A propos de la tâche Inspection des journaux
Au cours de l'exécution de la tâche Inspection des journaux, Kaspersky Security for Windows Server contrôle l'intégrité de l'environnement protégé d'après les résultats de l'inspection des journaux des événements Windows. L'application prévient l'administrateur en cas de détection d'un comportement anormale qui pourrait indiquer une tentative de cyberattaques.
Kaspersky Security for Windows Server analyse les journaux des événements Windows et définit les violations conformément aux règles précisées par l'utilisateur ou par les paramètres de l'analyse heuristique que la tâche utilise pour inspecter les journaux.
Règles prédéfinie et analyse heuristique
Vous pouvez utiliser la tâche Inspection des journaux pour contrôler l'état du système protégé en appliquant les règles prédéfinies sur la base des heuristiques prédéterminées. L'analyseur heuristique identifie une activité anormale sur l'appareil protégé, ce qui peut être le signe d’une tentative d'attaque. Les modèles de définition d'une activité anormale sont repris dans les règles disponibles dans les paramètres de règles prédéfinies.
La liste des règles de la tâche Inspection des journaux répertorie sept règles. Vous pouvez activer et désactiver n'importe quelle règle. Vous ne pouvez pas supprimer des règles existantes ou en créer de nouvelles.
Vous pouvez configurer les critères de déclenchement des règles qui contrôlent les événements pour les opérations suivantes :
- Détection des attaques brute-force contre les mots de passe
- Traitement de la connexion au réseau
Dans les paramètres de la tâche, vous pouvez configurer également les exclusions. L'analyseur heuristique ne fonctionne pas si l'accès au système est exécuté par un utilisateur de confiance ou via une adresse IP de confiance.
Kaspersky Security for Windows Server n'applique pas l'heuristique à l'inspection des journaux Windows si l'analyseur heuristique n'est pas utilisé par la tâche. Par défaut, l'analyseur heuristique est activé.
Lors de l'application des règles, l'application consigne un événement avec le niveau d'importance Critique dans le journal d'exécution de la tâche Inspection des journaux.
Règles personnalisées de la tâche Inspection des journaux
A l'aide des paramètres des règles, vous pouvez préciser et modifier les critères de déclenchement de la règle en cas de détection des événements choisis dans le journal Windows indiqué. Par défaut, la liste des règles d'inspection des journaux contient quatre règles. Vous pouvez activer et désactiver ces règles, supprimer les règles et en modifier les paramètres.
Vous pouvez configurer les critères suivants de déclenchement de chaque règle :
- Liste des identificateurs des enregistrements dans le journal des événements Windows.
La règle se déclenche à l'apparition d'un nouvel enregistrement dans le journal des événements Windows, si les propriétés de l'événement incluent un identificateur d'événement indiqué dans la règle. Vous pouvez ajouter et supprimer aussi des identificateurs pour chaque règle précisée.
- Source des événements.
Pour chaque règle, vous pouvez préciser un journal dans le journal des événements Windows. L'application exécutera la recherche des enregistrements avec les identificateurs d'événements indiqués seulement dans ce journal. Vous pouvez sélectionner un des journaux standard (Application, Sécurité ou Système) ou définir un journal personnalisé en saisissant le nom dans le champ de sélection de la source.
L'application ne contrôle pas la présence réelle du journal indiqué dans le journal des événements Windows.
Quand la règle est déclenchée, Kaspersky Security for Windows Server enregistre un événement Critique dans le journal d'exécution de la tâche d'inspection des journaux.
Par défaut, la tâche Inspection des journaux ne prend pas en charge les règles personnalisées.
Avant de démarrer la tâche Inspection des journaux, assurez-vous que la stratégie d'audit système est correctement configurée. Consultez l'article de Microsoft pour plus de détails.