É possível definir seus próprios critérios de acionamento da regra de Inspeção de Log. Para fazer isso, é preciso inserir um ID de evento e selecionar uma fonte de evento. É possível procurar o ID de evento no site de suporte técnico da Microsoft. É possível selecionar uma fonte de evento entre os logs padrão: Application, Security ou System. Também é possível especificar o log de um aplicativo de terceiros. É possível descobrir o nome do log do aplicativo de terceiros usando a ferramenta Visualizador de Eventos. Os logs de aplicativos de terceiros são mantidos na pasta Logs de Aplicativos e Serviços (por exemplo, o log Windows PowerShell).
O aplicativo não verifica se o log especificado está realmente presente no log de eventos do Windows. Caso haja um erro no nome do log, o aplicativo não monitorará os eventos desse log.
A lista de regras personalizadas já inclui três regras criadas pelos especialistas da Kaspersky.
Abra o Console de Administração do Kaspersky Security Center.
Na árvore do console, selecione Políticas.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela da política, selecione Controles de Segurança → Inspeção de log.
Certifique-se de que a caixa de seleção Inspeção de log esteja marcada.
No bloco Regras personalizadas, clique no botão Configurações.
Na janela aberta, marque as caixas de seleção ao lado das regras personalizadas que deseja ativar.
Se necessário, clique em Adicionar para criar suas próprias regras personalizadas.
Uma janela será aberta; nessa janela, configure a regra personalizada:
Nome da regra.
Nome do log. Logs de eventos do Windows. Os seguintes logs estão disponíveis: Application, Security, System.
Fonte. Logs de aplicativos de terceiros. É possível descobrir o nome do log do aplicativo de terceiros usando a ferramenta Visualizador de Eventos. Os logs de aplicativos de terceiros são mantidos na pasta Logs de Aplicativos e Serviços (por exemplo, o log Windows PowerShell).
Identificadores de evento. IDs de eventos no Log de eventos do Windows. É possível procurar o ID do evento na documentação técnica da Microsoft.
Na janela principal do Web Console, selecione Dispositivos → Políticas e perfis.
Clique no nome da política do Kaspersky Endpoint Security.
A janela de propriedades da política é exibida.
Selecione a guia Configurações do aplicativo.
Selecione Controles de Segurança → Inspeção de log.
Certifique-se de que o botão de alternância Inspeção de log esteja ligado.
No bloco Regras personalizadas, selecione as regras personalizadas que deseja ativar.
Se necessário, clique em Adicionar para criar suas próprias regras personalizadas.
Uma janela será aberta; nessa janela, configure a regra personalizada:
Nome da regra.
Nome do Log de Eventos do Windows. Logs de eventos do Windows. Os seguintes logs estão disponíveis: Application, Security, System.
Fonte. Logs de aplicativos de terceiros. É possível descobrir o nome do log do aplicativo de terceiros usando a ferramenta Visualizador de Eventos. Os logs de aplicativos de terceiros são mantidos na pasta Logs de Aplicativos e Serviços (por exemplo, o log Windows PowerShell).
Identificador de log de eventos do Windows. IDs de eventos no Log de eventos do Windows. É possível procurar o ID do evento na documentação técnica da Microsoft.
Na janela de configurações do aplicativo, selecione Controles de segurança → Inspeção de log.
Certifique-se de que o botão de alternância Inspeção de log esteja ligado.
No bloco Regras personalizadas, clique no botão Configurar.
Na janela aberta, marque as caixas de seleção ao lado das regras personalizadas que deseja ativar.
Se necessário, clique em Adicionar para criar suas próprias regras personalizadas.
Uma janela será aberta; nessa janela, configure a regra personalizada:
Nome da regra.
Nome do log. Logs de eventos do Windows. Os seguintes logs estão disponíveis: Application, Security, System.
Fonte. Logs de aplicativos de terceiros. É possível descobrir o nome do log do aplicativo de terceiros usando a ferramenta Visualizador de Eventos. Os logs de aplicativos de terceiros são mantidos na pasta Logs de Aplicativos e Serviços (por exemplo, o log Windows PowerShell).
Identificador de evento. IDs de eventos no Log de eventos do Windows. É possível procurar o ID do evento na documentação técnica da Microsoft.
Salvar alterações.
Assim, quando a regra é acionada, o Kaspersky Endpoint Security cria o evento Crítico.