Über die Aufgabe Protokollanalyse
Während der Ausführung der Aufgabe zur Protokollanalyse überwacht Kaspersky Security für Windows Server die Integrität der geschützten Umgebung auf Basis der Ergebnisse der Analyse der Windows-Ereignisprotokolle. Das Programm benachrichtigt den Administrator, wenn Anzeichen für untypisches Verhalten gefunden werden, die möglicherweise auf versuchte Cyberattacken hindeuten.
Kaspersky Security für Windows Server analysiert die Daten der Windows-Ereignisprotokolle und ermittelt Verstöße entsprechend den vom Benutzer festgelegten Regeln oder den Einstellungen der heuristischen Analyse, die von der Aufgabe zur Protokollanalyse verwendet wird.
Vordefinierte Regeln und heuristische Analyse.
Mit der Aufgabe Protokollanalyse können Sie den Status des geschützten Systems überwachen, indem Sie vordefinierte Regeln anwenden, die auf bestehenden Heuristiken basieren. Die heuristische Analyse ermittelt das Vorhandensein von anomaler Aktivität auf dem geschützten Gerät, die ein Merkmal von versuchten Angriffen sein kann. Die Vorlagen für die Ermittlung von anomaler Aktivität finden Sie in den verfügbaren Heuristiken in den vordefinierten Regeleinstellungen.
In der Regelliste sind sieben Heuristiken für die Protokollanalyse verfügbar. Sie können jede Regel aktivieren und deaktivieren. Sie können vorhandene Regeln nicht löschen und keine neuen Regeln erstellen.
Sie können die auslösenden Kriterien für Regeln, die Ereignisse überwachen, für die folgenden Operationen konfigurieren:
- Verarbeitung von Brute-Force
- Verarbeitung der Netzwerkanmeldung
In den Einstellungen der Aufgabe können Sie auch Ausnahmen anpassen. Die heuristische Analyse wird nicht ausgelöst, wenn die Anmeldung von einem vertrauenswürdigen Benutzer oder von einer vertrauenswürdigen IP-Adresse durchgeführt wurde.
Kaspersky Security für Windows Server verwendet keine Heuristiken für die Analyse von Windows-Protokollen, wenn die heuristische Analyse nicht von der Aufgabe verwendet wird. Standardmäßig ist die heuristische Analyse aktiviert.
Beim Anwenden der Regeln protokolliert das Programm ein Kritisches Ereignis im Protokoll der Aufgabenausführung der Aufgabe zur Protokollanalyse.
Benutzerdefinierte Regeln der Aufgabe Protokollanalyse
Mithilfe der Einstellungen der Regeln können Sie Auslösekriterien für Regeln beim Fund bestimmter Ereignisse im angegebenen Windows-Protokoll angeben und bearbeiten. Standardmäßig enthält die Regelliste der Aufgabe zur Protokollanalyse vier Regeln. Sie können diese Regeln aktivieren und deaktivieren, Regeln löschen und ihre Einstellungen bearbeiten.
Sie können für jede Regel folgende Auslösekriterien anpassen:
- Liste der IDs der Einträge im Windows-Ereignisprotokoll
Die Regel wird ausgelöst, sobald ein neuer Eintrag im Windows-Ereignisprotokoll gefunden wird, dessen Parameter die in dieser Regel angegebene Ereignis-ID enthalten. Sie können IDs für jede angegebene Regel hinzufügen und löschen.
- Ereignisquelle
Sie können für jede Regel ein Protokoll innerhalb des Windows-Ereignisprotokolls festlegen. Das Programm wird nur in diesem Protokoll nach Einträgen mit den angegebenen Ereignis-IDs suchen. Sie können eines der Standard-Protokolle (Programm, Sicherheit oder System) auswählen, oder ein benutzerdefiniertes Protokoll angeben, in dem Sie den Namen im Feld zur Auswahl der Quelle angeben.
Das Programm prüft nicht, ob das angegebene Protokoll tatsächlich im Windows-Ereignisprotokoll vorhanden ist.
Wenn die Regel ausgelöst wird, protokolliert Kaspersky Security für Windows Server ein "Kritisches Ereignis" im Protokoll der Aufgabenausführung der Protokollanalyse.
Standardmäßig übernimmt die Aufgabe zur Protokollanalyse benutzerdefinierte Regeln.
Bevor Sie die Aufgabe zur Protokollanalyse starten, vergewissern Sie sich, dass die Systemaudit-Richtlinie korrekt eingerichtet ist. Weitere Informationen finden Sie in dem Microsoft-Artikel.