Las reglas predefinidas incluyen plantillas de actividad anormal en el equipo protegido. La actividad anormal puede implicar un intento de ataque. Las reglas predefinidas funcionan con análisis heurístico. Inspección de registro tiene siete reglas predefinidas disponibles. Puede habilitarlas o deshabilitarlas. Las reglas predefinidas no se pueden eliminar.
Puede configurar los criterios de activación de las reglas que monitorean eventos para las siguientes operaciones:
Detección de ataques de fuerza bruta a contraseñas
Abra la Consola de administración de Kaspersky Security Center.
En el árbol de la consola, seleccione Directivas.
Seleccione la directiva correspondiente y haga doble clic para abrir las propiedades de la directiva.
En la ventana de la directiva, seleccione Controles de seguridad → Inspección de registro.
Asegúrese de que la casilla de verificación Inspección de registro esté seleccionada.
En el bloque Reglas predefinidas, haga clic en el botón Configuración.
Para configurar reglas predefinidas, seleccione o anule la selección de las casillas de verificación:
Hay patrones de un posible ataque de fuerza bruta en el sistema.
Se detectó una actividad inusual durante un inicio de sesión en la red.
Hay patrones de un posible abuso del registro de eventos de Windows.
Se detectaron acciones atípicas de parte de un nuevo servicio instalado.
Se detectó un inicio de sesión atípico que usa credenciales explícitas.
Hay patrones de un posible ataque de PAC de Kerberos falsificado (MS14-068) en el sistema.
Se detectaron cambios sospechosos en el grupo de administradores integrado y con privilegios.
Si es necesario, configure la regla Hay patrones de un posible ataque de fuerza bruta en el sistema:
Haga clic en el botón Configuración debajo de la regla.
En la ventana que se abre, especifique el número de intentos y el período en el cual se deben realizar los intentos para ingresar una contraseña a fin de que se active la regla.
Haga clic en Aceptar.
Si seleccionó la regla Se detectó una actividad inusual durante un inicio de sesión en la red, deberá configurarla:
Haga clic en el botón Configuración debajo de la regla.
En el bloque Detección de inicios de sesión en la red, especifique el inicio y el final del intervalo de tiempo.
Kaspersky Endpoint Security considera los intentos de inicio de sesión realizados durante el intervalo definido como actividad anormal.
De manera predeterminada, el intervalo no se establece, y la aplicación no supervisa los intentos de inicio de sesión. Para que la aplicación supervise constantemente los intentos de inicio de sesión, establezca el intervalo entre las 12:00 a. m. y las 11:59 p. m. El inicio y el final del intervalo no deben coincidir. Si coinciden, la aplicación no supervisa los intentos de inicio de sesión.
Cree la lista de usuarios de confianza y direcciones IP de confianza (IPv4 e IPv6).
Puede seleccionar usuarios en Active Directory, en la lista de cuentas en Kaspersky Security Center o ingresando un nombre de usuario local manualmente. Kaspersky recomienda usar cuentas de usuario locales solo en casos especiales cuando no es posible usar cuentas de usuario de dominio. Kaspersky Endpoint Security no monitorea los intentos de inicio de sesión de estos usuarios y equipos.
En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
Seleccione la ficha Configuración de la aplicación.
Vaya a Controles de seguridad → Inspección de registro.
Asegúrese de que el interruptor Inspección de registro esté activado.
En el bloque Reglas predefinidas, habilite o deshabilite las reglas predefinidas usando los interruptores:
Hay patrones de un posible ataque de fuerza bruta en el sistema.
Se detectó una actividad inusual durante un inicio de sesión en la red.
Hay patrones de un posible abuso del registro de eventos de Windows.
Se detectaron acciones atípicas de parte de un nuevo servicio instalado.
Se detectó un inicio de sesión atípico que usa credenciales explícitas.
Hay patrones de un posible ataque de PAC de Kerberos falsificado (MS14-068) en el sistema.
Se detectaron cambios sospechosos en el grupo de administradores integrado y con privilegios.
Si es necesario, configure la regla Hay patrones de un posible ataque de fuerza bruta en el sistema:
Haga clic en Configuración debajo de la regla.
En la ventana que se abre, especifique el número de intentos y el período en el cual se deben realizar los intentos para ingresar una contraseña a fin de que se active la regla.
Haga clic en Aceptar.
Si seleccionó la regla Se detectó una actividad inusual durante un inicio de sesión en la red, deberá configurarla:
Haga clic en Configuración debajo de la regla.
En el bloque Detección de inicios de sesión en la red, especifique el inicio y el final del intervalo de tiempo.
Kaspersky Endpoint Security considera los intentos de inicio de sesión realizados durante el intervalo definido como actividad anormal.
De manera predeterminada, el intervalo no se establece, y la aplicación no supervisa los intentos de inicio de sesión. Para que la aplicación supervise constantemente los intentos de inicio de sesión, establezca el intervalo entre las 12:00 a. m. y las 11:59 p. m. El inicio y el final del intervalo no deben coincidir. Si coinciden, la aplicación no supervisa los intentos de inicio de sesión.
En el bloque Exclusiones, agregue los usuarios de confianza y las direcciones IP de confianza (IPv4 e IPv6).
Puede seleccionar usuarios en Active Directory, en la lista de cuentas en Kaspersky Security Center o ingresando un nombre de usuario local manualmente. Kaspersky recomienda usar cuentas de usuario locales solo en casos especiales cuando no es posible usar cuentas de usuario de dominio. Kaspersky Endpoint Security no monitorea los intentos de inicio de sesión de estos usuarios y equipos.
En la ventana de configuración de la aplicación, seleccione Controles de seguridad → Inspección de registro.
Asegúrese de que el interruptor Inspección de registro esté activado.
En el bloque Reglas predefinidas, haga clic en el botón Configurar.
Para configurar reglas predefinidas, seleccione o anule la selección de las casillas de verificación:
Hay patrones de un posible ataque de fuerza bruta en el sistema.
Se detectó una actividad inusual durante un inicio de sesión en la red.
Hay patrones de un posible abuso del registro de eventos de Windows.
Se detectaron acciones atípicas de parte de un nuevo servicio instalado.
Se detectó un inicio de sesión atípico que usa credenciales explícitas.
Hay patrones de un posible ataque de PAC de Kerberos falsificado (MS14-068) en el sistema.
Se detectaron cambios sospechosos en el grupo de administradores integrado y con privilegios.
Si es necesario, configure la regla Hay patrones de un posible ataque de fuerza bruta en el sistema:
Haga clic en Configuración debajo de la regla.
En la ventana que se abre, especifique el número de intentos y el período en el cual se deben realizar los intentos para ingresar una contraseña a fin de que se active la regla.
Si seleccionó la regla Se detectó una actividad inusual durante un inicio de sesión en la red, deberá configurarla:
Haga clic en Configuración debajo de la regla.
En el bloque Detección de inicio de sesión en la red, especifique el inicio y el final del intervalo de tiempo.
Kaspersky Endpoint Security considera los intentos de inicio de sesión realizados durante el intervalo definido como actividad anormal.
De manera predeterminada, el intervalo no se establece, y la aplicación no supervisa los intentos de inicio de sesión. Para que la aplicación supervise constantemente los intentos de inicio de sesión, establezca el intervalo entre las 12:00 a. m. y las 11:59 p. m. El inicio y el final del intervalo no deben coincidir. Si coinciden, la aplicación no supervisa los intentos de inicio de sesión.
En el bloque Exclusiones, agregue los usuarios de confianza y las direcciones IP de confianza (IPv4 e IPv6).
Puede seleccionar usuarios en Active Directory, en la lista de cuentas en Kaspersky Security Center o ingresando un nombre de usuario local manualmente. Kaspersky recomienda usar cuentas de usuario locales solo en casos especiales cuando no es posible usar cuentas de usuario de dominio. Kaspersky Endpoint Security no monitorea los intentos de inicio de sesión de estos usuarios y equipos.
Guarde los cambios.
Como resultado, cuando se activa la regla, Kaspersky Endpoint Security crea un evento Crítico.