Wstępnie zdefiniowane reguły zawierają szablony nieprawidłowej aktywności na chronionym komputerze. Nietypowa aktywność może oznaczać próbę ataku. Wstępnie zdefiniowane reguły są oparte na analizie heurystycznej. Dla funkcji Kontroli dziennika dostępnych jest siedem wstępnie zdefiniowanych reguł. Reguły te można włączać lub wyłączać. Wstępnie zdefiniowanych reguł nie można usunąć.
Można skonfigurować kryteria wyzwalania dla reguł monitorujących zdarzenia dla następujących operacji:
Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
W oknie zasady wybierz Kontrola zabezpieczeń → Kontrola dziennika.
Należy upewnić się, że pole Kontrola dziennika jest zaznaczone.
W sekcji Wstępnie zdefiniowane reguły kliknij przycisk Ustawienia.
Należy zaznaczyć lub wyczyścić pola wyboru, aby skonfigurować wstępnie zdefiniowane reguły:
W systemie istnieją wzorce możliwego ataku siłowego.
Podczas sesji logowania do sieci wykryto nietypową aktywność.
W systemie istnieją wzorce możliwego nadużycia dziennika zdarzeń systemu Windows.
Wykryto nietypowe działania w imieniu nowej zainstalowanej usługi.
Wykryto nietypowe logowanie wykorzystujące jawne dane uwierzytelniające.
W systemie istnieją wzorce możliwego ataku Kerberos PAC (MS14-068).
Podejrzane zmiany wykryte w uprzywilejowanej wbudowanej grupie Administratorzy.
Jeśli to konieczne, należy skonfigurować regułę W systemie istnieją wzorce możliwego ataku siłowego:
Kliknąć przycisk Ustawienia poniżej reguły.
W otwartym oknie należy określić liczbę prób oraz czas, w którym muszą nastąpić próby wprowadzenia hasła, aby reguła została uruchomiona.
Kliknij OK.
W przypadku wybrania reguły Podczas sesji logowania do sieci wykryto nietypową aktywność musisz skonfigurować jej ustawienia:
Kliknąć przycisk Ustawienia poniżej reguły.
W sekcji Wykrywanie logowania do sieci, należy określić początek i koniec przedziału czasowego.
Kaspersky Endpoint Security uznaje próby logowania wykonane podczas określonego interwału za nieprawidłową aktywność.
Domyślnie interwał nie jest ustawiony i aplikacja nie monitoruje prób logowania. Aby aplikacja stale monitorowała próby logowania, ustaw przedział czasowy na 00:00–23:59. Początek i koniec interwału nie mogą się pokrywać. Jeśli są takie same, aplikacja nie monitoruje prób logowania.
Należy utworzyć listę zaufanych użytkowników i zaufanych adresów IP (IPv4 i IPv6).
Możesz wybrać użytkowników w Active Directory, na liście kont w Kaspersky Security Center lub ręcznie wprowadzając lokalną nazwę użytkownika. Kaspersky zaleca używanie lokalnych kont użytkowników tylko w szczególnych przypadkach, gdy nie jest możliwe korzystanie z kont użytkowników domeny. Kaspersky Endpoint Security nie monitoruje prób logowania dla tych użytkowników i komputerów.
W oknie głównym Web Console wybierz Urządzenia → Profile zasad.
Kliknij nazwę zasady Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości profilu.
Wybierz zakładkę Ustawienia aplikacji.
Wybierz Kontrola zabezpieczeń → Kontrola dziennika.
Należy upewnić się, że włączony jest przełącznik Kontrola dziennika.
W sekcji Wstępnie zdefiniowane reguły, należy włączyć lub wyłączyć wstępnie zdefiniowane reguły za pomocą przełączników:
W systemie istnieją wzorce możliwego ataku siłowego.
Podczas sesji logowania do sieci wykryto nietypową aktywność.
W systemie istnieją wzorce możliwego nadużycia dziennika zdarzeń systemu Windows.
Wykryto nietypowe działania w imieniu nowej zainstalowanej usługi.
Wykryto nietypowe logowanie wykorzystujące jawne dane uwierzytelniające.
W systemie istnieją wzorce możliwego ataku Kerberos PAC (MS14-068).
Podejrzane zmiany wykryte w uprzywilejowanej wbudowanej grupie Administratorzy.
Jeśli to konieczne, należy skonfigurować regułę W systemie istnieją wzorce możliwego ataku siłowego:
Kliknąć przycisk Ustawienia pod regułą.
W otwartym oknie należy określić liczbę prób oraz czas, w którym muszą nastąpić próby wprowadzenia hasła, aby reguła została uruchomiona.
Kliknij OK.
W przypadku wybrania reguły Podczas sesji logowania do sieci wykryto nietypową aktywność musisz skonfigurować jej ustawienia:
Kliknąć przycisk Ustawienia pod regułą.
W sekcji Wykrywanie logowania do sieci, należy określić początek i koniec przedziału czasowego.
Kaspersky Endpoint Security uznaje próby logowania wykonane podczas określonego interwału za nieprawidłową aktywność.
Domyślnie interwał nie jest ustawiony i aplikacja nie monitoruje prób logowania. Aby aplikacja stale monitorowała próby logowania, ustaw przedział czasowy na 00:00–23:59. Początek i koniec interwału nie mogą się pokrywać. Jeśli są takie same, aplikacja nie monitoruje prób logowania.
W sekcji Wykluczenia należy dodać zaufanych użytkowników i zaufane adresy IP (IPv4 i IPv6).
Możesz wybrać użytkowników w Active Directory, na liście kont w Kaspersky Security Center lub ręcznie wprowadzając lokalną nazwę użytkownika. Kaspersky zaleca używanie lokalnych kont użytkowników tylko w szczególnych przypadkach, gdy nie jest możliwe korzystanie z kont użytkowników domeny. Kaspersky Endpoint Security nie monitoruje prób logowania dla tych użytkowników i komputerów.
W oknie ustawień aplikacji wybierz Kontrola zabezpieczeń → Kontrola dziennika.
Należy upewnić się, że włączony jest przełącznik Kontrola dziennika.
W sekcji Wstępnie zdefiniowane reguły kliknij przycisk Konfiguruj.
Należy zaznaczyć lub wyczyścić pola wyboru, aby skonfigurować wstępnie zdefiniowane reguły:
W systemie istnieją wzorce możliwego ataku siłowego.
Podczas sesji logowania do sieci wykryto nietypową aktywność.
W systemie istnieją wzorce możliwego nadużycia dziennika zdarzeń systemu Windows.
Wykryto nietypowe działania w imieniu nowej zainstalowanej usługi.
Wykryto nietypowe logowanie wykorzystujące jawne dane uwierzytelniające.
W systemie istnieją wzorce możliwego ataku Kerberos PAC (MS14-068).
Podejrzane zmiany wykryte w uprzywilejowanej wbudowanej grupie Administratorzy.
Jeśli to konieczne, należy skonfigurować regułę W systemie istnieją wzorce możliwego ataku siłowego:
Kliknąć przycisk Ustawienia pod regułą.
W otwartym oknie należy określić liczbę prób oraz czas, w którym muszą nastąpić próby wprowadzenia hasła, aby reguła została uruchomiona.
W przypadku wybrania reguły Podczas sesji logowania do sieci wykryto nietypową aktywność musisz skonfigurować jej ustawienia:
Kliknąć przycisk Ustawienia pod regułą.
W sekcji Wykrywanie logowania do sieci, należy określić początek i koniec przedziału czasowego.
Kaspersky Endpoint Security uznaje próby logowania wykonane podczas określonego interwału za nieprawidłową aktywność.
Domyślnie interwał nie jest ustawiony i aplikacja nie monitoruje prób logowania. Aby aplikacja stale monitorowała próby logowania, ustaw przedział czasowy na 00:00–23:59. Początek i koniec interwału nie mogą się pokrywać. Jeśli są takie same, aplikacja nie monitoruje prób logowania.
W sekcji Wykluczenia należy dodać zaufanych użytkowników i zaufane adresy IP (IPv4 i IPv6).
Możesz wybrać użytkowników w Active Directory, na liście kont w Kaspersky Security Center lub ręcznie wprowadzając lokalną nazwę użytkownika. Kaspersky zaleca używanie lokalnych kont użytkowników tylko w szczególnych przypadkach, gdy nie jest możliwe korzystanie z kont użytkowników domeny. Kaspersky Endpoint Security nie monitoruje prób logowania dla tych użytkowników i komputerów.
Zapisz swoje zmiany.
W rezultacie, gdy reguła zostanie uruchomiona, Kaspersky Endpoint Security utworzy zdarzenie krytyczne.