Configuration des règles prédéfinies d'une tâche

Pour configurer les règles prédéfinies de la tâche Inspection des journaux, procédez comme suit :

1. Développez le nœud Appareils administrés dans la Console d'administration de Kaspersky Security Center.
2. Sélectionnez le groupe d’administration pour lequel vous souhaitez configurer les paramètres de l’application.
3. Dans le panneau de détails du groupe d’administration sélectionné, exécutez une des actions suivantes :
   • Pour configurer les paramètres de l’application pour un groupe d’appareils protégés, sélectionnez l’onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>
   • Pour configurer les paramètres d’une tâche ou d’une application pour un appareil protégé particulier, sélectionnez l’onglet Appareils et accédez aux paramètres locaux de la tâche ou de l’application.
4. Dans la section Diagnostic du système, cliquez sur le bouton Inspection des journaux de la sous-section Configuration.

   La fenêtre Inspection des journaux s’ouvre.

5. Sélectionnez l’onglet Règles prédéfinies.
6. Cochez ou décochez la case Inspecter les journaux selon les règles prédéfinies.
   

   Si cette case est cochée, Kaspersky Embedded Systems Security for Windows applique l’analyse heuristique pour détecter toute activité anormale sur l’appareil protégé.

   Si cette case n’est pas cochée, l’analyse heuristique est désactivée, Kaspersky Embedded Systems Security for Windows utilise les règles prédéfinies ou définies par l’utilisateur pour détecter les activités anormales.

   Par défaut, la case est décochée.

   Pour que la tâche fonctionne, il faut sélectionner au moins une règle d’inspection des journaux.

7. Sélectionnez les règles que vous souhaitez appliquer dans la liste des règles prédéfinies :
   • Tentative d’attaque brute-force dans le système.
   • Des signes d’abus potentiel du journal des événements Windows ont été détectés.
   • Des actions suspectes émanant d’un nouveau service installé ont été détectées.
   • Une authentification suspecte avec des identifiants explicites a été détectée.
   • Le système affiche les signes d’une éventuelle attaque Kerberos forged PAC (MS14-068).
   • Des actions suspectes contre un groupe Administrateurs privilégié intégré ont été détectées.
   • Une activité suspecte a été détectée lors d’une session de connexion au réseau.
8. Pour configurer les règles sélectionnées, cliquez sur le bouton Paramètres avancés.

   La fenêtre Inspection des journaux s'ouvre.

9. Dans la section Détection des attaques brute-force, définissez le nombre de tentatives et la plage temporelle que l’analyse heuristique va utiliser comme déclencheurs.
10. Dans la section Détection de la connexion au réseau, spécifiez le début et la fin de l’intervalle de temps. Kaspersky Embedded Systems Security for Windows considère les tentatives de connexion effectuées pendant cet intervalle comme une activité anormale.
11. Sélectionnez l’onglet Exclusions.
12. Pour ajouter des utilisateurs considérés comme des utilisateurs de confiance, procédez comme suit :
    1. Cliquez sur le bouton Parcourir.
    2. Choisissez l’utilisateur.
    3. Cliquez sur le bouton OK.

       L’utilisateur sélectionné est ajouté à la liste des utilisateurs de confiance.

13. Pour ajouter les adresses IP à considérer comme adresses de confiance, procédez comme suit :
    1. Saisissez l’adresse IP.
    2. Cliquez sur Ajouter.
14. L’adresse IP indiquée est ajoutée à la liste des adresses IP de confiance.
15. Sous l'onglet Administration des tâches, configurez la planification du lancement de la tâche.
16. Dans la fenêtre Inspection des journaux, cliquez sur le bouton OK.

Les paramètres de la tâche Inspection des journaux sont enregistrés.