Configuration des règles prédéfinies d'une tâche

Pour configurer les règles prédéfinies de la tâche Inspection des journaux, procédez comme suit :

1. Développez le nœud Appareils administrés dans la console d'administration de Kaspersky Security Center.
2. Sélectionnez le groupe d'administration pour lequel vous souhaitez configurer les paramètres de l'application.
3. Dans le panneau de détails du groupe d'administration sélectionné, exécutez une des actions suivantes :
   • Pour configurer les paramètres de l'application pour un groupe d'appareils protégés, sélectionnez l'onglet Stratégies et ouvrez la fenêtre Propriétés : <Nom de la stratégie>
   • Pour configurer l'application pour un seul périphérique protégé, sélectionnez l'onglet Périphériques, puis ouvrez la fenêtre Paramètres de l'application.

     En cas d'application d'une stratégie active de Kaspersky Security Center à un appareil qui interdit la modification des paramètres de l'application, il est impossible d'éditer ces paramètres dans la fenêtre Paramètres de l'application.

4. Dans la section Diagnostic du système, cliquez sur le bouton Configuration de la sous-section Inspection des journaux.

   La fenêtre Inspection des journaux s'ouvre.

5. Sélectionnez l'onglet Règles prédéfinies.
6. Cochez ou décochez la case Inspecter les journaux selon les règles prédéfinies.
   

   Si cette case est cochée, Kaspersky Security for Windows Server applique l'analyse heuristique pour détecter toute activité anormale sur le périphérique protégé.

   Si cette case n'est pas cochée, l'analyse heuristique est désactivée, Kaspersky Security for Windows Server utilise les règles prédéfinies ou définies par l'utilisateur pour détecter les activités anormales.

   Cette case est cochée par défaut.

   Pour que la tâche fonctionne, il faut sélectionner au moins une règle d'inspection des journaux.

7. Sélectionnez les règles que vous souhaitez appliquer dans la liste des règles prédéfinies :
   • Tentative d'attaque brute-force dans le système.
   • Des signes d'abus potentiel du journal des événements Windows ont été détectés.
   • Des actions suspectes émanant d'un nouveau service installé ont été détectées.
   • Une authentification suspecte avec des identifiants explicites a été détectée.
   • Le système affiche les signes d'une éventuelle attaque Kerberos forged PAC (MS14-068).
   • Des actions suspectes contre un groupe Administrateurs privilégié intégré ont été détectées.
   • Une activité suspecte a été détectée lors d'une session de connexion au réseau.
8. Pour configurer les règles sélectionnées, cliquez sur le bouton Paramètres avancés.

   La fenêtre Inspection des journaux s'ouvre.

9. Dans la section Détection des attaques brute-force, définissez le nombre de tentatives et la plage temporelle que l'analyse heuristique va utiliser comme déclencheurs.
10. Dans la section Détection de la connexion au réseau, définissez le début et la fin de l'intervalle de temps pendant lequel Kaspersky Security for Windows Server considère les tentatives de connexion comme une activité anormale.
11. Sélectionnez l'onglet Exclusions.
12. Pour ajouter des utilisateurs considérés comme des utilisateurs de confiance, procédez comme suit :
    1. Cliquez sur le bouton Parcourir.
    2. Choisissez l'utilisateur.
    3. Cliquez sur le bouton OK.

       L'utilisateur sélectionné est ajouté à la liste des utilisateurs de confiance.

13. Pour ajouter les adresses IP à considérer comme adresses de confiance, procédez comme suit :
    1. Saisissez l'adresse IP.
    2. Cliquez sur Ajouter.
14. L'adresse IP indiquée est ajoutée à la liste des adresses IP de confiance.
15. Sous l'onglet Administration des tâches, configurez la planification du lancement de la tâche.
16. Dans la fenêtre Inspection des journaux, cliquez sur le bouton OK.

Les paramètres de la tâche Inspection des journaux sont enregistrés.