Les règles prédéfinies incluent des modèles d'activité anormale sur l'ordinateur protégé. Une activité anormale peut signifier une tentative d'attaque. Les règles prédéfinies sont alimentées par une analyse heuristique. Sept règles prédéfinies sont disponibles pour l'inspection des journaux. Vous pouvez activer ou désactiver n'importe quelle règle. Les règles prédéfinies ne peuvent pas être supprimées.
Vous pouvez configurer les critères de déclenchement des règles qui surveillent les événements pour les opérations suivantes :
Détection des attaques brute-force contre les mots de passe
Ouvrez la Console d'administration de Kaspersky Security Center.
Dans l'arborescence de la console, sélectionnez Stratégies.
Sélectionnez la stratégie requise et ouvrez les propriétés de la stratégie d'un double-clic.
Dans la fenêtre de la stratégie, sélectionnez Contrôles de sécurité → Inspection des journaux.
Assurez-vous que la case Inspection des journaux est cochée.
Cliquez sur le bouton Paramètres dans le groupe Règles prédéfinies.
Cochez ou décochez les cases pour configurer des règles prédéfinies :
Certains comportements indiquent une possible attaque par force brute dans le système.
Une activité inhabituelle a été détectée lors d'une session de connexion au réseau.
Certains comportements indiquent une possible violation du journal des événements Windows.
Des actions inhabituelles ont été détectées au nom d'un nouveau service installé.
Connexion inhabituelle utilisant des identifiants explicites.
Certains comportements indiquent une possible attaque Kerberos forged PAC (MS14-068) dans le système.
Des modifications suspectes ont été détectées dans le groupe privilégié intégré « Administrateurs ».
Si nécessaire ; configurez la règle Certains comportements indiquent une possible attaque par force brute dans le système :
Cliquez sur le bouton Paramètres en dessous de la règle.
Dans la fenêtre qui s'ouvre, indiquez le nombre de tentatives et un délai dans lequel les tentatives de saisie d'un mot de passe doivent être effectuées pour que la règle se déclenche.
Cliquez sur le bouton OK.
Si vous avez sélectionné la règle Une activité inhabituelle a été détectée lors d'une session de connexion au réseau, vous devez configurer ses paramètres :
Cliquez sur le bouton Paramètres en dessous de la règle.
Dans le groupe Détection des connexions au réseau, spécifiez le début et la fin de l'intervalle de temps.
Kaspersky Endpoint Security considère les tentatives de connexion effectuées pendant l'intervalle défini comme une activité anormale.
Par défaut, l'intervalle n'est pas défini, et l'application ne surveille pas les tentatives de connexion. Pour que l'application surveille en permanence les tentatives de connexion, réglez l'intervalle sur 00 h 00 - 23 h 59. Le début et la fin de l'intervalle ne doivent pas coïncider. Si elles sont identiques, l'application ne surveille pas les tentatives de connexion.
Créez la liste des utilisateurs de confiance et des adresses IP de confiance (IPv4 et IPv6).
Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine. Kaspersky Endpoint Security ne surveille pas les tentatives de connexion de ces utilisateurs et ordinateurs.
Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
Sélectionnez l'onglet Paramètres des applications.
Passez à la section Contrôles de sécurité → Inspection des journaux.
Assurez-vous que l'interrupteur Inspection des journaux est activé.
Dans le groupe Règles prédéfinies, activez ou désactivez les règles prédéfinies à l'aide des interrupteurs :
Certains comportements indiquent une possible attaque par force brute dans le système.
Une activité inhabituelle a été détectée lors d'une session de connexion au réseau.
Certains comportements indiquent une possible violation du journal des événements Windows.
Des actions inhabituelles ont détectées au nom d'un nouveau service installé.
Connexion inhabituelle utilisant des identifiants explicites.
Certains comportements indiquent une possible attaque Kerberos forged PAC (MS14-068) dans le système.
Des modifications suspectes ont été détectées dans le groupe privilégié intégré « Administrateurs ».
Si nécessaire ; configurez la règle Certains comportements indiquent une possible attaque par force brute dans le système :
Cliquez sur Paramètres sous la règle.
Dans la fenêtre qui s'ouvre, indiquez le nombre de tentatives et un délai dans lequel les tentatives de saisie d'un mot de passe doivent être effectuées pour que la règle se déclenche.
Cliquez sur le bouton OK.
Si vous avez sélectionné la règle Une activité inhabituelle a été détectée lors d'une session de connexion au réseau, vous devez configurer ses paramètres :
Cliquez sur Paramètres sous la règle.
Dans le groupe Détection des connexions au réseau, spécifiez le début et la fin de l'intervalle de temps.
Kaspersky Endpoint Security considère les tentatives de connexion effectuées pendant l'intervalle défini comme une activité anormale.
Par défaut, l'intervalle n'est pas défini, et l'application ne surveille pas les tentatives de connexion. Pour que l'application surveille en permanence les tentatives de connexion, réglez l'intervalle sur 00 h 00 - 23 h 59. Le début et la fin de l'intervalle ne doivent pas coïncider. Si elles sont identiques, l'application ne surveille pas les tentatives de connexion.
Dans le groupe Exclusions, ajoutez des utilisateurs de confiance et des adresses IP de confiance (IPv4 et IPv6).
Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine. Kaspersky Endpoint Security ne surveille pas les tentatives de connexion de ces utilisateurs et ordinateurs.
Dans la fenêtre des paramètres de l'application, sélectionnez Contrôles de sécurité → Inspection des journaux.
Assurez-vous que l'interrupteur Inspection des journaux est activé.
Cliquez sur le bouton Configurer dans le groupe Règles prédéfinies.
Cochez ou décochez les cases pour configurer des règles prédéfinies :
Certains comportements indiquent une possible attaque par force brute dans le système.
Une activité inhabituelle a été détectée lors d'une session de connexion au réseau.
Certains comportements indiquent une possible violation du journal des événements Windows.
Des actions inhabituelles ont été détectées au nom d'un nouveau service installé.
Connexion inhabituelle utilisant des identifiants explicites.
Certains comportements indiquent une possible attaque Kerberos forged PAC (MS14-068) dans le système.
Des modifications suspectes ont été détectées dans le groupe privilégié intégré « Administrateurs ».
Si nécessaire ; configurez la règle Certains comportements indiquent une possible attaque par force brute dans le système :
Cliquez sur Paramètres sous la règle.
Dans la fenêtre qui s'ouvre, indiquez le nombre de tentatives et un délai dans lequel les tentatives de saisie d'un mot de passe doivent être effectuées pour que la règle se déclenche.
Si vous avez sélectionné la règle Une activité inhabituelle a été détectée lors d'une session de connexion au réseau, vous devez configurer ses paramètres :
Cliquez sur Paramètres sous la règle.
Dans le groupe Détection des connexions au réseau, spécifiez le début et la fin de l'intervalle de temps.
Kaspersky Endpoint Security considère les tentatives de connexion effectuées pendant l'intervalle défini comme une activité anormale.
Par défaut, l'intervalle n'est pas défini, et l'application ne surveille pas les tentatives de connexion. Pour que l'application surveille en permanence les tentatives de connexion, réglez l'intervalle sur 00 h 00 - 23 h 59. Le début et la fin de l'intervalle ne doivent pas coïncider. Si elles sont identiques, l'application ne surveille pas les tentatives de connexion.
Dans le groupe Exclusions, ajoutez des utilisateurs de confiance et des adresses IP de confiance (IPv4 et IPv6).
Vous pouvez sélectionner des utilisateurs dans Active Directory, dans la liste des comptes dans Kaspersky Security Center ou en saisissant un nom d'utilisateur local manuellement. Kaspersky recommande l'utilisation de comptes utilisateurs locaux uniquement dans les cas particuliers où il n'est pas possible d'utiliser les comptes utilisateurs du domaine. Kaspersky Endpoint Security ne surveille pas les tentatives de connexion de ces utilisateurs et ordinateurs.
Enregistrez vos modifications.
Par conséquent, lorsque la règle se déclenche, Kaspersky Endpoint Security crée un événement Critique.