Cuando la tarea Inspección de registros se ejecuta, Kaspersky Embedded Systems Security para Windows supervisa la integridad del entorno protegido según los resultados de una inspección de registros de eventos de Windows. La aplicación notifica al administrador cuando se detecta un comportamiento anormal que puede indicar un intento de ciberataque.
Kaspersky Embedded Systems Security para Windows analiza los registros de eventos de Windows e identifica las violaciones según las reglas especificadas por el usuario o por la configuración del analizador heurístico, que la tarea utiliza para inspeccionar registros.
Reglas predefinidas y análisis heurístico
Puede usar la tarea Inspección de registros para supervisar el estado del sistema protegido aplicando las reglas predefinidas que se basan en la heurística existente. El Analizador heurístico identifica la actividad anormal en el dispositivo protegido, que pueden ser pruebas de intentos de ataque. Las plantillas para identificar el comportamiento anormal se incluyen en las reglas disponibles, en la configuración de reglas predefinidas.
Se incluyen siete reglas en la lista de reglas para la tarea Inspección de registros. Puede habilitar o deshabilitar cualquiera de estas reglas. No puede eliminar las reglas existentes ni crear reglas nuevas.
Puede configurar los criterios de activación para las reglas que supervisan eventos para las siguientes operaciones:
También puede configurar exclusiones en la configuración de la tarea. El Analizador heurístico no se activa cuando un inicio de sesión es realizado por un usuario de confianza o desde una dirección IP de confianza.
Kaspersky Embedded Systems Security para Windows no usa los parámetros heurísticos para inspeccionar registros de Windows si el analizador heurístico no es usado por la tarea. De forma predeterminada, el Analizador heurístico está habilitado.
Cuando se aplican las reglas, la aplicación registra un Evento crítico en el registro de tareas de Inspección de registros.
Reglas personalizadas para la tarea de Inspección de registros
Puede usar la configuración de la regla para especificar y cambiar los criterios para desencadenar reglas al detectar los eventos seleccionados en el registro de Windows especificado. De manera predeterminada, la lista de reglas de Inspección de registros tiene cuatro reglas. Puede habilitar y deshabilitar estas reglas, eliminar reglas y modificar la configuración de la regla.
Puede configurar los siguientes criterios de activación de la regla en cada regla:
La regla se desencadena cuando un registro nuevo se crea en el Registro de Eventos de Windows, si las propiedades del evento incluyen un identificador del evento especificado en la regla. También puede agregar y eliminar identificadores para cada regla especificada.
Para cada regla, puede especificar un registro dentro del Registro de Eventos de Windows. La aplicación buscará registros con los identificadores del evento especificados solo en este registro. Puede seleccionar uno de los registros estándar (Aplicación, Seguridad o Sistema) o especificar un registro personalizado ingresando el nombre en el campo Selección de origen.
La aplicación no verifica que el registro especificado realmente exista en el Registro de Eventos de Windows.
Cuando la regla se desencadena, Kaspersky Embedded Systems Security para Windows registra un Evento crítico en el registro de tareas de Inspección de registros.
De manera predeterminada, la tarea Inspección de registros aplica reglas personalizadas.
Antes de iniciar la tarea Inspección de registros, asegúrese de que la directiva de auditoría del sistema esté configurada correctamente. Consulte el artículo de Microsoft para obtener detalles.
Ir arriba