Vous pouvez définir vos propres critères de déclenchement de règle d'inspection des journaux. Pour ce faire, vous devez entrer un ID d'événement et sélectionner une source d'événement. Vous pouvez rechercher l'ID d'événement sur le site du Support Technique de Microsoft. Vous pouvez sélectionner une source d'événement parmi les journaux standards : Application, Security et System. Vous pouvez également spécifier le journal d'une application tierce. Vous pouvez connaître le nom du journal des applications tierces à l'aide de l'outil Observateur d'événements. Les journaux des applications tierces sont conservés dans le dossier Journaux des applications et des services (par exemple, le journal Windows PowerShell).
L'application ne vérifie pas si le journal spécifié est bien présent dans le journal d'événements Windows. S'il y a une erreur dans le nom du journal, l'application ne surveille pas les événements de ce journal.
La liste des règles personnalisées comprend déjà trois règles créées par les experts de Kaspersky.
Ouvrez la Console d'administration de Kaspersky Security Center.
Dans le dossier Appareils administrés de l'arborescence de la Console d'administration, ouvrez le dossier portant le nom du groupe d'administration dont font partie les postes clients requis.
Dans la zone de travail, ouvrez l'onglet Stratégies.
Sélectionnez la stratégie requise et ouvrez les propriétés de la stratégie d'un double-clic.
Dans la fenêtre de la stratégie, sélectionnez Contrôles de sécurité → Inspection des journaux.
Assurez-vous que la case Inspection des journaux est cochée.
Cliquez sur le bouton Paramètres dans le groupe Règles personnalisées.
Dans la fenêtre qui s'ouvre, cochez les cases à côté des règles personnalisées que vous souhaitez activer.
Si nécessaire, cliquez Ajouter pour créer vos propres règles personnalisées.
Cela ouvre une fenêtre ; dans cette fenêtre, configurez la règle personnalisée :
Nom de la règle.
Nom du journal ; Journaux d'événements Windows. Les journaux suivants sont disponibles : Application, Security, System.
Source ; Journaux d'application tiers. Vous pouvez connaître le nom du journal des applications tierces à l'aide de l'outil Observateur d'événements. Les journaux des applications tierces sont conservés dans le dossier Journaux des applications et des services (par exemple, le journal Windows PowerShell).
Identificateurs des événements ; IDs d'événement dans le journal d'événements Windows. Vous pouvez rechercher l'ID d'événement dans la documentation technique de Microsoft.
Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
Choisissez l'onglet Paramètres des applications.
Passez à la section Contrôles de sécurité → Inspection des journaux.
Assurez-vous que l'interrupteur Inspection des journaux est activé.
Dans le groupe Règles personnalisées, sélectionnez les règles personnalisées que vous souhaitez activer.
Si nécessaire, cliquez Ajouter pour créer vos propres règles personnalisées.
Cela ouvre une fenêtre ; dans cette fenêtre, configurez la règle personnalisée :
Nom de la règle.
Nom du journal d'événements Windows ; Journaux d'événements Windows. Les journaux suivants sont disponibles : Application, Security, System.
Source ; Journaux d'application tiers. Vous pouvez connaître le nom du journal des applications tierces à l'aide de l'outil Observateur d'événements. Les journaux des applications tierces sont conservés dans le dossier Journaux des applications et des services (par exemple, le journal Windows PowerShell).
Identificateur du journal des événements Windows ; IDs d'événement dans le journal d'événements Windows. Vous pouvez rechercher l'ID d'événement dans la documentation technique de Microsoft.
Dans la fenêtre principale de l'application, cliquez sur le bouton .
Dans la fenêtre des paramètres de l'application, sélectionnez Contrôles de sécurité → Inspection des journaux.
Assurez-vous que l'interrupteur Inspection des journaux est activé.
Cliquez sur le bouton Configurer dans le groupe Règles personnalisées.
Dans la fenêtre qui s'ouvre, cochez les cases à côté des règles personnalisées que vous souhaitez activer.
Si nécessaire, cliquez Ajouter pour créer vos propres règles personnalisées.
Cela ouvre une fenêtre ; dans cette fenêtre, configurez la règle personnalisée :
Nom de la règle.
Nom du journal ; Journaux d'événements Windows. Les journaux suivants sont disponibles : Application, Security, System.
Source ; Journaux d'application tiers. Vous pouvez connaître le nom du journal des applications tierces à l'aide de l'outil Observateur d'événements. Les journaux des applications tierces sont conservés dans le dossier Journaux des applications et des services (par exemple, le journal Windows PowerShell).
Identificateur des événements ; IDs d'événement dans le journal d'événements Windows. Vous pouvez rechercher l'ID d'événement dans la documentation technique de Microsoft.
Enregistrez vos modifications.
Par conséquent, lorsque la règle se déclenche, Kaspersky Endpoint Security crée un événement Critique.