配置预定义规则
预定义规则包括受保护计算机上异常活动的模板。异常活动可能表示攻击未遂。预定义规则由启发式分析提供支持。有七条预定义规则可用于日志审查。您可以启用或禁用任意这些规则。无法删除预定义规则。
您可以为监视以下操作事件的规则配置触发条件:
- 密码强力检测
- 网络登录检测
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 安全控制 → 日志审查。
- 确保“日志审查”复选框被选中。
- 在“预定义规则”块中单击“设置”按钮。
- 选择或清空复选框以配置预定义规则:
- “系统中存在可能的暴力攻击模式”。
- “在网络登录会话期间检测到非典型活动”。
- “可能存在滥用 Windows 事件日志的模式”。
- “检测到代表安装了新服务的非典型操作”。
- “检测到使用显式凭证的非典型登录”。
- “系统中存在可能的 Kerberos 伪造的 PAC (MS14-068) 攻击模式”。
- “在特权内置管理员组中检测到可疑更改”。
- 如果必要,配置“系统中存在可能的暴力攻击模式”规则:
- 单击规则下的“设置”按钮。
- 在打开的窗口中,指定要触发规则必须尝试输入密码的次数和时间段。
- 单击“确定”。
- 如果您选择了“在网络登录会话期间检测到非典型活动”规则,您需要配置其设置:
- 单击规则下的“设置”按钮。
- 在“网络登录检测”块中,指定时间间隔的开始和结束。
Kaspersky Endpoint Security 将在所定义期间执行的登录尝试视为异常活动。
默认情况下,不设置间隔,并且应用程序不监控登录尝试。要让应用程序连续监控登录尝试,请将间隔设置为 12:00 AM - 11:59 PM。间隔的开始和结束不能重合。如果它们相同,则应用程序不会监控登录尝试。
- 创建受信任用户和受信任 IP 地址(IPv4 和 IPv6)列表。
您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户时。Kaspersky Endpoint Security 不监控这些用户和计算机的登录尝试。
- 单击“确定”。
- 保存更改。
- 在 Web Console 的主窗口中,选择“设备” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 安全控制 → 日志审查。
- 确保“日志审查”开关已开启。
- 在“预定义规则”块,使用开关启用或及你用预定义规则:
- “系统中存在可能的暴力攻击模式”。
- “在网络登录会话期间检测到非典型活动”。
- “可能存在滥用 Windows 事件日志的模式”。
- “检测到代表安装了新服务的非典型操作”。
- “检测到使用显式凭证的非典型登录”。
- “系统中存在可能的 Kerberos 伪造的 PAC (MS14-068) 攻击模式”。
- “在特权内置管理员组中检测到可疑更改”。
- 如果必要,配置“系统中存在可能的暴力攻击模式”规则:
- 单击规则下方的“设置”。
- 在打开的窗口中,指定要触发规则必须尝试输入密码的次数和时间段。
- 单击“确定”。
- 如果您选择了“在网络登录会话期间检测到非典型活动”规则,您需要配置其设置:
- 单击规则下方的“设置”。
- 在“网络登录检测”块中,指定时间间隔的开始和结束。
Kaspersky Endpoint Security 将在所定义期间执行的登录尝试视为异常活动。
默认情况下,不设置间隔,并且应用程序不监控登录尝试。要让应用程序连续监控登录尝试,请将间隔设置为 12:00 AM - 11:59 PM。间隔的开始和结束不能重合。如果它们相同,则应用程序不会监控登录尝试。
- 在“排除项”块,添加受信任用户和受信任 IP 地址(IPv4 和 IPv6)。
您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户时。Kaspersky Endpoint Security 不监控这些用户和计算机的登录尝试。
- 单击“确定”。
- 保存更改。
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“安全控制” → “日志审查”。
- 确保“日志审查”开关已开启。
- 在“预定义规则”块中单击“配置”按钮。
- 选择或清空复选框以配置预定义规则:
- “系统中存在可能的暴力攻击模式”。
- “在网络登录会话期间检测到非典型活动”。
- “可能存在滥用 Windows 事件日志的模式”。
- “检测到代表安装了新服务的非典型操作”。
- “检测到使用显式凭证的非典型登录”。
- “系统中存在可能的 Kerberos 伪造的 PAC (MS14-068) 攻击模式”。
- “在特权内置管理员组中检测到可疑更改”。
- 如果必要,配置“系统中存在可能的暴力攻击模式”规则:
- 单击规则下方的“设置”。
- 在打开的窗口中,指定要触发规则必须尝试输入密码的次数和时间段。
- 如果您选择了“在网络登录会话期间检测到非典型活动”规则,您需要配置其设置:
- 单击规则下方的“设置”。
- 在“网络登录检测”块中,指定时间间隔的开始和结束。
Kaspersky Endpoint Security 将在所定义期间执行的登录尝试视为异常活动。
默认情况下,不设置间隔,并且应用程序不监控登录尝试。要让应用程序连续监控登录尝试,请将间隔设置为 12:00 AM - 11:59 PM。间隔的开始和结束不能重合。如果它们相同,则应用程序不会监控登录尝试。
- 在“排除项”块,添加受信任用户和受信任 IP 地址(IPv4 和 IPv6)。
您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户时。Kaspersky Endpoint Security 不监控这些用户和计算机的登录尝试。
- 保存更改。
因此,当触发规则时,Kaspersky Endpoint Security 创建“严重”事件。
页面顶部