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.

War dieser Artikel hilfreich?

Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:

Danke für Ihr Feedback! Sie helfen uns, besser zu werden.

Vordefinierte Regeln konfigurieren

Kaspersky Endpoint Security für Windows: Erkennung von hoch entwickelten Cyberbedrohungen

Premium Support (MSA): Priorisierte Eskalation von Support-Anfragen

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen

Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen