Pode definir os seus próprios critérios de acionamento da regra da Inspeção de Registo. Para o fazer, tem de inserir um ID do evento e selecionar uma fonte do evento. Pode procurar o ID do evento no site de suporte técnico da Microsoft. Pode selecionar uma fonte do evento entre os registos padrão: Application, Security ou System. Também pode especificar o registo de uma aplicação de terceiros. Pode descobrir o nome do registo da aplicação de terceiros utilizando a ferramenta Visualizador de eventos. Os registos de aplicações de terceiros são mantidos na pasta Registos de Aplicações e de Serviços (por exemplo, o registo do Windows PowerShell).
A aplicação não verifica se o registo especificado está realmente presente no registo de eventos do Windows. Se houver um erro no nome do registo, a aplicação não monitoriza os eventos desse registo.
A lista de regras personalizadas já inclui três regras criadas por especialistas da Kaspersky.
Abra a Consola de Administração do Kaspersky Security Center.
Na árvore da consola, selecione Policies.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela de política, selecione Controlos de segurança → Inspeção de Registo.
Certifique-se de que a caixa de verificação Inspeção de Registo está assinalada.
No bloco Regras personalizadas, clique no botão Definições.
Na janela que se abre, selecione as caixas de verificação correspondentes às regras personalizadas que deseja ativar.
Se for necessário, clique em Adicionar para criar as suas próprias regras personalizadas.
Irá abrir-se uma janela; nessa janela, configure a regra personalizada:
Nome da regra.
Nome do registo. Registos de Eventos do Windows. Estão disponíveis os seguintes registos: Application, Security, System.
Origem. Registos de aplicações de terceiros. Pode descobrir o nome do registo da aplicação de terceiros utilizando a ferramenta Visualizador de eventos. Os registos de aplicações de terceiros são mantidos na pasta Registos de Aplicações e de Serviços (por exemplo, o registo do Windows PowerShell).
Identificadores de eventos. ID de eventos no Registo de Eventos do Windows. Pode procurar o ID do evento na Documentação técnica da Microsoft.
Na janela principal da Consola Web, selecione Devices → Policies & Profiles.
Clique no nome da política do Kaspersky Endpoint Security.
É apresentada a janela de propriedades da política.
Selecione o separador Application settings.
Aceda a Security Controls → Log Inspection.
Certifique-se de que o botão de alternar Log Inspection está ativado.
No bloco Custom rules, selecione as regras personalizadas que pretende ativar.
Se for necessário, clique em Add para criar as suas próprias regras personalizadas.
Irá abrir-se uma janela; nessa janela, configure a regra personalizada:
Rule name.
Windows Event Log name. Registos de Eventos do Windows. Estão disponíveis os seguintes registos: Application, Security, System.
Source. Registos de aplicações de terceiros. Pode descobrir o nome do registo da aplicação de terceiros utilizando a ferramenta Visualizador de eventos. Os registos de aplicações de terceiros são mantidos na pasta Registos de Aplicações e de Serviços (por exemplo, o registo do Windows PowerShell).
Windows Event Log identifier. ID de eventos no Registo de Eventos do Windows. Pode procurar o ID do evento na Documentação técnica da Microsoft.
Na janela Application settings, selecione Controlos de segurança → Inspeção de Registo.
Certifique-se de que o botão de alternar Inspeção de Registo está ativado.
No bloco Regras personalizadas, clique no botão Configurar.
Na janela que se abre, selecione as caixas de verificação correspondentes às regras personalizadas que deseja ativar.
Se for necessário, clique em Adicionar para criar as suas próprias regras personalizadas.
Irá abrir-se uma janela; nessa janela, configure a regra personalizada:
Nome da regra.
Nome do registo. Registos de Eventos do Windows. Estão disponíveis os seguintes registos: Application, Security, System.
Origem. Registos de aplicações de terceiros. Pode descobrir o nome do registo da aplicação de terceiros utilizando a ferramenta Visualizador de eventos. Os registos de aplicações de terceiros são mantidos na pasta Registos de Aplicações e de Serviços (por exemplo, o registo do Windows PowerShell).
Identificador de eventos. ID de eventos no Registo de Eventos do Windows. Pode procurar o ID do evento na Documentação técnica da Microsoft.
Guarde as suas alterações.
Como resultado, quando a regra é acionada, o Kaspersky Endpoint Security cria um evento Critical.
.