Configurarea regulilor predefinite

Regulile predefinite includ șabloane de activitate anormală pe computerul protejat. Activitatea anormală poate semnifica o tentativă de atac. Regulile predefinite sunt susținute de analiza euristică. Sunt disponibile șapte reguli predefinite pentru Inspecție jurnal. Poți să activezi sau să dezactivezi oricare dintre aceste reguli. Regulile predefinite nu pot fi șterse.

Puteți configura criteriile de declanșare pentru regulile care monitorizează evenimentele pentru următoarele operațiuni:

Detectare prin forță brută a parolei
Detectare conectare la rețea

Cum să configurați regulile predefinite în Consola de administrare (MMC)

Deschide Consolă de administrare a Kaspersky Security Center.
În arborele consolei, selectați Policies.
Selectați politica necesară și faceți dublu clic pentru a deschide proprietățile politicii.
În fereastra politicii, selectați Security Controls → Inspecție jurnal.
Asigurați-vă că este selectată caseta de validare Inspecție jurnal.
În blocul Reguli predefinite, fă clic pe butonul Setări.
Bifați sau debifați casetele de selectare pentru a configura regulile predefinite:
- Există patternuri ale unui posibil atac prin forță brută în sistem.
- A fost detectată o activitate atipică în timpul unei sesiuni de conectare la rețea.
- Există patternuri ale unui pozibil abuz asupra Jurnalului de evenimente Windows.
- Au fost detectate acțiuni atipice în numele unui nou serviciu instalat.
- A fost detectată o conectare atipică care folosește acreditări explicite.
- Acestea sunt patternuri ale unui posibil atac contrafăcut a PAC-ului Kerberos (MS14-068) în sistem.
- Au fost detectate modificări suspecte în grupul privilegiat încorporat Administratori.
Dacă este necesar, configurați regula Există patternuri ale unui posibil atac prin forță brută în sistem:
1. Faceți clic pe butonul Setări de sub regulă.
2. În fereastra care se deschide, specificați numărul de încercări și o perioadă de timp în care trebuie efectuate încercările de introducere a unei parole pentru ca regula să se declanșeze.
3. Fă clic pe OK.
Dacă selectezi regula A fost detectată o activitate atipică în timpul unei sesiuni de conectare la rețea, trebuie să configurezi setările acesteia:
1. Faceți clic pe butonul Setări de sub regulă.
2. În blocul Detectare conectare la rețea, specificați începutul și sfârșitul intervalului de timp.
  Kaspersky Endpoint Security consideră încercările de conectare efectuate în intervalul definit drept activitate anormală.
  
  În mod implicit, intervalul nu este setat și aplicația nu monitorizează încercările de conectare. Pentru ca aplicația să monitorizeze continuu încercările de conectare, setați intervalul la 00:00 – 23:59. Începutul și sfârșitul intervalului nu trebuie să coincidă. Dacă acestea coincid, aplicația nu monitorizează încercările de conectare.
3. Creați lista de utilizatori de încredere și adrese IP de încredere (IPv4 și IPv6).
  Kaspersky Endpoint Security nu monitorizează încercările de conectare pentru acești utilizatori și aceste computere.
4. Fă clic pe OK.
Salvați-vă modificările.

Cum se configurează regulile predefinite în Web Console și Cloud Console

În fereastra principală a Web Console, selectați Devices → Policies & Profiles.
Faceți clic pe numele politicii Kaspersky Endpoint Security.
Se deschide fereastra de proprietăți a politicii.
Selectați fila Application settings.
Accesați Security Controls → Log Inspection.
Asigurați-vă că butonul de comutare Log Inspection este activat.
În blocul Predefined rules, activați sau dezactivați regulile predefinite folosind comutatoarele:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
Dacă este necesar, configurați regula There are patterns of a possible brute-force attack in the system:
1. Fă clic pe Settings sub regula.
2. În fereastra care se deschide, specificați numărul de încercări și o perioadă de timp în care trebuie efectuate încercările de introducere a unei parole pentru ca regula să se declanșeze.
3. Fă clic pe OK.
Dacă selectezi regula There is an atypical activity detected during a network logon session, trebuie să configurezi setările acesteia:
1. Fă clic pe Settings sub regula.
2. În blocul Network logon detection, specificați începutul și sfârșitul intervalului de timp.
  Kaspersky Endpoint Security consideră încercările de conectare efectuate în intervalul definit drept activitate anormală.
  
  În mod implicit, intervalul nu este setat și aplicația nu monitorizează încercările de conectare. Pentru ca aplicația să monitorizeze continuu încercările de conectare, setați intervalul la 00:00 – 23:59. Începutul și sfârșitul intervalului nu trebuie să coincidă. Dacă acestea coincid, aplicația nu monitorizează încercările de conectare.
3. În blocul Exclusions, adaugă utilizatori de încredere și adrese IP de încredere (IPv4 și IPv6).
  Kaspersky Endpoint Security nu monitorizează încercările de conectare pentru acești utilizatori și aceste computere.
4. Fă clic pe OK.
Salvați-vă modificările.

Cum se configurează regulile predefinite în interfața aplicației.

În fereastra principală a aplicației, faceți clic pe butonul .
În fereastra cu setările aplicației, selectați Security Controls → Inspecție jurnal.
Asigurați-vă că butonul de comutare Inspecție jurnal este activat.
În blocul Reguli predefinite, fă clic pe butonul Configurare.
Bifați sau debifați casetele de selectare pentru a configura regulile predefinite:
- Există patternuri ale unui posibil atac prin forță brută în sistem.
- A fost detectată o activitate atipică în timpul unei sesiuni de conectare la rețea.
- Există patternuri ale unui posibil abuz asupra Jurnalului de evenimente Windows.
- Au fost detectate acțiuni atipice în numele unui nou serviciu instalat.
- A fost detectată o conectare atipică care folosește acreditări explicite.
- Acestea sunt patternuri ale unui posibil atac contrafăcut a PAC-ului Kerberos (MS14-068) în sistem.
1. Au fost detectate modificări suspecte în grupul privilegiat încorporat Administratori.
Dacă este necesar, configurați regula Există patternuri ale unui posibil atac prin forță brută în sistem:
1. Fă clic pe Setări sub regula.
2. În fereastra care se deschide, specificați numărul de încercări și o perioadă de timp în care trebuie efectuate încercările de introducere a unei parole pentru ca regula să se declanșeze.
Dacă selectezi regula A fost detectată o activitate atipică în timpul unei sesiuni de conectare la rețea, trebuie să configurezi setările acesteia:
1. Fă clic pe Setări sub regula.
2. În blocul Detectarea conectării la rețea, specificați începutul și sfârșitul intervalului de timp.
  Kaspersky Endpoint Security consideră încercările de conectare efectuate în intervalul definit drept activitate anormală.
  
  În mod implicit, intervalul nu este setat și aplicația nu monitorizează încercările de conectare. Pentru ca aplicația să monitorizeze continuu încercările de conectare, setați intervalul la 00:00 – 23:59. Începutul și sfârșitul intervalului nu trebuie să coincidă. Dacă acestea coincid, aplicația nu monitorizează încercările de conectare.
3. În blocul Excluderi, adaugă utilizatori de încredere și adrese IP de încredere (IPv4 și IPv6).
  Kaspersky Endpoint Security nu monitorizează încercările de conectare pentru acești utilizatori și aceste computere.
Salvați-vă modificările.

Ca rezultat, atunci când regula se declanșează, Kaspersky Endpoint Security creează evenimentul Critic.

Începutul paginii