Konfigurace předdefinovaných pravidel

Podpora

Podpora řešení pro firmy

Kaspersky Endpoint Security 12 pro systém Windows

Kontrola počítače

Kontrola protokolu

Konfigurace předdefinovaných pravidel

14. února 2024

ID 235320

Uložit jako PDF

Předdefinovaná pravidla zahrnují šablony abnormální aktivity v chráněném počítači. Abnormální aktivita může znamenat pokus o útok. Předdefinovaná pravidla jsou založena na heuristické analýze. Pro součást Kontrola protokolu je k dispozici sedm předdefinovaných pravidel. Kterékoli z těchto pravidel můžete povolit nebo zakázat. Předdefinovaná pravidla nelze odstranit.

Můžete nakonfigurovat kritéria spouštění pro pravidla, která monitorují události, u následujících operací:

Detekce hesla hrubou silou
Detekce přihlášení k síti

Jak konfigurovat předdefinovaná pravidla v konzole pro správu (MMC)

Otevřete konzolu pro správu aplikace Kaspersky Security Center.
Ve stromu konzoly vyberte možnost Policies.
Vyberte potřebnou zásadu a dvojitým kliknutím otevřete vlastnosti zásady.
V okně zásad vyberte Kontrolní prvky zabezpečení → Kontrola protokolu.
Ujistěte se, že je zaškrtnuto políčko Kontrola protokolu.
V bloku Předdefinovaná pravidla klikněte na tlačítko Nastavení.
Zaškrtnutím nebo zrušením zaškrtnutí políček nakonfigurujte předdefinovaná pravidla:
- V systému jsou vzorce možného útoku hrubou silou.
- Během relace přihlášení k síti byla zjištěna atypická aktivita.
- Jsou přítomny vzorce možného zneužití protokolu událostí systému Windows.
- Byly zjištěny atypické akce prováděné pro novou nainstalovanou službu.
- Bylo zjištěno atypické přihlášení, které používá explicitní přihlašovací údaje.
- V systému jsou vzorce možného útoku prostřednictvím zfalšovaného certifikátu PAC protokolu Kerberos (MS14-068).
- Byly zjištěny podezřelé změny v integrované skupině s oprávněními Správci.
V případě potřeby nakonfigurujte pravidlo V systému jsou vzorce možného útoku hrubou silou:
1. Klikněte na tlačítko Nastavení pod příslušným pravidlem.
2. V okně, které se otevře, zadejte počet pokusů a časové období, během kterého musí být provedeny pokusy o zadání hesla, aby se pravidlo aktivovalo.
3. Klikněte na tlačítko OK.
Pokud jste vybrali pravidlo Během relace přihlášení k síti byla zjištěna atypická aktivita, musíte nakonfigurovat jeho nastavení:
1. Klikněte na tlačítko Nastavení pod příslušným pravidlem.
2. V bloku Detekce přihlášení k síti zadejte počátek a koncem časového intervalu.
  Kaspersky Endpoint Security považuje pokusy o přihlášení provedené během zadaného intervalu jako abnormální aktivitu.
  
  Ve výchozím nastavení není interval nastaven a aplikace nesleduje pokusy o přihlášení. Aby aplikace nepřetržitě monitorovala pokusy o přihlášení, nastavte interval na 00:00–23:59. Začátek a konec intervalu se nesmí shodovat. Pokud jsou stejné, aplikace nesleduje pokusy o přihlášení.
3. Vytvořte seznam důvěryhodných uživatelů a důvěryhodných IP adres (IPv4 a IPv6).
  Vytvořte seznam uživatelů z Active Directory. Kaspersky Endpoint Security nemonitoruje pokusy o přihlášení u těchto uživatelů a počítačů.
4. Klikněte na tlačítko OK.
Uložte změny.

Jak konfigurovat předdefinovaná pravidla ve webové konzole a cloudové konzole

V hlavním okně webové konzoly vyberte možnosti Devices → Policies & profiles.
Klikněte na název zásad aplikace Kaspersky Endpoint Security.
Otevře se okno vlastností zásad.
Vyberte kartu Application settings.
Přejděte na Security Controls → Log Inspection.
Ujistěte se, že je zapnut přepínač Log Inspection.
V bloku Predefined rules povolte nebo zakažte předdefinovaná pravidla pomocí přepínačů:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
V případě potřeby nakonfigurujte pravidlo There are patterns of a possible brute-force attack in the system:
1. Klikněte na Settings pod příslušným pravidlem.
2. V okně, které se otevře, zadejte počet pokusů a časové období, během kterého musí být provedeny pokusy o zadání hesla, aby se pravidlo aktivovalo.
3. Klikněte na tlačítko OK.
Pokud jste vybrali pravidlo There is an atypical activity detected during a network logon session, musíte nakonfigurovat jeho nastavení:
1. Klikněte na Settings pod příslušným pravidlem.
2. V bloku Network logon detection zadejte počátek a koncem časového intervalu.
  Kaspersky Endpoint Security považuje pokusy o přihlášení provedené během zadaného intervalu jako abnormální aktivitu.
  
  Ve výchozím nastavení není interval nastaven a aplikace nesleduje pokusy o přihlášení. Aby aplikace nepřetržitě monitorovala pokusy o přihlášení, nastavte interval na 00:00–23:59. Začátek a konec intervalu se nesmí shodovat. Pokud jsou stejné, aplikace nesleduje pokusy o přihlášení.
3. V bloku Exclusions přidejte důvěryhodné uživatele a důvěryhodné IP adresy (IPv4 a IPv6).
  Vytvořte seznam uživatelů z Active Directory. Kaspersky Endpoint Security nemonitoruje pokusy o přihlášení u těchto uživatelů a počítačů.
4. Klikněte na tlačítko OK.
Uložte změny.

Jak konfigurovat předdefinovaná pravidla v rozhraní aplikace.

V hlavním okně aplikace klikněte na tlačítko .
V okně nastavení aplikace vyberte možnost Kontrolní prvky zabezpečení → Kontrola protokolu.
Ujistěte se, že je zapnut přepínač Kontrola protokolu.
V bloku Předdefinovaná pravidla klikněte na tlačítko Konfigurovat.
Zaškrtnutím nebo zrušením zaškrtnutí políček nakonfigurujte předdefinovaná pravidla:
- V systému jsou vzorce možného útoku hrubou silou.
- Během relace přihlášení k síti byla zjištěna atypická aktivita.
- Jsou přítomny vzorce možného zneužití protokolu událostí systému Windows.
- Byly zjištěny atypické akce prováděné pro novou nainstalovanou službu.
- Bylo zjištěno atypické přihlášení, které používá explicitní přihlašovací údaje.
- V systému jsou vzorce možného útoku prostřednictvím zfalšovaného certifikátu PAC protokolu Kerberos (MS14-068).
1. Byly zjištěny podezřelé změny v integrované skupině s oprávněními Správci.
V případě potřeby nakonfigurujte pravidlo V systému jsou vzorce možného útoku hrubou silou:
1. Klikněte na Nastavení pod příslušným pravidlem.
2. V okně, které se otevře, zadejte počet pokusů a časové období, během kterého musí být provedeny pokusy o zadání hesla, aby se pravidlo aktivovalo.
Pokud jste vybrali pravidlo Během relace přihlášení k síti byla zjištěna atypická aktivita, musíte nakonfigurovat jeho nastavení:
1. Klikněte na Nastavení pod příslušným pravidlem.
2. V bloku Detekce přihlášení k síti zadejte počátek a koncem časového intervalu.
  Kaspersky Endpoint Security považuje pokusy o přihlášení provedené během zadaného intervalu jako abnormální aktivitu.
  
  Ve výchozím nastavení není interval nastaven a aplikace nesleduje pokusy o přihlášení. Aby aplikace nepřetržitě monitorovala pokusy o přihlášení, nastavte interval na 00:00–23:59. Začátek a konec intervalu se nesmí shodovat. Pokud jsou stejné, aplikace nesleduje pokusy o přihlášení.
3. V bloku Výjimky přidejte důvěryhodné uživatele a důvěryhodné IP adresy (IPv4 a IPv6).
  Vytvořte seznam uživatelů z Active Directory. Kaspersky Endpoint Security nemonitoruje pokusy o přihlášení u těchto uživatelů a počítačů.
Uložte změny.

Výsledkem je, že při spuštění pravidla vytvoří aplikace Kaspersky Endpoint Security událost Kritická.

Byl článek užitečný?

Co můžeme vylepšit?

Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.