Inspection des journaux

12 janvier 2024

ID 235414

Ce module est disponible si Kaspersky Endpoint Security a été installé sur un ordinateur tournant sous le système d'exploitation Windows pour serveurs. Ce module n'est pas disponible si Kaspersky Endpoint Security est installé sur un ordinateur tournant sous le système d'exploitation Windows pour postes de travail.

À partir de la version 11.11.0, Kaspersky Endpoint Security for Windows inclut le module Inspection des journaux. L'inspection des journaux surveille l'intégrité de l'environnement protégé en fonction de l'analyse du journal des événements Windows. Lorsque l'application détecte des signes de comportement atypique dans le système, elle en informe l'administrateur, car ce comportement peut indiquer une tentative de cyberattaque.

Kaspersky Endpoint Security analyse les journaux d'événements Windows et détecte les violations conformément aux règles. Le module inclut des règles prédéfinies. Les règles prédéfinies sont alimentées par une analyse heuristique. Vous pouvez également ajouter vos propres règles (règles personnalisées). Lorsqu'une règle se déclenche, l'application crée un événement avec l'état Critique (voir la figure ci-dessous).

Si vous souhaitez utiliser l'inspection des journaux, assurez-vous que la stratégie d'audit de sécurité est configurée et que le système enregistre les événements pertinents (pour plus de détails, consultez le site du Support Technique Microsoft).

Notification d'une possible attaque par force brute. L'utilisateur peut consulter des informations détaillées à propos de la règle.

Notification d'inspection des journaux

Paramètres de l'Inspection des journaux

Paramètre

Description

Règles prédéfinies

Liste des règles d'Inspection des journaux. Les règles prédéfinies incluent des modèles d'activité anormale sur l'ordinateur protégé. Une activité anormale peut signifier une tentative d'attaque.

Règles personnalisées

Liste des règles d'Inspection des journaux ajoutées par l'utilisateur. Vous pouvez définir vos propres critères de déclenchement de règle d'inspection des journaux. Pour ce faire, vous devez entrer un ID d'événement et sélectionner une source d'événement.

Vous pouvez sélectionner une source d'événement parmi les journaux standards : Application, Security et System. Vous pouvez également spécifier le journal d'une application tierce.

Voir aussi sur l'administration de l'application via l'interface locale

Configuration des règles prédéfinies

Ajout des règles personnalisées

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.