В ходе выполнения задачи Анализ журналов Kaspersky Embedded Systems Security для Windows контролирует целостность защищаемой среды на основе результатов анализа журналов событий Windows. Программа информирует администратора при обнаружении признаков нетипичного поведения в системе, которые могут свидетельствовать о попытках кибератак.
Kaspersky Embedded Systems Security для Windows анализирует журналы событий Windows и выявляет нарушения в соответствии с правилами, заданными пользователем, или с параметрами эвристического анализатора, который применяется задачей для анализа журналов.
Стандартные правила и эвристический анализ
Вы можете использовать задачу Анализ журналов для контроля состояния защищаемой системы с помощью стандартных правил, осуществляющих анализ на основе встроенных эвристик. Эвристический анализатор определяет наличие аномальной активности на защищаемом устройстве, которая может являться признаком попытки атаки. Шаблоны определения аномальной активности заложены в доступных правилах в параметрах задачи.
Для задачи Анализ журналов доступно семь стандартных правил. Вы можете включать и выключать любые правила. Нельзя удалять существующие правила и создавать новые правила.
Вы можете настроить критерии срабатывания правил, которые контролируют события для следующих операций:
В параметрах задачи вы также можете настроить исключения. Эвристический анализатор не срабатывает, если вход в систему выполнен доверенным пользователем или с доверенного IP-адреса.
Kaspersky Embedded Systems Security для Windows не применяет эвристики для анализа журналов Windows, если эвристический анализатор не используется задачей. По умолчанию эвристический анализатор включен.
При срабатывании правила, программа фиксирует событие с уровнем важности Критическое в журнале выполнения задачи Анализ журналов.
Пользовательские правила задачи Анализ журналов
С помощью параметров правил вы можете задавать и изменять критерии срабатывания правила при обнаружении выбранных событий в указанном журнале Windows. По умолчанию список правил анализа журналов содержит четыре правила. Вы можете включать и выключать эти правила, удалять правила и редактировать их параметры.
Вы можете настроить следующие критерии срабатывания каждого правила:
Правило срабатывает при создании новой записи в журнале событий Windows, если в свойствах события обнаружен идентификатор события, указанный для правила. Вы также можете добавлять и удалять идентификаторы для каждого заданного правила.
Для каждого правила вы можете задать журнал в журнале событий Windows. Программа будет выполнять поиск записей с указанными идентификаторами событий только в этом журнале. Вы можете выбрать один из стандартных журналов (Программа, Безопасность или Система) или указать пользовательский журнал, введя его имя в поле выбора источника.
Программа не выполняет проверок на фактическое наличие заданного журнала в журнале событий Windows.
При срабатывании правила Kaspersky Embedded Systems Security для Windows фиксирует событие с уровнем важности Критический в журнале выполнения задачи Анализ журналов.
По умолчанию в задаче Анализ журналов применяются пользовательские правила.
Перед запуском задачи Анализ журналов убедитесь, что политика аудита системы настроена верно. Более подробная информация приведена в статье Microsoft.
В начало