Vordefinierte Regeln enthalten Vorlagen für anormale Aktivitäten auf dem geschützten Computer. Abnormale Aktivität kann auf einen versuchten Angriff hindeuten. Vordefinierte Regeln basieren auf einer heuristischen Analyse. Für die Protokollanalyse stehen sieben vordefinierte Regeln zur Verfügung. Sie können diese Regeln aktivieren oder deaktivieren. Vordefinierte Regeln können nicht gelöscht werden.
Sie können die Auslösekriterien für Regeln konfigurieren, die Ereignisse für die folgenden Vorgänge überwachen:
Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
Wählen Sie in der Konsolenstruktur den Punkt Richtlinien aus.
Wählen Sie die gewünschte Richtlinie aus und öffnen Sie mit einem Doppelklick das Fenster mit den Richtlinieneigenschaften.
Wählen Sie im Richtlinienfenster Sicherheitskontrolle → Protokollanalyse aus.
Stellen Sie sicher, dass das Kontrollkästchen Protokollanalyse aktiviert ist.
Klicken Sie im Block Vordefinierte Regeln auf Einstellungen.
Aktivieren oder deaktivieren Sie Kontrollkästchen, um vordefinierte Regeln zu konfigurieren:
Es gibt Muster eines möglichen Brute-Force-Angriffs im System.
Während einer Netzwerkanmeldesitzung wurde eine ungewöhnliche Aktivität erkannt.
Es gibt Muster eines möglichen Missbrauchs des Windows-Ereignisprotokolls.
Es wurden ungewöhnliche Aktionen im Auftrag eines neu installierten Dienstes erkannt.
Es wurde eine ungewöhnliche Anmeldung erkannt, die explizite Anmeldedaten verwendet.
Es gibt Muster eines möglichen Angriffs mit gefälschtem Kerberos-PAC (MS14-068) im System.
Es wurden verdächtige Änderungen in der privilegierten integrierten Administratorgruppe erkannt.
Konfigurieren Sie ggf. die Regel Es gibt Muster eines möglichen Brute-Force-Angriffs im System:
Klicken Sie auf die Schaltfläche Einstellungen unter der Regel.
Geben Sie in dem sich öffnenden Fenster die Anzahl der Versuche und einen Zeitraum an, innerhalb dessen Versuche zur Eingabe eines Passworts unternommen werden müssen, damit die Regel ausgelöst wird.
Klicken Sie auf OK.
Wenn Sie die Regel Während einer Netzwerkanmeldesitzung wurde eine ungewöhnliche Aktivität erkannt ausgewählt haben, müssen Sie die entsprechenden Einstellungen konfigurieren:
Klicken Sie auf die Schaltfläche Einstellungen unter der Regel.
Geben Sie im Block Erkennung von Netzwerkanmeldungen Start und Ende des Intervalls ein.
Kaspersky Endpoint Security betrachtet Anmeldeversuche, die während des angegebenen Intervalls durchgeführt werden, als anormale Aktivität.
Das Intervall ist standardmäßig nicht angegeben und Anmeldeversuche werden von der App nicht überwacht. Damit Anmeldeversuche permanent von der Anwendung überwacht werden, geben Sie das Intervall 0:00 bis 23:59 an. Der Beginn und das Ende des Intervalls dürfen nicht übereinstimmen. Wenn sie den gleichen Wert haben, werden Anmeldeversuche nicht durch die App überwacht.
Erstellen Sie die Liste der vertrauenswürdigen Benutzer und vertrauenswürdigen IP-Adressen (IPv4 und IPv6).
Kaspersky Endpoint Security überwacht die Anmeldeversuche dieser Benutzer und Computer nicht.
Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Richtlinien und Profile.
Klicken Sie auf den Namen der Richtlinie von Kaspersky Endpoint Security.
Das Fenster mit den Richtlinieneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Gehen Sie zu Sicherheitskontrolle → Protokollanalyse.
Stellen Sie sicher, dass der Schalter Protokollanalyse aktiviert ist.
Aktivieren oder deaktivieren Sie im Block Vordefinierte Regeln die vordefinierten Regeln mithilfe der Schalter.
Es gibt Muster eines möglichen Brute-Force-Angriffs im System.
Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt.
Es gibt Muster eines möglichen Missbrauchs des Windows-Ereignisprotokolls.
Es wurden ungewöhnliche Aktionen im Auftrag eines neu installierten Dienstes erkannt.
Es wurde eine ungewöhnliche Anmeldung mit expliziten Anmeldedaten erkannt.
Es gibt Muster eines möglichen Angriffs mit gefälschtem Kerberos-PAC (MS14-068) im System.
Es wurden verdächtige Änderungen in der privilegierten integrierten Administratorgruppe erkannt.
Konfigurieren Sie ggf. die Regel Es gibt Muster eines möglichen Brute-Force-Angriffs im System:
Klicken Sie auf Einstellungen unter der Regel.
Geben Sie in dem sich öffnenden Fenster die Anzahl der Versuche und einen Zeitraum an, innerhalb dessen Versuche zur Eingabe eines Passworts unternommen werden müssen, damit die Regel ausgelöst wird.
Klicken Sie auf OK.
Wenn Sie die Regel Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt ausgewählt haben, müssen Sie die entsprechenden Einstellungen konfigurieren:
Klicken Sie auf Einstellungen unter der Regel.
Geben Sie im Block Erkennung von Netzwerkanmeldungen Start und Ende des Intervalls ein.
Kaspersky Endpoint Security betrachtet Anmeldeversuche, die während des angegebenen Intervalls durchgeführt werden, als anormale Aktivität.
Das Intervall ist standardmäßig nicht angegeben und Anmeldeversuche werden von der App nicht überwacht. Damit Anmeldeversuche permanent von der Anwendung überwacht werden, geben Sie das Intervall 0:00 bis 23:59 an. Der Beginn und das Ende des Intervalls dürfen nicht übereinstimmen. Wenn sie den gleichen Wert haben, werden Anmeldeversuche nicht durch die App überwacht.
Fügen Sie im Block Ausnahmen vertrauenswürdige Benutzer und vertrauenswürdige IP-Adressen (IPv4 und IPv6) hinzu.
Kaspersky Endpoint Security überwacht die Anmeldeversuche dieser Benutzer und Computer nicht.
Wählen Sie im Fenster mit den Programmeinstellungen Sicherheitskontrolle → Protokollanalyse aus.
Stellen Sie sicher, dass der Schalter Protokollanalyse aktiviert ist.
Klicken Sie im Block Vordefinierte Regeln auf Konfigurieren.
Aktivieren oder deaktivieren Sie Kontrollkästchen, um vordefinierte Regeln zu konfigurieren:
Es gibt Muster eines möglichen Brute-Force-Angriffs im System.
Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt.
Es gibt Muster eines möglichen Missbrauchs des Windows-Ereignisprotokolls.
Es wurden ungewöhnliche Aktionen im Auftrag eines neu installierten Dienstes erkannt.
Es wurde eine ungewöhnliche Anmeldung erkannt, die explizite Anmeldedaten verwendet.
Es gibt Muster eines möglichen Angriffs mit gefälschtem Kerberos-PAC (MS14-068) im System.
Es wurden verdächtige Änderungen in der privilegierten integrierten Administratorgruppe erkannt.
Konfigurieren Sie ggf. die Regel Es gibt Muster eines möglichen Brute-Force-Angriffs im System:
Klicken Sie auf Einstellungen unter der Regel.
Geben Sie in dem sich öffnenden Fenster die Anzahl der Versuche und einen Zeitraum an, innerhalb dessen Versuche zur Eingabe eines Passworts unternommen werden müssen, damit die Regel ausgelöst wird.
Wenn Sie die Regel Es wurde eine ungewöhnliche Aktivität während einer Netzwerkanmeldesitzung erkannt ausgewählt haben, müssen Sie die entsprechenden Einstellungen konfigurieren:
Klicken Sie auf Einstellungen unter der Regel.
Geben Sie im Block Erkennung von Netzwerkanmeldungen Start und Ende des Intervalls ein.
Kaspersky Endpoint Security betrachtet Anmeldeversuche, die während des angegebenen Intervalls durchgeführt werden, als anormale Aktivität.
Das Intervall ist standardmäßig nicht angegeben und Anmeldeversuche werden von der App nicht überwacht. Damit Anmeldeversuche permanent von der Anwendung überwacht werden, geben Sie das Intervall 0:00 bis 23:59 an. Der Beginn und das Ende des Intervalls dürfen nicht übereinstimmen. Wenn sie den gleichen Wert haben, werden Anmeldeversuche nicht durch die App überwacht.
Fügen Sie im Block Ausnahmen vertrauenswürdige Benutzer und vertrauenswürdige IP-Adressen (IPv4 und IPv6) hinzu.
Kaspersky Endpoint Security überwacht die Anmeldeversuche dieser Benutzer und Computer nicht.
Speichern Sie die vorgenommenen Änderungen.
Wenn die Regel ausgelöst wird, erstellt Kaspersky Endpoint Security daher ein kritisches Ereignis.