Предустановленные правила включают шаблоны аномальной активности на защищаемом компьютере. Аномальная активность может являться признаком попытки атаки. Для работы предустановленных правил приложение использует эвристический анализ. Для Анализа журналов доступно семь предустановленных правил. Вы можете включать и выключать любые правила. Удалить предустановленные правила невозможно.
Вы можете настроить критерии срабатывания правил, которые контролируют события для следующих операций:
В дереве Консоли администрирования Kaspersky Security Center выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне свойств политики выберите Диагностика системы.
В разделе Анализ журналов нажмите Настройка.
Установите флажок Анализ журналов.
На закладке Предустановленные правила установите флажок Применить предустановленные правила для анализа журналов.
Настройте работу предустановленных правил с помощью флажков:
Обнаружена возможная попытка взлома пароля с помощью подбора.
Обнаружена подозрительная активность во время сетевого сеанса входа.
Обнаружены признаки компрометации журналов Windows.
Обнаружена подозрительная активность со стороны новой установленной службы.
Обнаружена подозрительная аутентификация с явным указанием учетных данных.
Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
Нажмите на кнопку Настройка напротив правила.
В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
Нажмите на кнопку ОК.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
Нажмите на кнопку Настройка напротив правила.
В открывшемся окне в блоке Обработка атипичной аутентификации укажите начало и конец временного интервала.
Kaspersky Industrial CyberSecurity for Nodes будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
Сформируйте списки доверенных пользователей и доверенных IP-адресов компьютеров (IPv4 и IPv6).
Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно. Kaspersky Industrial CyberSecurity for Nodes не будет контролировать попытки входа для этих пользователей и компьютеров.
Исключение доверенных компьютеров по IP-адресу не работает в приложении под управлением операционной системы Windows XP.
В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.
Откроется окно свойств политики.
Выберите вкладку Параметры приложения.
Перейдите в раздел Диагностика системы → Анализ журналов и нажмите на кнопку Настроить.
Установите флажок Включить Анализ журналов.
На закладке Предустановленные правила установите флажок Использовать предустановленные правила для анализа журналов.
Настройте работу предустановленных правил с помощью переключателей:
Обнаружена возможная попытка взлома пароля с помощью подбора.
Обнаружена подозрительная активность во время сетевого сеанса входа.
Обнаружены признаки компрометации журналов Windows.
Обнаружена подозрительная активность со стороны новой установленной службы.
Обнаружена подозрительная аутентификация с явным указанием учетных данных.
Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
Обнаружены подозрительные изменения привилегированной группы Администраторы.
На закладке Расширенные укажите следующие параметры:
Количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля для срабатывания правила Обнаружена возможная попытка взлома пароля с помощью подбора.
Для срабатывания правила Обнаружена подозрительная активность во время сетевого сеанса входа укажите начало и конец временного интервала, в течение которого все попытки входа расцениваются приложением как аномальная активность.
По умолчанию интервал не задан, и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
Сформируйте списки доверенных пользователей и доверенных IP-адресов компьютеров (IPv4 и IPv6) на соответствующих закладках.
Вы можете выбрать пользователей из списка учетных записей или ввести имя локального пользователя вручную.
Исключение доверенных компьютеров по IP-адресу не работает в приложении под управлением операционной системы Windows XP.
В дереве Консоли Kaspersky Industrial CyberSecurity for Nodes выберите Мониторинг целостности системы → Анализ журналов.
В панели результатов узла Анализ журналов нажмите Свойства.
Откроется окно Свойства: Анализ журналов.
Установите флажок Анализ журналов.
На закладке Предустановленные правила установите флажок Применить предустановленные правила для анализа журналов.
Настройте работу предустановленных правил с помощью флажков:
Обнаружена возможная попытка взлома пароля с помощью подбора.
Обнаружена подозрительная активность во время сетевого сеанса входа.
Обнаружены признаки компрометации журналов Windows.
Обнаружена подозрительная активность со стороны новой установленной службы.
Обнаружена подозрительная аутентификация с явным указанием учетных данных.
Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
Нажмите на кнопку Настройка напротив правила.
В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
Нажмите на кнопку ОК.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
Нажмите на кнопку Настройка напротив правила.
В открывшемся окне в блоке Обработка атипичной аутентификации укажите начало и конец временного интервала.
Kaspersky Industrial CyberSecurity for Nodes будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
Сформируйте списки доверенных пользователей и доверенных IP-адресов компьютеров (IPv4 и IPv6).
Вы можете выбрать пользователей в Active Directory, из списка учетных записей в Kaspersky Security Center или ввести имя локального пользователя вручную. Специалисты "Лаборатории Касперского" рекомендуют использовать локальные учетные записи только в тех случаях, когда использовать доменные учетные записи невозможно. Сформируйте список пользователей из Active Directory. Kaspersky Industrial CyberSecurity for Nodes не будет контролировать попытки входа для этих пользователей и компьютеров.
Исключение доверенных компьютеров по IP-адресу не работает в приложении под управлением операционной системы Windows XP.
Нажмите на кнопку OК.
Сохраните внесенные изменения.
В результате Kaspersky Industrial CyberSecurity for Nodes при срабатывании правила будет создавать события со статусом Критическое.