Вы можете задать собственные критерии срабатывания правила Анализа журналов. Для этого вам нужно ввести идентификатор события и выбрать источник событий. Вы можете узнать идентификатор события на сайте Службы технической поддержки Microsoft. Для выбора источника событий доступны стандартные журналы: Application, Security или System. Также вы можете указать журнал стороннего приложения. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Приложение не выполняет проверок на фактическое наличие заданного журнала в журнале событий Windows. Если название журнала введено с ошибкой, приложение не будет контролировать события из этого журнала.
В список пользовательских правил уже добавлено три правила, которые созданы специалистами "Лаборатории Касперского".
В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
В рабочей области выберите закладку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Контроль безопасности → Анализ журналов.
Убедитесь, что флажок Анализ журналов установлен.
В блоке Пользовательские правила нажмите на кнопку Настройка.
В открывшемся окне установите флажки напротив тех пользовательских правил, которые вы хотите включить.
Если требуется, создайте собственные пользовательские правила по кнопке Добавить.
В открывшемся окне настройте параметры пользовательского правила:
Имя правила.
Имя журнала. Журналы событий Windows. Доступны следующие журналы: Application, Security, System.
Источник. Журналы событий сторонних приложений. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Идентификаторы событий. Идентификаторы событий в журнале событий Windows. Вы можете узнать идентификатор события в справке Microsoft.
В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Контроль безопасности → Анализ журналов.
Убедитесь, что переключатель Анализ журналов включен.
В блоке Пользовательские правила выберите пользовательские правила, которые вы хотите включить.
Если требуется, создайте собственные пользовательские правила по кнопке Добавить.
В открывшемся окне настройте параметры пользовательского правила:
Название правила.
Имя журнала событий Windows. Журналы событий Windows. Доступны следующие журналы: Application, Security, System.
Источник. Журналы событий сторонних приложений. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Идентификатор журнала событий Windows. Идентификаторы событий в журнале событий Windows. Вы можете узнать идентификатор события в справке Microsoft.
В окне параметров приложения выберите раздел Контроль безопасности → Анализ журналов.
Убедитесь, что переключатель Анализ журналов включен.
В блоке Пользовательские правила нажмите на кнопку Настроить.
В открывшемся окне установите флажки напротив тех пользовательских правил, которые вы хотите включить.
Если требуется, создайте собственные пользовательские правила по кнопке Добавить.
В открывшемся окне настройте параметры пользовательского правила:
Название правила.
Имя журнала. Журналы событий Windows. Доступны следующие журналы: Application, Security, System.
Источник. Журналы событий сторонних приложений. Название журнала стороннего приложения вы можете узнать с помощью инструмента Просмотр событий. Журналы сторонних приложений расположены в папке Журналы приложений и служб (например, журнал Windows PowerShell).
Идентификатор событий. Идентификаторы событий в журнале событий Windows. Вы можете узнать идентификатор события в справке Microsoft.
Сохраните внесенные изменения.
В результате Kaspersky Endpoint Security при срабатывании правила будет создавать события со статусом Критическое.