Konfigurace předdefinovaných pravidel

Předdefinovaná pravidla zahrnují šablony abnormální aktivity v chráněném počítači. Abnormální aktivita může znamenat pokus o útok. Předdefinovaná pravidla jsou založena na heuristické analýze. Pro součást Kontrola protokolu je k dispozici sedm předdefinovaných pravidel. Kterékoli z těchto pravidel můžete povolit nebo zakázat. Předdefinovaná pravidla nelze odstranit.

Můžete nakonfigurovat kritéria spouštění pro pravidla, která monitorují události, u následujících operací:

Detekce hesla hrubou silou
Detekce přihlášení k síti

Jak konfigurovat předdefinovaná pravidla v konzole pro správu (MMC)

Otevřete konzolu pro správu aplikace Kaspersky Security Center.
Ve složce Managed devices stromu konzole pro správu otevřete složku s názvem skupiny správy, do které patří příslušné klientské počítače.
V pracovním prostoru vyberte kartu Policies.
Vyberte potřebnou zásadu a dvojitým kliknutím otevřete vlastnosti zásady.
V okně zásad vyberte Kontrolní prvky zabezpečení → Kontrola protokolu.
Ujistěte se, že je zaškrtnuto políčko Kontrola protokolu.
V bloku Předdefinovaná pravidla klikněte na tlačítko Nastavení.
Zaškrtnutím nebo zrušením zaškrtnutí políček nakonfigurujte předdefinovaná pravidla:
- V systému jsou vzorce možného útoku hrubou silou.
- Během relace přihlášení k síti byla zjištěna atypická aktivita.
- Jsou přítomny vzorce možného zneužití protokolu událostí systému Windows.
- Byly zjištěny atypické akce prováděné pro novou nainstalovanou službu.
- Bylo zjištěno atypické přihlášení, které používá explicitní přihlašovací údaje.
- V systému jsou vzorce možného útoku prostřednictvím zfalšovaného certifikátu PAC protokolu Kerberos (MS14-068).
- Byly zjištěny podezřelé změny v integrované skupině s oprávněními Správci.
V případě potřeby nakonfigurujte pravidlo V systému jsou vzorce možného útoku hrubou silou:
1. Klikněte na tlačítko Nastavení pod příslušným pravidlem.
2. V okně, které se otevře, zadejte počet pokusů a časové období, během kterého musí být provedeny pokusy o zadání hesla, aby se pravidlo aktivovalo.
3. Klikněte na tlačítko ОК.
Pokud jste vybrali pravidlo Během relace přihlášení k síti byla zjištěna atypická aktivita, musíte nakonfigurovat jeho nastavení:
1. Klikněte na tlačítko Nastavení pod příslušným pravidlem.
2. V bloku Detekce přihlášení k síti zadejte počátek a koncem časového intervalu.
  Kaspersky Endpoint Security považuje pokusy o přihlášení provedené během zadaného intervalu jako abnormální aktivitu.
  
  Ve výchozím nastavení není interval nastaven a aplikace nesleduje pokusy o přihlášení. Aby aplikace nepřetržitě monitorovala pokusy o přihlášení, nastavte interval na 00:00–23:59. Začátek a konec intervalu se nesmí shodovat. Pokud jsou stejné, aplikace nesleduje pokusy o přihlášení.
3. Vytvořte seznam důvěryhodných uživatelů a důvěryhodných IP adres (IPv4 a IPv6).
  Kaspersky Endpoint Security nemonitoruje pokusy o přihlášení u těchto uživatelů a počítačů.
4. Klikněte na tlačítko ОК.
Uložte změny.

Jak konfigurovat předdefinovaná pravidla ve webové konzole a cloudové konzole

V hlavním okně webové konzoly vyberte možnosti Devices → Policies & Profiles.
Klikněte na název zásad aplikace Kaspersky Endpoint Security.
Otevře se okno vlastností zásad.
Vyberte kartu Application settings.
Přejděte na Security Controls → Log Inspection.
Ujistěte se, že je zapnut přepínač Log Inspection.
V bloku Predefined rules povolte nebo zakažte předdefinovaná pravidla pomocí přepínačů:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
V případě potřeby nakonfigurujte pravidlo There are patterns of a possible brute-force attack in the system:
1. Klikněte na Settings pod příslušným pravidlem.
2. V okně, které se otevře, zadejte počet pokusů a časové období, během kterého musí být provedeny pokusy o zadání hesla, aby se pravidlo aktivovalo.
3. Klikněte na tlačítko ОК.
Pokud jste vybrali pravidlo There is an atypical activity detected during a network logon session, musíte nakonfigurovat jeho nastavení:
1. Klikněte na Settings pod příslušným pravidlem.
2. V bloku Network logon detection zadejte počátek a koncem časového intervalu.
  Kaspersky Endpoint Security považuje pokusy o přihlášení provedené během zadaného intervalu jako abnormální aktivitu.
  
  Ve výchozím nastavení není interval nastaven a aplikace nesleduje pokusy o přihlášení. Aby aplikace nepřetržitě monitorovala pokusy o přihlášení, nastavte interval na 00:00–23:59. Začátek a konec intervalu se nesmí shodovat. Pokud jsou stejné, aplikace nesleduje pokusy o přihlášení.
3. V bloku Exclusions přidejte důvěryhodné uživatele a důvěryhodné IP adresy (IPv4 a IPv6).
  Kaspersky Endpoint Security nemonitoruje pokusy o přihlášení u těchto uživatelů a počítačů.
4. Klikněte na tlačítko ОК.
Uložte změny.

Jak konfigurovat předdefinovaná pravidla v rozhraní aplikace.

V hlavním okně aplikace klikněte na tlačítko .
V okně nastavení aplikace vyberte možnost Kontrolní prvky zabezpečení → Kontrola protokolu.
Ujistěte se, že je zapnut přepínač Kontrola protokolu.
V bloku Předdefinovaná pravidla klikněte na tlačítko Konfigurovat.
Zaškrtnutím nebo zrušením zaškrtnutí políček nakonfigurujte předdefinovaná pravidla:
- V systému jsou vzorce možného útoku hrubou silou.
- Během relace přihlášení k síti byla zjištěna atypická aktivita.
- Jsou přítomny vzorce možného zneužití protokolu událostí systému Windows.
- Byly zjištěny atypické akce prováděné pro novou nainstalovanou službu.
- Bylo zjištěno atypické přihlášení, které používá explicitní přihlašovací údaje.
- V systému jsou vzorce možného útoku prostřednictvím zfalšovaného certifikátu PAC protokolu Kerberos (MS14-068).
1. Byly zjištěny podezřelé změny v integrované skupině s oprávněními Správci.
V případě potřeby nakonfigurujte pravidlo V systému jsou vzorce možného útoku hrubou silou:
1. Klikněte na Nastavení pod příslušným pravidlem.
2. V okně, které se otevře, zadejte počet pokusů a časové období, během kterého musí být provedeny pokusy o zadání hesla, aby se pravidlo aktivovalo.
Pokud jste vybrali pravidlo Během relace přihlášení k síti byla zjištěna atypická aktivita, musíte nakonfigurovat jeho nastavení:
1. Klikněte na Nastavení pod příslušným pravidlem.
2. V bloku Detekce přihlášení k síti zadejte počátek a koncem časového intervalu.
  Kaspersky Endpoint Security považuje pokusy o přihlášení provedené během zadaného intervalu jako abnormální aktivitu.
  
  Ve výchozím nastavení není interval nastaven a aplikace nesleduje pokusy o přihlášení. Aby aplikace nepřetržitě monitorovala pokusy o přihlášení, nastavte interval na 00:00–23:59. Začátek a konec intervalu se nesmí shodovat. Pokud jsou stejné, aplikace nesleduje pokusy o přihlášení.
3. V bloku Výjimky přidejte důvěryhodné uživatele a důvěryhodné IP adresy (IPv4 a IPv6).
  Kaspersky Endpoint Security nemonitoruje pokusy o přihlášení u těchto uživatelů a počítačů.
Uložte změny.

Výsledkem je, že při spuštění pravidla vytvoří aplikace Kaspersky Endpoint Security událost Kritická.

Začátek stránky