配置預定義規則
預定義規則包括受防護電腦上異常活動的範本。異常活動可能表明有人嘗試攻擊。預定義規則由啟發式分析提供支援。記錄檢查有七項預定義規則可用。您可以啟用或停用任何這些規則。預定義規則無法被刪除。
您可以為以下操作配置監控事件的規則觸發條件:
如何在管理主控台 (MMC) 中配置預定義規則
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“安全控制 → 記錄檢查”。
- 請確保選中記錄審查核取方塊。
- 在”預定義規則”塊中,點擊”設定”按鈕。
- 選擇或清除核取方塊以配置預定義規則:
- 系統中有可能發生暴力密碼破解攻擊的模式
- 網路登入工作階段中偵測到一個非典型活動
- 有可能發生 Windows 事件記錄濫用的模式
- 代替安裝的新裝置偵測到了非典型操作
- 偵測到使用明顯憑據的非典型登入名稱
- 系統中有可能發生 Kerberos 偽造 PAC (MS14-068) 攻擊的模式
- 在有權限的內建管理群組中偵測到可疑變更
- 必要的話配置系統中有可能發生暴力密碼破解攻擊的模式規則:
- 點擊規則下的“設定”按鈕。
- 在開啟的視窗中,指定嘗試次數和在此期間必須執行密碼輸入嘗試以觸發規則的時間段。
- 點擊“確定”。
- 如果選定網路登入工作階段中偵測到一個非典型活動規則,您需要配置其設定:
- 點擊規則下的“設定”按鈕。
- 在網路登入偵測塊中,指定時間間隔的開始和結束時間。
Kaspersky Endpoint Security 將在定義的間隔期間執行的登入嘗試視為異常活動。
預設情況下不設定間隔期間,應用程式不監控登入嘗試。若要應用程式持續監控登入嘗試,請將間隔期間設為 12:00 AM - 11:59 PM。間隔期間的開始和結束不得重合。如果它們一樣,應用程式將不監控登入嘗試。
- 建立一個受信任使用者和受信任 IP 位址(IPv4 和 IPv6)清單。
您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。Kaspersky Endpoint Security 不監控這些使用者和電腦的登入嘗試。
- 點擊“確定”。
- 儲存變更。
如何在網頁主控台和雲端主控台中配置預定義規則
- 在網頁主控台的主視窗中,選擇裝置 → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”安全控制”→”記錄檢查”。
- 請確保記錄檢查開關已開啟。
- 在預定義規則塊中,使用開關啟用或停用預定義規則:
- 系統中有可能發生暴力密碼破解攻擊的模式
- 網路登入工作階段中偵測到一個非典型活動
- 有可能發生 Windows 事件記錄濫用的模式
- 代替安裝的新裝置偵測到了非典型操作
- 偵測到使用明顯憑據的非典型登入名稱
- 系統中有可能發生 Kerberos 偽造 PAC (MS14-068) 攻擊的模式
- 在有權限的內建管理員群組中偵測到可疑變更
- 必要的話配置系統中有可能發生暴力密碼破解攻擊的模式規則:
- 點擊規則下的設定。
- 在開啟的視窗中,指定嘗試次數和在此期間必須執行密碼輸入嘗試以觸發規則的時間段。
- 點擊“確定”。
- 如果選定網路登入工作階段中偵測到一個非典型活動規則,您需要配置其設定:
- 點擊規則下的設定。
- 在網路登入偵測塊中,指定時間間隔的開始和結束時間。
Kaspersky Endpoint Security 將在定義的間隔期間執行的登入嘗試視為異常活動。
預設情況下不設定間隔期間,應用程式不監控登入嘗試。若要應用程式持續監控登入嘗試,請將間隔期間設為 12:00 AM - 11:59 PM。間隔期間的開始和結束不得重合。如果它們一樣,應用程式將不監控登入嘗試。
- 在排除項目塊中,新增受信任使用者和受信任 IP 位址(IPv4 和 IPv6)。
您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。Kaspersky Endpoint Security 不監控這些使用者和電腦的登入嘗試。
- 點擊“確定”。
- 儲存變更。
如何在應用程式介面中配置預定義規則。
- 在“應用程式主視窗”中,點擊 按鈕。
- 在應用程式設定視窗中,選取”安全控制“→“記錄檢查”。
- 請確保記錄檢查開關已開啟。
- 在”預定義規則”塊中,點擊”配置”按鈕。
- 選擇或清除核取方塊以配置預定義規則:
- 系統中有可能發生暴力密碼破解攻擊的模式
- 網路登入工作階段中偵測到一個非典型活動
- 有可能發生 Windows 事件記錄濫用的模式
- 代替安裝的新裝置偵測到了非典型操作
- 偵測到使用明顯憑據的非典型登入名稱
- 系統中有可能發生 Kerberos 偽造 PAC (MS14-068) 攻擊的模式
- 在有權限的內建管理群組中偵測到可疑變更
- 必要的話配置系統中有可能發生暴力密碼破解攻擊的模式規則:
- 點擊規則下的設定。
- 在開啟的視窗中,指定嘗試次數和在此期間必須執行密碼輸入嘗試以觸發規則的時間段。
- 如果選定網路登入工作階段中偵測到一個非典型活動規則,您需要配置其設定:
- 點擊規則下的設定。
- 在網路登入偵測塊中,指定時間間隔的開始和結束時間。
Kaspersky Endpoint Security 將在定義的間隔期間執行的登入嘗試視為異常活動。
預設情況下不設定間隔期間,應用程式不監控登入嘗試。若要應用程式持續監控登入嘗試,請將間隔期間設為 12:00 AM - 11:59 PM。間隔期間的開始和結束不得重合。如果它們一樣,應用程式將不監控登入嘗試。
- 在排除項目塊中,新增受信任使用者和受信任 IP 位址(IPv4 和 IPv6)。
您可以在 Active Directory 中、在卡巴斯基安全管理中心的账户清單中或透過手動輸入本機使用者名稱來選擇使用者。卡巴斯基建議僅在無法使用網域使用者帳戶的特殊情況下使用本機使用者帳戶。Kaspersky Endpoint Security 不監控這些使用者和電腦的登入嘗試。
- 儲存變更。
結果,當規則觸發時,Kaspersky Endpoint Security 將建立“緊急”事件。
頁面頂部