Le regole predefinite includono modelli di attività anomale nel computer protetto. Le attività anomale possono indicare un tentativo di attacco. Le regole predefinite sono basate sull'analisi euristica. Sono disponibili sette regole predefinite per Log Inspection. È possibile abilitare o disabilitare una qualsiasi delle regole. Le regole predefinite non possono essere eliminate.
È possibile configurare i criteri di attivazione per le regole che monitorano gli eventi per le seguenti operazioni:
Aprire Kaspersky Security Center Administration Console.
Nella struttura della console, selezionare Criteri.
Selezionare il criterio necessario e fare doppio clic per aprire le proprietà del criterio.
Nella finestra del criterio, selezionare Controlli di sicurezza → Log Inspection.
Verificare che la casella di controllo Log Inspection sia selezionata.
Nel blocco Regole predefinite, fare clic sul pulsante Impostazioni.
Selezionare o deselezionare le caselle di controllo per configurare le regole predefinite:
Sono stati rilevati schemi di un possibile attacco di forza bruta nel sistema.
Sono state rilevate attività atipiche durante una sessione di accesso alla rete.
Sono stati rilevati schemi di un possibile abuso del registro eventi di Windows.
Rilevate azioni atipiche per conto di un nuovo servizio installato.
Rilevato un accesso atipico che utilizza credenziali esplicite.
Sono stati rilevati schemi di un possibile attacco PAC falsificato con Kerberos (MS14-068) nel sistema.
Rilevate modifiche sospette nel gruppo Amministratori integrato con privilegi.
Se necessario, configurare l'attività Sono stati rilevati schemi di un possibile attacco di forza bruta nel sistema:
Fare clic sul pulsante Impostazioni sotto la regola.
Nella finestra visualizzata, specificare il numero di tentativi e un periodo di tempo entro il quale devono essere eseguiti i tentativi di immissione di una password affinché la regola venga attivata.
Fare clic su OK.
Se è stata selezionata la regola Sono state rilevate attività atipiche durante una sessione di accesso alla rete, è necessario configurarne le impostazioni:
Fare clic sul pulsante Impostazioni sotto la regola.
Nel blocco Rilevamento degli accessi di rete, specificare l'inizio e la fine dell'intervallo di tempo.
Kaspersky Endpoint Security considera i tentativi di accesso eseguiti durante l'intervallo definito come attività anomale.
Per impostazione predefinita, l'intervallo non è impostato e l'applicazione non monitora i tentativi di accesso. Per consentire all'applicazione di monitorare continuamente i tentativi di accesso, impostare l'intervallo tra le 00:00 e le 23:59. L'inizio e la fine dell'intervallo non devono coincidere. Se sono identici, l'applicazione non monitora i tentativi di accesso.
Creare l'elenco degli utenti attendibili e degli indirizzi IP attendibili (IPv4 e IPv6).
È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio. Kaspersky Endpoint Security non monitora i tentativi di accesso per questi utenti e computer.
Nella finestra principale di Web Console, selezionare Dispositivi → Criteri e profili.
Fare clic sul nome del criterio di Kaspersky Endpoint Security.
Verrà visualizzata la finestra delle proprietà del criterio.
Selezionare la scheda Impostazioni applicazione.
Passare a Controlli di sicurezza → Log Inspection.
Verificare che l'interruttore Log Inspection sia attivato.
Nel blocco Regole predefinite, abilitare o disabilitare le regole predefinite utilizzando gli interruttori:
Sono stati rilevati schemi di un possibile attacco di forza bruta nel sistema.
Sono state rilevate attività atipiche durante una sessione di accesso alla rete.
Sono stati rilevati schemi di un possibile abuso del Registro eventi di Windows.
Rilevate azioni atipiche per conto di un nuovo servizio installato.
Rilevato un accesso atipico che utilizza credenziali esplicite.
Sono stati rilevati schemi di un possibile attacco PAC falsificato con Kerberos (MS14-068) nel sistema.
Rilevate modifiche sospette nel gruppo Amministratori integrato con privilegi.
Se necessario, configurare l'attività Sono stati rilevati schemi di un possibile attacco di forza bruta nel sistema:
Fare clic su Impostazioni sotto la regola.
Nella finestra visualizzata, specificare il numero di tentativi e un periodo di tempo entro il quale devono essere eseguiti i tentativi di immissione di una password affinché la regola venga attivata.
Fare clic su OK.
Se è stata selezionata la regola Sono state rilevate attività atipiche durante una sessione di accesso alla rete, è necessario configurarne le impostazioni:
Fare clic su Impostazioni sotto la regola.
Nel blocco Rilevamento dell'accesso alla rete, specificare l'inizio e la fine dell'intervallo di tempo.
Kaspersky Endpoint Security considera i tentativi di accesso eseguiti durante l'intervallo definito come attività anomale.
Per impostazione predefinita, l'intervallo non è impostato e l'applicazione non monitora i tentativi di accesso. Per consentire all'applicazione di monitorare continuamente i tentativi di accesso, impostare l'intervallo tra le 00:00 e le 23:59. L'inizio e la fine dell'intervallo non devono coincidere. Se sono identici, l'applicazione non monitora i tentativi di accesso.
Nel blocco Esclusioni, aggiungere utenti attendibili e indirizzi IP attendibili (IPv4 e IPv6).
È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio. Kaspersky Endpoint Security non monitora i tentativi di accesso per questi utenti e computer.
Nella finestra delle impostazioni dell'applicazione, selezionare Controlli di sicurezza → Log Inspection.
Verificare che l'interruttore Log Inspection sia attivato.
Nel blocco Regole predefinite, fare clic sul pulsante Configura.
Selezionare o deselezionare le caselle di controllo per configurare le regole predefinite:
Sono stati rilevati schemi di un possibile attacco di forza bruta nel sistema.
Sono state rilevate attività atipiche durante una sessione di accesso alla rete.
Sono stati rilevati schemi di un possibile abuso del registro eventi di Windows.
Rilevate azioni atipiche per conto di un nuovo servizio installato.
Rilevato un accesso atipico che utilizza credenziali esplicite.
Sono stati rilevati schemi di un possibile attacco PAC falsificato con Kerberos (MS14-068) nel sistema.
Rilevate modifiche sospette nel gruppo Amministratori integrato con privilegi.
Se necessario, configurare l'attività Sono stati rilevati schemi di un possibile attacco di forza bruta nel sistema:
Fare clic su Impostazioni sotto la regola.
Nella finestra visualizzata, specificare il numero di tentativi e un periodo di tempo entro il quale devono essere eseguiti i tentativi di immissione di una password affinché la regola venga attivata.
Se è stata selezionata la regola Sono state rilevate attività atipiche durante una sessione di accesso alla rete, è necessario configurarne le impostazioni:
Fare clic su Impostazioni sotto la regola.
Nel blocco Rilevamento degli accessi di rete, specificare l'inizio e la fine dell'intervallo di tempo.
Kaspersky Endpoint Security considera i tentativi di accesso eseguiti durante l'intervallo definito come attività anomale.
Per impostazione predefinita, l'intervallo non è impostato e l'applicazione non monitora i tentativi di accesso. Per consentire all'applicazione di monitorare continuamente i tentativi di accesso, impostare l'intervallo tra le 00:00 e le 23:59. L'inizio e la fine dell'intervallo non devono coincidere. Se sono identici, l'applicazione non monitora i tentativi di accesso.
Nel blocco Esclusioni, aggiungere utenti attendibili e indirizzi IP attendibili (IPv4 e IPv6).
È possibile selezionare gli utenti in Active Directory, nell'elenco degli account in Kaspersky Security Center o immettendo manualmente un nome utente locale. Kaspersky consiglia di utilizzare account utente locali solo in casi speciali in cui non è possibile utilizzare account utente di dominio. Kaspersky Endpoint Security non monitora i tentativi di accesso per questi utenti e computer.
Salvare le modifiche.
Come risultato, quando la regola si attiva, Kaspersky Endpoint Security crea l'evento Critico.