As regras predefinidas incluem modelos de atividades anormais no computador protegido. Atividades anormais podem significar uma tentativa de ataque. As regras predefinidas são alimentadas por análise heurística. Sete regras predefinidas estão disponíveis para Inspeção de Log. É possível ativar ou desativar essas regras. As regras predefinidas não podem ser excluídas.
É possível configurar os critérios de acionamento de regras que monitoram eventos para as seguintes operações:
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Inspeção de log.
Certifique-se de que a caixa de seleção Inspeção de log esteja marcada.
No bloco Regras predefinidas, clique no botão Configurações.
Marque ou desmarque as caixas de seleção para configurar as regras predefinidas:
Há padrões de um possível ataque de força bruta no sistema.
Há uma atividade atípica detectada durante uma sessão de logon na rede.
Há padrões de um possível abuso do log de eventos do Windows.
Ações atípicas detectadas em nome de um novo serviço instalado.
Detectado logon atípico que usa credenciais explícitas.
Há padrões de um possível ataque de PAC forjado do Kerberos (MS14-068) no sistema.
Alterações suspeitas detectadas no grupo de administradores integrado privilegiado.
Caso seja necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
Clique no botão Configurações abaixo da regra.
Na janela aberta, especifique o número de tentativas e um período dentro do qual as tentativas de inserir uma senha devem ser executadas para que a regra seja acionada.
Clique em OK.
Se tiver selecionado a regra Há uma atividade atípica detectada durante uma sessão de logon na rede, será preciso definir suas configurações:
Clique no botão Configurações abaixo da regra.
No bloco Detecção de logon na rede, especifique o início e o fim do intervalo de tempo.
O Kaspersky Endpoint Security considera as tentativas de logon realizadas durante o intervalo definido como atividade anormal.
Como padrão, o intervalo não é definido e o aplicativo não monitora tentativas de logon. Para que o aplicativo monitore continuamente as tentativas de logon, defina o intervalo entre 0h e 23h59. O início e o término fdo intervalo não deverão coincidir. Se forem os mesmos, o aplicativo não vai monitorar as tentativas de logon.
Crie a lista de usuários confiáveis e endereços IP confiáveis (IPv4 e IPv6).
É possível selecionar usuários no Active Directory, na lista de contas no Kaspersky Security Center ou ao inserir um nome de usuário local manualmente. A Kaspersky recomenda usar contas de usuário locais somente em casos especiais quando não for possível usar contas de usuário de domínio. O Kaspersky Endpoint Security não monitora as tentativas de logon desses usuários e computadores.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Inspeção de log.
Certifique-se de que o botão de alternância Inspeção de log esteja ligado.
No bloco Regras predefinidas, ative ou desative as regras predefinidas usando os botões de alternância:
Há padrões de um possível ataque de força bruta no sistema.
Há uma atividade atípica detectada durante uma sessão de logon na rede.
Há padrões de um possível abuso de log de eventos do Windows.
Ações atípicas detectadas em nome de um novo serviço instalado.
Detectado logon atípico que usa credenciais explícitas.
Há padrões de um possível ataque de PAC forjado do Kerberos (MS14-068) no sistema.
Alterações suspeitas detectadas no grupo de administradores integrado privilegiado.
Caso seja necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
Clique em Configurações sob a regra.
Na janela aberta, especifique o número de tentativas e um período dentro do qual as tentativas de inserir uma senha devem ser executadas para que a regra seja acionada.
Clique em OK.
Se tiver selecionado a regra Há uma atividade atípica detectada durante uma sessão de logon na rede, será preciso definir suas configurações:
Clique em Configurações sob a regra.
No bloco Detecção de logon na rede, especifique o início e o fim do intervalo de tempo.
O Kaspersky Endpoint Security considera as tentativas de logon realizadas durante o intervalo definido como atividade anormal.
Como padrão, o intervalo não é definido e o aplicativo não monitora tentativas de logon. Para que o aplicativo monitore continuamente as tentativas de logon, defina o intervalo entre 0h e 23h59. O início e o término fdo intervalo não deverão coincidir. Se forem os mesmos, o aplicativo não vai monitorar as tentativas de logon.
No bloco Exclusões, adicione usuários confiáveis e endereços IP confiáveis (IPv4 e IPv6).
É possível selecionar usuários no Active Directory, na lista de contas no Kaspersky Security Center ou ao inserir um nome de usuário local manualmente. A Kaspersky recomenda usar contas de usuário locais somente em casos especiais quando não for possível usar contas de usuário de domínio. O Kaspersky Endpoint Security não monitora as tentativas de logon desses usuários e computadores.
Na janela de configurações do aplicativo, selecione Controles de segurança → Inspeção de log.
Certifique-se de que o botão de alternância Inspeção de log esteja ligado.
No bloco Regras predefinidas, clique no botão Configurar.
Marque ou desmarque as caixas de seleção para configurar as regras predefinidas:
Há padrões de um possível ataque de força bruta no sistema.
Há uma atividade atípica detectada durante uma sessão de logon na rede.
Há padrões de um possível abuso de log de eventos do Windows.
Ações atípicas detectadas em nome de um novo serviço instalado.
Detectado logon atípico que usa credenciais explícitas.
Há padrões de um possível ataque de PAC forjado do Kerberos (MS14-068) no sistema.
Alterações suspeitas detectadas no grupo de administradores integrado privilegiado.
Caso seja necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
Clique em Configurações sob a regra.
Na janela aberta, especifique o número de tentativas e um período dentro do qual as tentativas de inserir uma senha devem ser executadas para que a regra seja acionada.
Se tiver selecionado a regra Há uma atividade atípica detectada durante uma sessão de logon na rede, será preciso definir suas configurações:
Clique em Configurações sob a regra.
No bloco Detecção de logon de rede, especifique o início e o fim do intervalo de tempo.
O Kaspersky Endpoint Security considera as tentativas de logon realizadas durante o intervalo definido como atividade anormal.
Como padrão, o intervalo não é definido e o aplicativo não monitora tentativas de logon. Para que o aplicativo monitore continuamente as tentativas de logon, defina o intervalo entre 0h e 23h59. O início e o término fdo intervalo não deverão coincidir. Se forem os mesmos, o aplicativo não vai monitorar as tentativas de logon.
No bloco Exclusões, adicione usuários confiáveis e endereços IP confiáveis (IPv4 e IPv6).
É possível selecionar usuários no Active Directory, na lista de contas no Kaspersky Security Center ou ao inserir um nome de usuário local manualmente. A Kaspersky recomenda usar contas de usuário locais somente em casos especiais quando não for possível usar contas de usuário de domínio. O Kaspersky Endpoint Security não monitora as tentativas de logon desses usuários e computadores.
Salvar alterações.
Assim, quando a regra é acionada, o Kaspersky Endpoint Security cria o evento Crítico.