As regras predefinidas incluem modelos de atividades anormais no computador protegido. Atividades anormais podem significar uma tentativa de ataque. As regras predefinidas são alimentadas por análise heurística. Sete regras predefinidas estão disponíveis para Inspeção de Log. É possível ativar ou desativar essas regras. As regras predefinidas não podem ser excluídas.
É possível configurar os critérios de acionamento de regras que monitoram eventos para as seguintes operações:
Abra o Console de Administração do Kaspersky Security Center.
Na pasta Dispositivos gerenciados da árvore do Console de Administração, abra a pasta com o nome do grupo de administração ao qual pertencem os respectivos computadores clientes.
No espaço de trabalho, selecione a guia Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Inspeção de log.
Certifique-se de que a caixa de seleção Inspeção de log esteja marcada.
No bloco Regras predefinidas, clique no botão Configurações.
Marque ou desmarque as caixas de seleção para configurar as regras predefinidas:
Há padrões de um possível ataque de força bruta no sistema.
Há uma atividade atípica detectada durante uma sessão de logon na rede.
Há padrões de um possível abuso do log de eventos do Windows.
Ações atípicas detectadas em nome de um novo serviço instalado.
Detectado logon atípico que usa credenciais explícitas.
Há padrões de um possível ataque de PAC forjado do Kerberos (MS14-068) no sistema.
lterações suspeitas detectadas no grupo de administradores integrado privilegiado.
Caso seja necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
Clique no botão Configurações abaixo da regra.
Na janela aberta, especifique o número de tentativas e um período dentro do qual as tentativas de inserir uma senha devem ser executadas para que a regra seja acionada.
Clique em ОК.
Se tiver selecionado a regra Há uma atividade atípica detectada durante uma sessão de logon na rede, será preciso definir suas configurações:
Clique no botão Configurações abaixo da regra.
No bloco Detecção de logon na rede, especifique o início e o fim do intervalo de tempo.
O Kaspersky Endpoint Security considera as tentativas de logon realizadas durante o intervalo definido como atividade anormal.
Como padrão, o intervalo não é definido e o aplicativo não monitora tentativas de logon. Para que o aplicativo monitore, de forma contínua, tentativas de logon, defina o intervalo entre 12:00 AM e 11:59 PM. O início e o término do intervalo não deverão coincidir. Se forem os mesmos, o aplicativo não vai monitorar as tentativas de logon.
Crie a lista de usuários confiáveis e endereços IP confiáveis (IPv4 e IPv6).
O Kaspersky Endpoint Security não monitora as tentativas de logon desses usuários e computadores.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Inspeção de log.
Certifique-se de que o botão de alternância Inspeção de log esteja ligado.
No bloco Regras predefinidas, ative ou desative as regras predefinidas usando os botões de alternância:
Há padrões de um possível ataque de força bruta no sistema.
Há uma atividade atípica detectada durante uma sessão de logon na rede.
Há padrões de um possível abuso de log de eventos do Windows.
Ações atípicas detectadas em nome de um novo serviço instalado.
Detectado logon atípico que usa credenciais explícitas.
Há padrões de um possível ataque de PAC forjado do Kerberos (MS14-068) no sistema.
lterações suspeitas detectadas no grupo de administradores integrado privilegiado.
Caso seja necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
Clique em Configurações sob a regra.
Na janela aberta, especifique o número de tentativas e um período dentro do qual as tentativas de inserir uma senha devem ser executadas para que a regra seja acionada.
Clique em ОК.
Se tiver selecionado a regra Há uma atividade atípica detectada durante uma sessão de logon na rede, será preciso definir suas configurações:
Clique em Configurações sob a regra.
No bloco Detecção de logon na rede, especifique o início e o fim do intervalo de tempo.
O Kaspersky Endpoint Security considera as tentativas de logon realizadas durante o intervalo definido como atividade anormal.
Como padrão, o intervalo não é definido e o aplicativo não monitora tentativas de logon. Para que o aplicativo monitore, de forma contínua, tentativas de logon, defina o intervalo entre 12:00 AM e 11:59 PM. O início e o término do intervalo não deverão coincidir. Se forem os mesmos, o aplicativo não vai monitorar as tentativas de logon.
No bloco Exclusões, adicione usuários confiáveis e endereços IP confiáveis (IPv4 e IPv6).
O Kaspersky Endpoint Security não monitora as tentativas de logon desses usuários e computadores.
Na janela principal do aplicativo, clique no botão .
Na janela de configurações do aplicativo, selecione Controles de Segurança → Inspeção de log.
Certifique-se de que o botão de alternância Inspeção de log esteja ligado.
No bloco Regras predefinidas, clique no botão Configurar.
Marque ou desmarque as caixas de seleção para configurar as regras predefinidas:
Há padrões de um possível ataque de força bruta no sistema.
Há uma atividade atípica detectada durante uma sessão de logon na rede.
Há padrões de um possível abuso de log de eventos do Windows.
Ações atípicas detectadas em nome de um novo serviço instalado.
Detectado logon atípico que usa credenciais explícitas.
Há padrões de um possível ataque de PAC forjado do Kerberos (MS14-068) no sistema.
Alterações suspeitas detectadas no grupo de administradores integrado privilegiado.
Caso seja necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
Clique em Configurações sob a regra.
Na janela aberta, especifique o número de tentativas e um período dentro do qual as tentativas de inserir uma senha devem ser executadas para que a regra seja acionada.
Se tiver selecionado a regra Há uma atividade atípica detectada durante uma sessão de logon na rede, será preciso definir suas configurações:
Clique em Configurações sob a regra.
No bloco Detecção de logon de rede, especifique o início e o fim do intervalo de tempo.
O Kaspersky Endpoint Security considera as tentativas de logon realizadas durante o intervalo definido como atividade anormal.
Como padrão, o intervalo não é definido e o aplicativo não monitora tentativas de logon. Para que o aplicativo monitore, de forma contínua, tentativas de logon, defina o intervalo entre 12:00 AM e 11:59 PM. O início e o término do intervalo não deverão coincidir. Se forem os mesmos, o aplicativo não vai monitorar as tentativas de logon.
No bloco Exclusões, adicione usuários confiáveis e endereços IP confiáveis (IPv4 e IPv6).
O Kaspersky Endpoint Security não monitora as tentativas de logon desses usuários e computadores.
Salvar alterações.
Assim, quando a regra é acionada, o Kaspersky Endpoint Security cria o evento Crítico.