事前定義済みのルールの設定
事前定義済みのルールには、保護対象コンピューター上における正常でない活動のテンプレートが含まれます。正常でない活動は、攻撃の可能性を示している場合があります。事前定義済みのルールはヒューリスティック分析によって動作します。Windows イベントログ監視には 7 つの事前定義済みのルールが使用できます。いずれのルールを有効または無効にすることができます。事前定義済みのルールを削除することはできません。
次の操作に対するイベントの監視ルールの適用条件を設定できます:
- パスワードのブルートフォース攻撃の検知
- ネットワークログオンの検知
管理コンソール(MMC)で事前定義済みのルールを設定する方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[ポリシー]を選択します。
- 目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
- ポリシーウィンドウで、[セキュリティコントロール]→[Windows イベントログ監視]の順に選択します。
- [Windows イベントログ監視]がオンになっていることを確認してください。
- [事前定義済みのルール]ブロックの[設定]をクリックします。
- チェックボックスをオンまたはオフにして、事前定義済みのルールを設定します:
- システムにブルートフォース攻撃の可能性を示すパターンがあります
- ネットワークログオンセッション中に通常と異なる活動を検知しました
- Windows イベントログの悪用の可能性を示すパターンがあります
- 新しくインストールしたサービスに通常と異なる活動が検出されました
- 明示的な資格情報を使用した通常と異なるログオンが検出されました
- システムに Kerberos 偽装 PAC(MS14-068)攻撃の可能性を示すパターンがあります
- 特権付きの組み込み管理者グループ内で疑わしい変更を検知しました
- 必要に応じて、[システムにブルートフォース攻撃の可能性を示すパターンがあります]ルールを設定します:
- ルールの下で[設定]をクリックします。
- 表示されるウィンドウで、ルールが適用されるパスワードの入力試行の回数と期間を指定します。
- [OK]をクリックします。
- [ネットワークログオンセッション中に通常と異なる活動を検知しました]ルールを選択した場合、設定を構成する必要があります:
- ルールの下で[設定]をクリックします。
- [ネットワークログオンの検知]ブロックで、間隔の開始および終了時間を指定します。
Kaspersky Endpoint Security はこの定義された間隔で実行されたログオン試行回数を正常でない活動と認識します。
既定では、間隔は設定されておらず、本製品はログオン試行回数を監視しません。本製品がログオン試行回数を継続的に監視するには、間隔を午前 0 時から午後 11 時 59 分に設定します。間隔の開始時間と終了時間には異なる時間を指定する必要があります。開始時間と終了時間が同じである場合、アプリケーションはログオン試行回数を監視しません。
- 信頼するユーザーと信頼する IP アドレス(IPv4 および IPv6)のリストを作成します。
ユーザーは、Active Directory または Kaspersky Security Center のアカウントのリストで選択するか、ローカルユーザー名を手入力して選択することができます。ローカルユーザーアカウントを使用するのは、ドメインユーザーアカウントを使用できない特別な状況のみにすることを推奨します。Kaspersky Endpoint Security はこれらのユーザーおよびコンピューターのログオン試行を監視しません。
- [OK]をクリックします。
- 変更内容を保存します。
Web コンソールと Cloud コンソールで事前定義済みのルールを設定する方法
- Web コンソールのメインウィンドウで、 [デバイス] → [ポリシーとプロファイル]をクリックします。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [セキュリティコントロール]→[Windows イベントログ監視]に移動します。
- [Windows イベントログ監視]がオンになっていることを確認してください。
- [事前定義済みのルール]ブロックで、トグルスイッチを使用して事前定義済みのルールをオンまたはオフにします:
- システムにブルートフォース攻撃の可能性を示すパターンがあります
- ネットワークログオンセッション中に通常と異なる活動を検知しました
- Windows イベントログの悪用の可能性を示すパターンがあります
- 新しくインストールしたサービスに通常と異なる活動が検出されました
- 明示的な資格情報を使用した通常と異なるログオンが検出されました
- システムに Kerberos 偽装 PAC(MS14-068)攻撃の可能性を示すパターンがあります
- 特権付きの組み込み管理者グループ内で疑わしい変更を検知しました
- 必要に応じて、[システムにブルートフォース攻撃の可能性を示すパターンがあります]ルールを設定します:
- ルールの下の[設定]をクリックします。
- 表示されるウィンドウで、ルールが適用されるパスワードの入力試行の回数と期間を指定します。
- [OK]をクリックします。
- [ネットワークログオンセッション中に通常と異なる活動を検知しました]ルールを選択した場合、設定を構成する必要があります:
- ルールの下の[設定]をクリックします。
- [ネットワークログオンの検知]ブロックで、間隔の開始および終了時間を指定します。
Kaspersky Endpoint Security はこの定義された間隔で実行されたログオン試行回数を正常でない活動と認識します。
既定では、間隔は設定されておらず、本製品はログオン試行回数を監視しません。本製品がログオン試行回数を継続的に監視するには、間隔を午前 0 時から午後 11 時 59 分に設定します。間隔の開始時間と終了時間には異なる時間を指定する必要があります。開始時間と終了時間が同じである場合、アプリケーションはログオン試行回数を監視しません。
- [除外リスト]ブロックで、信頼するユーザーと信頼する IP アドレス(IPv4 および IPv6)を追加します。
ユーザーは、Active Directory または Kaspersky Security Center のアカウントのリストで選択するか、ローカルユーザー名を手入力して選択することができます。ローカルユーザーアカウントを使用するのは、ドメインユーザーアカウントを使用できない特別な状況のみにすることを推奨します。Kaspersky Endpoint Security はこれらのユーザーおよびコンピューターのログオン試行を監視しません。
- [OK]をクリックします。
- 変更内容を保存します。
製品インターフェイスで事前定義済みのルールを設定する方法
- メインウィンドウで、 をクリックします。
- 本製品の設定ウィンドウで、[セキュリティコントロール]→[Windows イベントログ監視]を選択します。
- [Windows イベントログ監視]がオンになっていることを確認してください。
- [事前定義済みのルール]ブロックの[設定]をクリックします。
- チェックボックスをオンまたはオフにして、事前定義済みのルールを設定します:
- システムにブルートフォース攻撃の可能性を示すパターンがあります
- ネットワークログオンセッション中に通常と異なる活動を検知しました
- Windows イベントログの悪用の可能性を示すパターンがあります
- 新しくインストールしたサービスに通常と異なる活動が検出されました
- 明示的な資格情報を使用した通常と異なるログオンが検出されました
- システムに Kerberos 偽装 PAC(MS14-068)攻撃の可能性を示すパターンがあります
- 特権付きの組み込み管理者グループ内で疑わしい変更を検知しました
- 必要に応じて、[システムにブルートフォース攻撃の可能性を示すパターンがあります]ルールを設定します:
- ルールの下の[設定]をクリックします。
- 表示されるウィンドウで、ルールが適用されるパスワードの入力試行の回数と期間を指定します。
- [ネットワークログオンセッション中に通常と異なる活動を検知しました]ルールを選択した場合、設定を構成する必要があります:
- ルールの下の[設定]をクリックします。
- [ネットワークログオンの検知]ブロックで、間隔の開始および終了時間を指定します。
Kaspersky Endpoint Security はこの定義された間隔で実行されたログオン試行回数を正常でない活動と認識します。
既定では、間隔は設定されておらず、本製品はログオン試行回数を監視しません。本製品がログオン試行回数を継続的に監視するには、間隔を午前 0 時から午後 11 時 59 分に設定します。間隔の開始時間と終了時間には異なる時間を指定する必要があります。開始時間と終了時間が同じである場合、アプリケーションはログオン試行回数を監視しません。
- [除外リスト]ブロックで、信頼するユーザーと信頼する IP アドレス(IPv4 および IPv6)を追加します。
ユーザーは、Active Directory または Kaspersky Security Center のアカウントのリストで選択するか、ローカルユーザー名を手入力して選択することができます。ローカルユーザーアカウントを使用するのは、ドメインユーザーアカウントを使用できない特別な状況のみにすることを推奨します。Kaspersky Endpoint Security はこれらのユーザーおよびコンピューターのログオン試行を監視しません。
- 変更内容を保存します。
この結果、ルールがトリガーされると、Kaspersky Endpoint Security は緊急イベントを作成します。
ページのトップに戻る