配置预定义任务规则
执行以下操作为“日志审查”任务配置预定义规则:
- 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
- 选择要为其配置应用程序设置的管理组。
- 在选定的管理组的详细窗格中执行以下操作之一:
- 在“系统审查”部分中,单击“设置”子部分中的“日志审查”按钮。
将打开“日志审查”窗口。
- 选择“预定义规则”选项卡。
- 选中或清除“”复选框。
为了能够运行任务,必须选择至少一种日志审查规则。
- 从预定义规则列表中选择要应用的规则:
- 系统中存在可能的暴力破解攻击的模式。
- 系统中存在可能的 Windows 事件日志滥用的模式。
- 检测到表示已安装新服务的异常活动。
- 检测到使用显式凭证的异常登录。
- 系统中存在可能的 Kerberos 伪造 PAC (MS14-068) 攻击的模式。
- 检测到特权内置组 Administrators 发出的异常操作。
- 在网络登录会话期间检测到异常活动。
- 要配置选定规则,请单击“高级设置”按钮。
将打开“日志审查”窗口。
- 在“暴力破解攻击检测”部分中,设置用作启发式分析触发器的尝试次数和时间范围。
- 在“网络登录检测”部分中,指定时间间隔的开始和结束时间。Kaspersky Embedded Systems Security for Windows 将此时间间隔内的登录尝试视为异常活动。
- 选择“排除”选项卡。
- 执行以下操作添加受信任用户:
- 单击“浏览”按钮。
- 选择用户。
- 单击“确定”按钮。
选定的用户将被添加到受信任用户列表中。
- 执行以下操作添加受信任的 IP 地址:
- 输入 IP 地址。
- 单击“添加”按钮。
- 输入的 IP 地址将被添加到受信任的 IP 地址列表中。
- 在“任务管理”选项卡上,配置任务启动计划。
- 在“日志审查”窗口中单击“确定”按钮。
保存日志审查任务配置。
页面顶部