تتضمن القواعد المحددة مسبقًا قوالب للنشاط غير الطبيعي على الكمبيوتر المحمي. ويمكن أن يشير النشاط غير الطبيعي إلى محاولة هجوم. ويتم تشغيل القواعد المحددة مسبقًا من خلال التحليل المساعد على الاكتشاف. تتوفر سبع قواعد محددة مسبقًا لفحص السجل. ويمكنك تمكين أو تعطيل هذه القواعد. ولا يمكن حذف القواعد المحددة مسبقًا.
يمكنك تكوين معايير بدء تشغيل القواعد التي تراقب الأحداث للعمليات التالية:
افتح Kaspersky Security Center Administration Console.
في شجرة وحدة التحكم، حدد السياسات.
حدد السياسة اللازمة وانقر نقرًا مزدوجًا لفتح خصائص السياسة.
في نافذة السياسة، حدد ضوابط الأمان ← فحص السجل.
تأكد من تحديد خانة الاختيار فحص السجل.
في القسم القواعد المحددة مسبقًا، انقر على الزر الإعدادات.
حدد خانات الاختيار أو امسحها لتكوين القواعد المحددة مسبقًا:
توجد أنماط لهجوم محتمل باستخدام فك الشفرة في النظام.
يوجد نشاط غير نمطي تم اكتشافه أثناء جلسة عمل تسجيل الدخول إلى الشبكة.
توجد أنماط لإساءة استخدام محتملة لسجل أحداث Windows.
تم اكتشاف إجراءات غير نمطية نيابة عن خدمة جديدة مثبتة.
تم اكتشاف تسجيل دخول غير نمطي يستخدم بيانات اعتماد صريحة.
توجد أنماط لهجوم Kerberos forged PAC (MS14-068) محتمل في النظام.
تم اكتشاف تغييرات مريبة في مجموعة المسؤولين المضمنة ذات الامتيازات.
إذا لزم الأمر، قم بتكوين القاعدة توجد أنماط لهجوم محتمل باستخدام فك الشفرة في النظام:
انقر فوق الزر الإعدادات تحت القاعدة.
في النافذة التي تفتح، حدد عدد المحاولات والفترة الزمنية التي يجب خلالها تنفيذ محاولات إدخال كلمة المرور حتى يتم تشغيل القاعدة.
انقر فوق موافق.
إذا حددت القاعدة يوجد نشاط غير نمطي تم اكتشافه أثناء جلسة عمل تسجيل الدخول إلى الشبكة، تحتاج إلى تكوين إعداداتها:
انقر فوق الزر الإعدادات تحت القاعدة.
في القسم اكتشاف تسجيل الدخول إلى الشبكة، حدد بداية الفاصل الزمني ونهايته.
يعتبر Kaspersky Endpoint Security محاولات تسجيل الدخول التي يتم إجراؤها خلال هذا الفاصل الزمني المحدد نشاطًا غير طبيعي.
بشكل افتراضي، لا يتم تعيين الفاصل الزمني ولا يراقب التطبيق محاولات تسجيل الدخول. ولكي يراقب التطبيق محاولات تسجيل الدخول بشكل مستمر، قم بتعيين الفاصل الزمني إلى 12:00 صباحًا – 11:59 مساءً. ويجب ألا تتطابق بداية الفاصل الزمني مع نهايته. وإذا كانت متطابقين، لا يراقب التطبيق محاولات تسجيل الدخول.
أنشئ قائمة بالمستخدمين الموثوق بهم وعناوين IP الموثوقة (IPv4 وIPv6).
لا يراقب Kaspersky Endpoint Security محاولات تسجيل الدخول لهؤلاء المستخدمين وأجهزة الكمبيوتر.
في النافذة الرئيسية لـ Web Console، حدد Devices ← Policies & Profiles.
انقر فوق اسم سياسة Kaspersky Endpoint Security.
فتح نافذة خصائص السياسة.
حدد علامة التبويب Application settings.
انتقل إلى Security Controls ← Log Inspection.
تأكد أن مفتاح التبديل Log Inspection قيد التشغيل.
في القسم Predefined rules قم بتمكين او تعطيل القواعد المحددة مسبقًا باستخدام مفاتيح التبديل:
There are patterns of a possible brute-force attack in the system.
There is an atypical activity detected during a network logon session.
There are patterns of a possible Windows Event Log abuse.
Atypical actions detected on behalf of a new service installed.
Atypical logon that uses explicit credentials detected.
There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
Suspicious changes detected in the privileged built-in Administrators group.
إذا لزم الأمر، قم بتكوين القاعدة There are patterns of a possible brute-force attack in the system:
انقر فوق Settings تحت القاعدة.
في النافذة التي تفتح، حدد عدد المحاولات والفترة الزمنية التي يجب خلالها تنفيذ محاولات إدخال كلمة المرور حتى يتم تشغيل القاعدة.
انقر على OK.
إذا حددت القاعدة There is an atypical activity detected during a network logon session، تحتاج إلى تكوين إعداداتها:
انقر فوق Settings تحت القاعدة.
في القسم Network logon detection، حدد بداية الفاصل الزمني ونهايته.
يعتبر Kaspersky Endpoint Security محاولات تسجيل الدخول التي يتم إجراؤها خلال هذا الفاصل الزمني المحدد نشاطًا غير طبيعي.
بشكل افتراضي، لا يتم تعيين الفاصل الزمني ولا يراقب التطبيق محاولات تسجيل الدخول. ولكي يراقب التطبيق محاولات تسجيل الدخول بشكل مستمر، قم بتعيين الفاصل الزمني إلى 12:00 صباحًا – 11:59 مساءً. ويجب ألا تتطابق بداية الفاصل الزمني مع نهايته. وإذا كانت متطابقين، لا يراقب التطبيق محاولات تسجيل الدخول.
في القسم Exclusions أضف مستخدمين موثوقين وعناوين IP موثوقة (IPv4 وIPv6).
لا يراقب Kaspersky Endpoint Security محاولات تسجيل الدخول لهؤلاء المستخدمين وأجهزة الكمبيوتر.
في نافذة إعدادات التطبيق، اختر ضوابط الأمان ← فحص السجل.
تأكد أن مفتاح التبديل فحص السجل قيد التشغيل.
في القسم القواعد المحددة مسبقًا، انقر على الزر تكوين.
حدد خانات الاختيار أو امسحها لتكوين القواعد المحددة مسبقًا:
توجد أنماط لهجوم محتمل باستخدام فك الشفرة في النظام.
يوجد نشاط غير نمطي تم اكتشافه أثناء جلسة عمل تسجيل الدخول إلى الشبكة.
توجد أنماط لإساءة استخدام محتملة لسجل أحداث Windows.
تم اكتشاف إجراءات غير نمطية نيابة عن خدمة جديدة مثبتة.
تم اكتشاف تسجيل دخول غير نمطي يستخدم بيانات اعتماد صريحة.
توجد أنماط لهجوم Kerberos forged PAC (MS14-068) محتمل في النظام.
تم اكتشاف تغييرات مريبة في مجموعة المسؤولين المضمنة ذات الامتيازات.
إذا لزم الأمر، قم بتكوين القاعدة توجد أنماط لهجوم محتمل باستخدام فك الشفرة في النظام:
انقر فوق الإعدادات تحت القاعدة.
في النافذة التي تفتح، حدد عدد المحاولات والفترة الزمنية التي يجب خلالها تنفيذ محاولات إدخال كلمة المرور حتى يتم تشغيل القاعدة.
إذا حددت القاعدة يوجد نشاط غير نمطي تم اكتشافه أثناء جلسة عمل تسجيل الدخول إلى الشبكة، تحتاج إلى تكوين إعداداتها:
انقر فوق الإعدادات تحت القاعدة.
في القسم اكتشاف تسجيل الدخول إلى الشبكة، حدد بداية الفاصل الزمني ونهايته.
يعتبر Kaspersky Endpoint Security محاولات تسجيل الدخول التي يتم إجراؤها خلال هذا الفاصل الزمني المحدد نشاطًا غير طبيعي.
بشكل افتراضي، لا يتم تعيين الفاصل الزمني ولا يراقب التطبيق محاولات تسجيل الدخول. ولكي يراقب التطبيق محاولات تسجيل الدخول بشكل مستمر، قم بتعيين الفاصل الزمني إلى 12:00 صباحًا – 11:59 مساءً. ويجب ألا تتطابق بداية الفاصل الزمني مع نهايته. وإذا كانت متطابقين، لا يراقب التطبيق محاولات تسجيل الدخول.
في القسم الاستثناءات أضف مستخدمين موثوقين وعناوين IP موثوقة (IPv4 وIPv6).
لا يراقب Kaspersky Endpoint Security محاولات تسجيل الدخول لهؤلاء المستخدمين وأجهزة الكمبيوتر.
احفظ تغييراتك.
نتيجة لذلك، عند تشغيل القاعدة، ينشئ Kaspersky Endpoint Security حدث Critical.