Cấu hình quy tắc định trước

Các quy tắc định trước bao gồm các mẫu hoạt động bất thường trên máy tính được bảo vệ. Hoạt động bất thường có thể báo hiệu một cuộc tấn công có chủ đích. Các quy tắc định trước được cung cấp bởi phân tích hành vi. Bảy quy tắc định trước có sẵn để Kiểm tra nhật ký. Bạn có thể bật hoặc tắt các quy tắc này. Không thể xóa các quy tắc định trước.

Bạn có thể cấu hình tiêu chí kích hoạt cho các quy tắc giám sát sự kiện cho các hoạt động sau:

Phát hiện tấn công vét cạn mật khẩu
Phát hiện đăng nhập mạng

Cách cấu hình quy tắc xác định trước trong Bảng điều khiển quản trị (MMC)

Mở Bảng điều khiển quản trị Kaspersky Security Center.
Trong cây bảng điều khiển, hãy chọn Policies.
Chọn chính sách cần thiết và nhấn đúp để mở các thuộc tính chính sách.
Trong cửa sổ chính sách, hãy chọn Kiểm soát bảo mật → Kiểm tra nhật ký.
Đảm bảo rằng hộp kiểm Kiểm tra nhật ký được chọn.
Trong mục Các quy tắc định trước, hãy nhấn nút Thiết lập.
Chọn hoặc bỏ chọn các hộp kiểm để cấu hình quy tắc định trước:
- Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống.
- Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng.
- Có những biểu hiện về khả năng xảy ra việc lạm dụng Nhật ký sự kiện của Windows.
- Đã phát hiện các hành động không điển hình thay cho một dịch vụ được cài đặt.
- Đã phát hiện hoạt động đăng nhập không điển hình, sử dụng thông tin đăng nhập hiện rõ.
- Có những biểu hiện của một cuộc tấn công Kerberos forged PAC (MS14-068) có thể xảy ra trong hệ thống.
- Đã phát hiện các thay đổi đáng ngờ trong nhóm Quản trị viên đặc quyền tích hợp.
Nếu cần, hãy cấu hình quy tắc Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống:
1. Nhấn nút Thiết lập bên dưới quy tắc.
2. Trong cửa sổ mở ra, hãy chỉ định số lần thử và khoảng thời gian phải thực hiện thao tác nhập mật khẩu để quy tắc được kích hoạt.
3. Nhấn vào OK.
Nếu đã chọn Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng, bạn cần cấu hình thiết lập của nó:
1. Nhấn nút Thiết lập bên dưới quy tắc.
2. Trong mục Phát hiện đăng nhập mạng, hãy chỉ định thời điểm bắt đầu và kết thúc khoảng thời gian.
  Kaspersky Endpoint Security sẽ coi các nỗ lực đăng nhập được thực hiện trong khoảng thời gian được xác định là hoạt động bất thường.
  
  Theo mặc định, khoảng thời gian không được đặt và ứng dụng không giám sát các lượt thử đăng nhập. Để ứng dụng liên tục theo dõi các lượt thử đăng nhập, hãy đặt khoảng thời gian từ 00 giờ 00 – 23 giờ 59. Thời điểm bắt đầu và kết thúc khoảng thời gian không được trùng nhau. Nếu trùng nhau, ứng dụng sẽ không giám sát các lần đăng nhập.
3. Tạo danh sách người dùng được tin tưởng và địa chỉ IP được tin tưởng (IPv4 và IPv6).
  Kaspersky Endpoint Security không giám sát các nỗ lực đăng nhập của những người dùng và máy tính này.
4. Nhấn vào OK.
Lưu các thay đổi của bạn.

Cách cấu hình quy tắc định trước trong Bảng điều khiển web và Bảng điều khiển đám mây

Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Policies & Profiles.
Nhấn vào tên của chính sách Kaspersky Endpoint Security.
Cửa sổ thuộc tính chính sách sẽ được mở ra.
Chọn thẻ Application settings.
Vào Security Controls → Log Inspection.
Đảm bảo rằng công tắc bật/tắt Log Inspection được bật.
Trong mục Predefined rules, hãy bật hoặc tắt các quy tắc định trước bằng cách sử dụng các nút bật/tắt:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
Nếu cần, hãy cấu hình quy tắc There are patterns of a possible brute-force attack in the system:
1. Nhấn vào Settings bên dưới quy tắc.
2. Trong cửa sổ mở ra, hãy chỉ định số lần thử và khoảng thời gian phải thực hiện thao tác nhập mật khẩu để quy tắc được kích hoạt.
3. Nhấn vào OK.
Nếu đã chọn There is an atypical activity detected during a network logon session, bạn cần cấu hình thiết lập của nó:
1. Nhấn vào Settings bên dưới quy tắc.
2. Trong mục Network logon detection, hãy chỉ định thời điểm bắt đầu và kết thúc khoảng thời gian.
  Kaspersky Endpoint Security sẽ coi các nỗ lực đăng nhập được thực hiện trong khoảng thời gian được xác định là hoạt động bất thường.
  
  Theo mặc định, khoảng thời gian không được đặt và ứng dụng không giám sát các lượt thử đăng nhập. Để ứng dụng liên tục theo dõi các lượt thử đăng nhập, hãy đặt khoảng thời gian từ 00 giờ 00 – 23 giờ 59. Thời điểm bắt đầu và kết thúc khoảng thời gian không được trùng nhau. Nếu trùng nhau, ứng dụng sẽ không giám sát các lần đăng nhập.
3. Trong mục Exclusions, hãy thêm người dùng được tin tưởng và địa chỉ IP được tin tưởng (IPv4 và IPv6).
  Kaspersky Endpoint Security không giám sát các nỗ lực đăng nhập của những người dùng và máy tính này.
4. Nhấn vào OK.
Lưu các thay đổi của bạn.

Cách cấu hình quy tắc định trước trong giao diện ứng dụng.

Trong cửa sổ chính của ứng dụng, hãy nhấn nút .
Trong cửa sổ thiết lập ứng dụng, hãy chọn Kiểm soát bảo mật → Kiểm tra nhật ký.
Đảm bảo rằng công tắc bật/tắt Kiểm tra nhật ký được bật.
Trong mục Quy tắc định trước, hãy nhấn nút Cấu hình.
Chọn hoặc bỏ chọn các hộp kiểm để cấu hình quy tắc định trước:
- Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống.
- Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng.
- Có những biểu hiện về khả năng xảy ra việc lạm dụng Nhật ký sự kiện của Windows.
- Đã phát hiện các hành động không điển hình thay cho một dịch vụ được cài đặt.
- Đã phát hiện hoạt động đăng nhập không điển hình, sử dụng thông tin đăng nhập hiện rõ.
- Có những biểu hiện của một cuộc tấn công Kerberos forged PAC (MS14-068) có thể xảy ra trong hệ thống.
1. Đã phát hiện các thay đổi đáng ngờ trong nhóm Quản trị viên đặc quyền tích hợp.
Nếu cần, hãy cấu hình quy tắc Có những biểu hiện của một tấn công vét cạn có thể xảy ra trong hệ thống:
1. Nhấn vào Thiết lập bên dưới quy tắc.
2. Trong cửa sổ mở ra, hãy chỉ định số lần thử và khoảng thời gian phải thực hiện thao tác nhập mật khẩu để quy tắc được kích hoạt.
Nếu đã chọn Đã phát hiện một hoạt động không điển hình trong một phiên đăng nhập mạng, bạn cần cấu hình thiết lập của nó:
1. Nhấn vào Thiết lập bên dưới quy tắc.
2. Trong mục Phát hiện đăng nhập mạng, hãy chỉ định thời điểm bắt đầu và kết thúc khoảng thời gian.
  Kaspersky Endpoint Security sẽ coi các nỗ lực đăng nhập được thực hiện trong khoảng thời gian được xác định là hoạt động bất thường.
  
  Theo mặc định, khoảng thời gian không được đặt và ứng dụng không giám sát các lượt thử đăng nhập. Để ứng dụng liên tục theo dõi các lượt thử đăng nhập, hãy đặt khoảng thời gian từ 00 giờ 00 – 23 giờ 59. Thời điểm bắt đầu và kết thúc khoảng thời gian không được trùng nhau. Nếu trùng nhau, ứng dụng sẽ không giám sát các lần đăng nhập.
3. Trong mục Loại trừ, hãy thêm người dùng được tin tưởng và địa chỉ IP được tin tưởng (IPv4 và IPv6).
  Kaspersky Endpoint Security không giám sát các nỗ lực đăng nhập của những người dùng và máy tính này.
Lưu các thay đổi của bạn.

Kết quả là khi quy tắc kích hoạt, Kaspersky Endpoint Security sẽ tạo sự kiện Nghiêm trọng.

Về đầu trang