Предустановленные правила включают шаблоны аномальной активности на защищаемом компьютере. Аномальная активность может являться признаком попытки атаки. Для работы предустановленных правил приложение использует эвристический анализ. Для Анализа журналов доступно семь предустановленных правил. Вы можете включать и выключать любые правила. Удалить предустановленные правила невозможно.
Вы можете настроить критерии срабатывания правил, которые контролируют события для следующих операций:
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Контроль безопасности → Анализ журналов.
Убедитесь, что флажок Анализ журналов установлен.
В блоке Предустановленные правила нажмите на кнопку Настройка.
Настройте работу предустановленных правил с помощью флажков:
Обнаружена возможная попытка взлома пароля с помощью подбора.
Обнаружена подозрительная активность во время сетевого сеанса входа.
Обнаружены признаки компрометации журналов Windows.
Обнаружена подозрительная активность со стороны новой установленной службы.
Обнаружена подозрительная аутентификация с явным указанием учетных данных.
Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
Нажмите на кнопку Настройка под правилом.
В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
Нажмите на кнопку ОК.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
Нажмите на кнопку Настройка под правилом.
В блоке Обработка атипичной аутентификации укажите начало и конец временного интервала.
Kaspersky Endpoint Security будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
Сформируйте списки доверенных пользователей и доверенных IP-адресов компьютеров (IPv4 и IPv6).
Сформируйте список пользователей из Active Directory. Kaspersky Endpoint Security не будет контролировать попытки входа для этих пользователей и компьютеров.
В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Контроль безопасности → Анализ журналов.
Убедитесь, что переключатель Анализ журналов включен.
В блоке Предустановленные правила настройте работу предустановленных правил с помощью переключателей:
Обнаружена возможная попытка взлома пароля с помощью подбора.
Обнаружена подозрительная активность во время сетевого сеанса входа.
Обнаружены признаки компрометации журналов Windows.
Обнаружена подозрительная активность со стороны новой установленной службы.
Обнаружена подозрительная аутентификация с явным указанием учетных данных.
Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
Нажмите Настройка под правилом.
В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
Нажмите на кнопку ОК.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
Нажмите Настройка под правилом.
В блоке Обнаружение входа в сеть укажите начало и конец временного интервала.
Kaspersky Endpoint Security будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
В блоке Исключения добавьте доверенных пользователей и доверенные IP-адреса компьютеров (IPv4 и IPv6).
Сформируйте список пользователей из Active Directory. Kaspersky Endpoint Security не будет контролировать попытки входа для этих пользователей и компьютеров.
В окне параметров приложения в блоке Контроль безопасности и нажмите на плитку Анализ журналов.
Убедитесь, что переключатель Анализ журналов включен.
В блоке Предустановленные правила нажмите на кнопку Настроить.
Настройте работу предустановленных правил с помощью флажков:
Обнаружена возможная попытка взлома пароля с помощью подбора.
Обнаружена подозрительная активность во время сетевого сеанса входа.
Обнаружены признаки компрометации журналов Windows.
Обнаружена подозрительная активность со стороны новой установленной службы.
Обнаружена подозрительная аутентификация с явным указанием учетных данных.
Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
Нажмите Настройка под правилом.
В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
Нажмите Настройка под правилом.
В блоке Обработка атипичной аутентификации укажите начало и конец временного интервала.
Kaspersky Endpoint Security будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
В блоке Исключения добавьте доверенных пользователей и доверенные IP-адреса компьютеров (IPv4 и IPv6).
Сформируйте список пользователей из Active Directory. Kaspersky Endpoint Security не будет контролировать попытки входа для этих пользователей и компьютеров.
Сохраните внесенные изменения.
В результате Kaspersky Endpoint Security при срабатывании правила будет создавать события со статусом Критическое.