從有關被封鎖裝置的卡巴斯基安全管理中心報告中匯入規則

您可從在僅統計模式下完成裝置控制工作後卡巴斯基安全管理中心中產生的報告匯入有關被封鎖裝置連線的資料，並使用此資料在所配置政策中產生裝置控制允許規則清單。

建立裝置控制工作期間發生的附隨報告時，您可跟蹤其連接受限制的裝置。

要基於有關被封鎖裝置的卡巴斯基安全管理中心報告為一組受防護裝置指定裝置連線允許規則：

1. 在“事件通知”部分中的政策內容中，確保：
   • 對於關鍵事件重要性等級，偵測到不受信任的外部裝置並已限制此裝置事件的工作記錄的儲存時間段超過在僅統計模式下的執行排程時間段（預設值為 30 天）。
   • 對於警告重要性等級，僅統計：偵測到不受信任的外部裝置事件的工作記錄的儲存時間段超過在僅統計模式下的工作執行排程時間段（預設值為 30 天）。

     當事件的儲存時間段過後，有關記錄的事件的資訊會被刪除且不會反映在報告檔案中。在僅統計模式下執行裝置控制工作之前，確保工作執行時間不超過為指定事件配置的儲存時間。

2. 以僅統計模式啟動裝置控制工作。
   1. 在卡巴斯基安全管理中心中的“管理伺服器”節點的工作區中，選擇“事件”標籤。
   2. 按一下建立選擇按鈕並根據偵測到不受信任的外部裝置並已限制此裝置條件建立一系列事件。檢視裝置控制工作封鎖的裝置連線。
   3. 在選擇的結果窗格中，點擊“將事件匯出到檔案”連結以將有關限制的連線的報告儲存到 TXT 檔案。

   在政策中匯入和應用建立的報告之前，確保報告僅包含有關您希望允許其連線的裝置的資料。

3. 將有關受限制裝置連線的資料匯入裝置控制工作：
   1. 開啟裝置控制規則視窗。
   2. 按一下新增按鈕，然後在該按鈕的內容功能表中，選擇從卡巴斯基安全管理中心報告匯入封鎖的裝置的資料。
   3. 選擇將來自根據卡巴斯基安全管理中心報告建立的清單的規則新增到先前配置的裝置控制規則清單的政策：
   • 與現有規則合併，如果您希望將匯入的規則新增到現有規則清單。不會複製具有相同設定的規則。如果有至少一項規則設定是唯一性質，則新增該規則。
   • 新增到現有規則，如果您希望將匯入的規則新增到現有規則清單。將複製具有相同設定的規則。
     • 取代現有規則，如果您希望將現有規則取代為匯入的規則。
   1. 在開啟的 Microsoft Windows 標準視窗中，選擇已將來自受限制裝置報告的事件匯出到的 TXT 檔案。
   2. 在裝置控制規則視窗中按一下儲存按鈕。
4. 按一下裝置控制視窗中的確定按鈕。

根據有關受限制裝置的卡巴斯基安全管理中心報告建立的規則將被新增到裝置控制規則清單。

頁面頂部