Las reglas predefinidas incluyen plantillas para la actividad anormal en el equipo protegido. La actividad anormal puede significar un intento de ataque. Las reglas predefinidas recibe alimentación del análisis heurístico. Hay siete reglas predefinidas disponibles para la Inspección de registros. Puede activar o desactivar cualquiera de estas reglas. Las reglas predefinidas no se pueden eliminar.
Puede configurar los criterios de activación para las reglas que supervisan eventos para las siguientes operaciones:
Detección de ataque de fuerza bruta en contraseñas
Abra la Consola de administración de Kaspersky Security Center.
En el árbol de la consola, seleccione Directivas.
Seleccione la directiva necesaria y haga doble clic para abrir las propiedades de la directiva.
En la ventana de la directiva, seleccione Controles de seguridad → Inspección de registros.
Asegúrese de que la casilla de verificación Inspección de registros esté seleccionada.
En el bloque Reglas predefinidas, haga clic en el botón Configuración.
Seleccione o desactive las casillas de verificación para configurar reglas predefinidas:
Hay patrones de un posible ataque de fuerza bruta en el sistema.
Se ha detectado una actividad atípica durante una sesión de inicio de sesión de red.
Hay patrones de un posible abuso del Registro de eventos de Windows.
Se han detectado acciones atípicas en nombre de un nuevo servicio instalado.
Se ha detectado un inicio de sesión atípico que usa credenciales explícitas.
Hay patrones de un posible ataque de PAC de Kerberos (MS14-068) en el sistema.
Se han detectado cambios sospechosos en el grupo de administradores integrado con privilegios.
Si es necesario, configure la regla: Hay patrones de un posible ataque de fuerza bruta en el sistema:
Haga clic en el botón Configuración debajo de la regla.
En la ventana que se abre, especifique el número de intentos y el plazo temporal durante el cual se deben realizar los intentos de introducir una contraseña para que la regla se active.
Haga clic en Aceptar.
Si ha seleccionado la regla Se ha detectado una actividad atípica durante una sesión de inicio de sesión de red, necesita configurar sus ajustes:
Haga clic en el botón Configuración debajo de la regla.
En el bloque Detección de inicio de sesión de red, especifique el inicio y el final del intervalo temporal.
Kaspersky Endpoint Security tiene en cuenta los intentos de inicio de sesión realizados durante el intervalo definido como actividad anormal.
De forma predeterminada, el intervalo no se define y la aplicación no supervisa los intentos de inicio de sesión. Para que la aplicación supervise continuamente los intentos de inicio de sesión, defina el intervalo en 00:00 h - 23:59 h. El inicio y el final del intervalo no deben coincidir. Si son iguales, la aplicación no supervisa los intentos de inicio de sesión.
Cree la lista de usuarios de confianza y direcciones IP de confianza (IPv4 e IPv6).
Puede seleccionar usuarios en Active Directory, en la lista de cuentas de Kaspersky Security Center o al introducir un nombre de usuario local de forma manual. Kaspersky recomienda utilizar cuentas de usuario locales solo en casos especiales cuando no es posible utilizar cuentas de usuario de dominio. Kaspersky Endpoint Security no supervisa los intentos de inicio de sesión para estos usuarios y equipos.
En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
Seleccione la ficha Configuración de la aplicación.
Vaya a Controles de seguridad → Inspección de registros.
Asegúrese de que el interruptor Inspección de registros esté activado.
En el bloque Reglas predefinidas, active o desactive las reglas predefinidas mediante los interruptores:
Hay patrones de un posible ataque de fuerza bruta en el sistema.
Se ha detectado una actividad atípica durante una sesión de inicio de sesión de red.
Hay patrones de un posible abuso del Registro de eventos de Windows.
Se han detectado acciones atípicas en nombre de un nuevo servicio instalado.
Se ha detectado un inicio de sesión atípico que usa credenciales explícitas.
Hay patrones de un posible ataque de PAC de Kerberos (MS14-068) en el sistema.
Se han detectado cambios sospechosos en el grupo de administradores integrado con privilegios.
Si es necesario, configure la regla: Hay patrones de un posible ataque de fuerza bruta en el sistema:
Haga clic en Configuración debajo de la regla.
En la ventana que se abre, especifique el número de intentos y el plazo temporal durante el cual se deben realizar los intentos de introducir una contraseña para que la regla se active.
Haga clic en Aceptar.
Si ha seleccionado la regla Se ha detectado una actividad atípica durante una sesión de inicio de sesión de red, necesita configurar sus ajustes:
Haga clic en Configuración debajo de la regla.
En el bloque Detección de inicio de sesión de red, especifique el inicio y el final del intervalo temporal.
Kaspersky Endpoint Security tiene en cuenta los intentos de inicio de sesión realizados durante el intervalo definido como actividad anormal.
De forma predeterminada, el intervalo no se define y la aplicación no supervisa los intentos de inicio de sesión. Para que la aplicación supervise continuamente los intentos de inicio de sesión, defina el intervalo en 00:00 h - 23:59 h. El inicio y el final del intervalo no deben coincidir. Si son iguales, la aplicación no supervisa los intentos de inicio de sesión.
En el bloque Exclusiones, añada los usuarios de confianza y las direcciones IP de confianza (IPv4 e IPv6).
Puede seleccionar usuarios en Active Directory, en la lista de cuentas de Kaspersky Security Center o al introducir un nombre de usuario local de forma manual. Kaspersky recomienda utilizar cuentas de usuario locales solo en casos especiales cuando no es posible utilizar cuentas de usuario de dominio. Kaspersky Endpoint Security no supervisa los intentos de inicio de sesión para estos usuarios y equipos.
En la ventana de configuración de la aplicación, seleccione Controles de seguridad → Inspección de registros.
Asegúrese de que el interruptor Inspección de registros esté activado.
En el bloque Reglas predefinidas, haga clic en el botón Configurar.
Seleccione o desactive las casillas de verificación para configurar reglas predefinidas:
Hay patrones de un posible ataque de fuerza bruta en el sistema.
Se ha detectado una actividad atípica durante una sesión de inicio de sesión de red.
Hay patrones de un posible abuso del Registro de eventos de Windows.
Se han detectado acciones atípicas en nombre de un nuevo servicio instalado.
Se ha detectado un inicio de sesión atípico que usa credenciales explícitas.
Hay patrones de un posible ataque de PAC de Kerberos (MS14-068) en el sistema.
Se han detectado cambios sospechosos en el grupo de administradores integrado con privilegios.
Si es necesario, configure la regla: Hay patrones de un posible ataque de fuerza bruta en el sistema:
Haga clic en Configuración debajo de la regla.
En la ventana que se abre, especifique el número de intentos y el plazo temporal durante el cual se deben realizar los intentos de introducir una contraseña para que la regla se active.
Si ha seleccionado la regla Se ha detectado una actividad atípica durante una sesión de inicio de sesión de red, necesita configurar sus ajustes:
Haga clic en Configuración debajo de la regla.
En el bloque Detección de inicio de sesión de red, especifique el inicio y el final del intervalo temporal.
Kaspersky Endpoint Security tiene en cuenta los intentos de inicio de sesión realizados durante el intervalo definido como actividad anormal.
De forma predeterminada, el intervalo no se define y la aplicación no supervisa los intentos de inicio de sesión. Para que la aplicación supervise continuamente los intentos de inicio de sesión, defina el intervalo en 00:00 h - 23:59 h. El inicio y el final del intervalo no deben coincidir. Si son iguales, la aplicación no supervisa los intentos de inicio de sesión.
En el bloque Exclusiones, añada los usuarios de confianza y las direcciones IP de confianza (IPv4 e IPv6).
Puede seleccionar usuarios en Active Directory, en la lista de cuentas de Kaspersky Security Center o al introducir un nombre de usuario local de forma manual. Kaspersky recomienda utilizar cuentas de usuario locales solo en casos especiales cuando no es posible utilizar cuentas de usuario de dominio. Kaspersky Endpoint Security no supervisa los intentos de inicio de sesión para estos usuarios y equipos.
Guarde los cambios.
Como resultado, cuando se activa la regla, Kaspersky Endpoint Security crea un evento Crítico.