Önceden tanımlanmış kuralları yapılandırma

Önceden tanımlanmış kurallar, korunan bilgisayardaki anormal etkinlik şablonlarını içerir. Anormal etkinlik, saldırı girişimi anlamına gelebilir. Önceden tanımlanmış kurallar, sezgisel analiz tarafından desteklenir. Günlük Denetimi için önceden tanımlanmış yedi kural mevcuttur. Bu kuralların herhangi birini etkinleştirebilir veya devre dışı bırakabilirsiniz. Önceden tanımlanmış kurallar silinemez.

Aşağıdaki işlemler için olayları izleyen kurallar için tetikleme kriterlerini yapılandırabilirsiniz:

Parola deneme yanılma sldırısı algılama
Ağ oturum açma algılama

Yönetim Konsolu'nda (MMC) önceden tanımlanmış kuralları yapılandırma

Kaspersky Security Center Yönetim Konsolu'nu açın.
Konsol ağacında İlkeler'i seçin.
Gereken ilkeyi seçin ve ilke özellikleri penceresini açmak için çift tıklayın.
İlke penceresinden Güvenlik Denetimleri → Günlük Denetimi seçimini yapın.
Günlük Denetimi onay kutusunun seçili olduğundan emin olun.
Önceden tanımlanmış kurallar bloğunda Ayarlar düğmesine tıklayın.
Önceden tanımlanmış kuralları yapılandırmak için onay kutularını seçin veya temizleyin:
- Sistemde olası bir deneme yanılma saldırısının izleri var.
- Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var.
- Olası bir Windows Olay Günlüğü kötüye kullanımının izleri var.
- Yüklenen yeni bir hizmet adına alışılmadık eylemler tespit edildi.
- Açık kimlik bilgileri kullanan alışılmadık oturum açma algılandı.
- Sistemde olası bir Kerberos sahte PAC (MS14-068) saldırısının izleri var.
- Ayrıcalıklı yerleşik Yöneticiler grubunda şüpheli değişiklikler tespit edildi.
Gerekirse Sistemde olası bir deneme yanılma saldırısının izleri var kuralını yapılandırın:
1. Kuralın altında bulunan Ayarlar düğmesine tıklayın.
2. Açılan pencerede, kuralın tetiklenmesi için parola girme denemelerinin gerçekleştirilmesi gereken deneme sayısını ve süreyi belirtin.
3. Tamam’a tıklayın.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var kuralını seçmeniz durumunda ayarlarını yapılandırmanız gerekir:
1. Kuralın altında bulunan Ayarlar düğmesine tıklayın.
2. Ağ oturum açma tespiti bloğunda, zaman aralığının başlangıcını ve bitişini belirtin.
  Kaspersky Endpoint Security, tanımlanan aralıkta gerçekleştirilen oturum açma girişimlerini olağandışı etkinlik olarak değerlendirir.
  
  Aralık varsayılan olarak ayarlanmamıştır ve uygulama oturum açma girişimlerini izlemez. Uygulamanın oturum açma girişimlerini sürekli olarak izlemesi için aralığı 00:00 - 23:59 olarak ayarlayın. Aralığın başlangıcı ve bitişi çakışmamalıdır. Bunlar aynı ise uygulama oturum açma girişimlerini izlemez.
3. Güvenilir kullanıcılar ve güvenilir IP adreslerinin (IPv4 ve IPv6) listesini oluşturun.
  Kaspersky Endpoint Security, bu kullanıcılar ve bilgisayarlar için oturum açma girişimlerini izlemez.
4. Tamam’a tıklayın.
Değişikliklerinizi kaydedin.

Web Console'da ve Cloud Console'da önceden tanımlanmış kuralları yapılandırma

Web Console'un ana penceresinde Cihazlar → İlkeler ve Profiller'i seçin.
Kaspersky Endpoint Security ilkesinin adına tıklayın.
İlke özellikleri penceresi açılır.
Uygulama ayarları sekmesini seçin.
Güvenlik Denetimleri → Günlük Denetimi’ne gidin.
Günlük Denetimi onay kutusunun açık durumda olduğundan emin olun.
Önceden tanımlanmış kurallar bloğunda, geçişleri kullanarak önceden tanımlanmış kuralları etkinleştirin veya devre dışı bırakın:
- Sistemde olası bir deneme yanılma saldırısının izleri var.
- Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var.
- Olası bir Windows Olay Günlüğü kötüye kullanımının izleri var.
- Yüklenen yeni bir hizmet adına alışılmadık eylemler tespit edildi.
- Açık kimlik bilgileri kullanan alışılmadık oturum açma algılandı.
- Sistemde olası bir Kerberos sahte PAC (MS14-068) saldırısının izleri var.
1. Ayrıcalıklı yerleşik Yöneticiler grubunda şüpheli değişiklikler tespit edildi.
Gerekirse Sistemde olası bir deneme yanılma saldırısının izleri var kuralını yapılandırın:
1. Kuralın altında Ayarlar'a tıklayın.
2. Açılan pencerede, kuralın tetiklenmesi için parola girme denemelerinin gerçekleştirilmesi gereken deneme sayısını ve süreyi belirtin.
3. Tamam’a tıklayın.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var kuralını seçmeniz durumunda ayarlarını yapılandırmanız gerekir:
1. Kuralın altında Ayarlar'a tıklayın.
2. Ağ oturum açma tespiti bloğunda, zaman aralığının başlangıcını ve bitişini belirtin.
  Kaspersky Endpoint Security, tanımlanan aralıkta gerçekleştirilen oturum açma girişimlerini olağandışı etkinlik olarak değerlendirir.
  
  Aralık varsayılan olarak ayarlanmamıştır ve uygulama oturum açma girişimlerini izlemez. Uygulamanın oturum açma girişimlerini sürekli olarak izlemesi için aralığı 00:00 - 23:59 olarak ayarlayın. Aralığın başlangıcı ve bitişi çakışmamalıdır. Bunlar aynı ise uygulama oturum açma girişimlerini izlemez.
3. İstisnalar bloğundan güvenilir kullanıcılar ve güvenilir IP adresleri (IPv4 ve IPv6) ekleyin.
  Kaspersky Endpoint Security, bu kullanıcılar ve bilgisayarlar için oturum açma girişimlerini izlemez.
4. Tamam’a tıklayın.
Değişikliklerinizi kaydedin.

Uygulama arabiriminde önceden tanımlanmış kuralları yapılandırma

Ana uygulama penceresinde düğmesine tıklayın.
Uygulama ayarları penceresinden Güvenlik Denetimleri → Günlük Denetimi'ni seçin.
Günlük Denetimi onay kutusunun açık durumda olduğundan emin olun.
Önceden tanımlanmış kurallar bloğunda Yapılandır düğmesine tıklayın.
Önceden tanımlanmış kuralları yapılandırmak için onay kutularını seçin veya temizleyin:
- Sistemde olası bir deneme yanılma saldırısının izleri var.
- Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var.
- Olası bir Windows Olay Günlüğü kötüye kullanımının izleri var.
- Yüklenen yeni bir hizmet adına alışılmadık eylemler tespit edildi.
- Açık kimlik bilgileri kullanan alışılmadık oturum açma algılandı.
- Sistemde olası bir Kerberos sahte PAC (MS14-068) saldırısının izleri var.
1. Ayrıcalıklı yerleşik Yöneticiler grubunda şüpheli değişiklikler tespit edildi.
Gerekirse Sistemde olası bir deneme yanılma saldırısının izleri var kuralını yapılandırın:
1. Kuralın altında Ayarlar'a tıklayın.
2. Açılan pencerede, kuralın tetiklenmesi için parola girme denemelerinin gerçekleştirilmesi gereken deneme sayısını ve süreyi belirtin.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var kuralını seçmeniz durumunda ayarlarını yapılandırmanız gerekir:
1. Kuralın altında Ayarlar'a tıklayın.
2. Ağ oturum açma tespiti bloğunda, zaman aralığının başlangıcını ve bitişini belirtin.
  Kaspersky Endpoint Security, tanımlanan aralıkta gerçekleştirilen oturum açma girişimlerini olağandışı etkinlik olarak değerlendirir.
  
  Aralık varsayılan olarak ayarlanmamıştır ve uygulama oturum açma girişimlerini izlemez. Uygulamanın oturum açma girişimlerini sürekli olarak izlemesi için aralığı 00:00 - 23:59 olarak ayarlayın. Aralığın başlangıcı ve bitişi çakışmamalıdır. Bunlar aynı ise uygulama oturum açma girişimlerini izlemez.
3. İstisnalar bloğundan güvenilir kullanıcılar ve güvenilir IP adresleri (IPv4 ve IPv6) ekleyin.
  Kaspersky Endpoint Security, bu kullanıcılar ve bilgisayarlar için oturum açma girişimlerini izlemez.
Değişikliklerinizi kaydedin.

Sonuç olarak, kural tetiklendiğinde Kaspersky Endpoint Security, Kritik olay oluşturur.

Sayfanın başına git