Анализ журналов

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций.

Начиная с версии Kaspersky Endpoint Security для Windows 11.11.0 добавлена поддержка компонента Анализ журналов. Анализ журналов контролирует целостность защищаемой среды на основе журналов событий Windows. При обнаружении признаков нетипичного поведения в системе приложение информирует администратора, так как это поведение может указывать на попытки кибератак.

Kaspersky Endpoint Security анализирует журналы событий Windows и выявляет нарушения в соответствии с правилами. В компонент включены предустановленные правила. Для работы предустановленных правил приложение использует эвристический анализ. Также вы можете добавить собственные правила (пользовательские правила). При срабатывании правила, приложение создает событие со статусом Критическое (см. рис. ниже).

Для работы Анализа журналов убедитесь, что параметры политики аудита безопасности настроены и система регистрирует нужные события (подробнее см. на сайте Службы технической поддержки Microsoft).

Уведомление об обнаружении попытки взлома пароля. Пользователь может посмотреть подробную информацию о правиле.

Уведомление Анализа журналов

Параметры компонента Анализ журналов

Параметр

Описание

Предустановленные правила

Список правил Анализа журналов. Предустановленные правила включают шаблоны аномальной активности на защищаемом компьютере. Аномальная активность может являться признаком попытки атаки.

Пользовательские правила

Список правил Анализа журналов, которые добавил пользователь. Вы можете задать собственные критерии срабатывания правила Анализа журналов. Для этого вам нужно ввести идентификатор события и выбрать источник событий.

Для выбора источника событий доступны стандартные журналы: Application, Security или System. Также вы можете указать журнал стороннего приложения.

См. также об управлении программой через локальный интерфейс

Настройка предустановленных правил

Добавление пользовательских правил

В начало