Контроль учетных записей пользователей

Компонент Обнаружение аномалий с помощью Sigma-правил позволяет выполнять функции контроля учетных записей пользователей с помощью предустановленной коллекции Sigma-правил – Коллекция правил для анализа журналов контроля учетных записей пользователей (UAC).

Коллекция Sigma-правил включает в себя обнаружение следующих событий:

Список идентификаторов по каждому из событий см. в таблице ниже.

В зависимости от того, входит ли компьютер в домен или нет, поведение приложения отличается:

Чтобы включить контроль учетных записей, выполните следующие действия:

  1. В главном окне Web Console выберите Активы (Устройства)Политики и профили политик.
  2. Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.

    Откроется окно свойств политики.

  3. Выберите вкладку Параметры приложения.
  4. В разделе Обнаружение аномалий с помощью Sigma-правил нажмите на кнопку Добавить.

    Откроется окно Добавление коллекции правил.

  5. С помощью раскрывающегося списка Выберите коллекцию правил выберите коллекцию Sigma-правил Коллекция правил для анализа журналов контроля учетных записей пользователей (UAC).
  6. Нажмите на кнопку OK.

При срабатывании Sigma-правил из коллекции приложение формирует события о срабатывании и отправляет события в Kaspersky Security Center и Kaspersky Industrial CyberSecurity for Nodes for Network.

Идентификаторы событий, входящих в коллекцию Sigma-правил контроля учетных записей пользователей

Событие

Windows XP

Windows 7 и выше

Добавление нового пользователя.

624

4720

Добавление пользователя в группу Администраторов.

632

636

660

4728

4732

4756

Повышение привилегий пользователя.

576

633

637

639

641

659

661

4729

4733

4735

4737

4755

4757

4672

4964

Вход пользователя в систему.

528

540

4624

Попытка входа пользователя в систему.

529

530

531

532

533

534

535

536

537

539

4625

Выход пользователя из системы.

538

4634

В начало