Puede configurar sus propios criterios para la activación de la regla de Inspección de registros. Para hacerlo, debe introducir un identificador del evento y seleccionar el origen de un evento. Puede buscar el identificador del evento en el sitio web de soporte técnico de Microsoft. Puede seleccionar el origen de un evento desde los registros estándar: Application, Security o System. También puede especificar el registro de una aplicación de terceros. Puede descubrir el nombre del registro de una aplicación de terceros usando la herramienta Visualizador de eventos. Los registros de las aplicaciones de terceros se conservan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro Windows PowerShell).
La aplicación no comprueba si el registro especificado se encuentra realmente en el registro de eventos de Windows. Si hay un error en el nombre del registro, la aplicación no supervisa los eventos de ese registro.
La lista de reglas personalizadas incluye tres reglas que crearon expertos de Kaspersky.
Abra la Consola de administración de Kaspersky Security Center.
En la carpeta Dispositivos administrados del árbol de la consola de administración, abra la carpeta que lleva el nombre del grupo de administración al que pertenecen los equipos cliente pertinentes.
En el espacio de trabajo, seleccione la pestaña Directivas.
Seleccione la directiva necesaria y haga doble clic para abrir las propiedades de la política.
En la ventana de la política, seleccione Controles de seguridad → Inspección de registros.
Asegúrese de que la casilla de verificación Inspección de registros esté seleccionada.
En el bloque Reglas personalizadas, haga clic en el botón Configuración.
En la ventana que se abre, seleccione las casillas al lado de las reglas personalizadas que desee activar.
Si es necesario, haga clic en Añadir para crear sus propias reglas personalizadas.
Esto abre una ventana; dentro de esa ventana, configure la regla personalizada:
Nombre de la regla.
Nombre de registro. Registro de eventos de Windows. Estos son los registros disponibles: Application, Security, System.
Origen. Registros de aplicaciones de terceros. Puede descubrir el nombre del registro de una aplicación de terceros usando la herramienta Visualizador de eventos. Los registros de las aplicaciones de terceros se conservan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro Windows PowerShell).
Identificadores de eventos. Identificadores de eventos en el Registro de eventos de Windows. Puede buscar el identificador del evento en la documentación técnica de Microsoft.
En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
Seleccione la pestaña Configuración de la aplicación.
Vaya a Controles de seguridad → Inspección de registros.
Asegúrese de que el interruptor Inspección de registros esté activado.
En el bloque Reglas personalizadas, seleccione las reglas personalizadas que desea supervisar:
Si es necesario, haga clic en Añadir para crear sus propias reglas personalizadas.
Esto abre una ventana; dentro de esa ventana, configure la regla personalizada:
Nombre de la regla.
Nombre del Registro de eventos de Windows. Registro de eventos de Windows. Estos son los registros disponibles: Application, Security, System.
Origen. Registros de aplicaciones de terceros. Puede descubrir el nombre del registro de una aplicación de terceros usando la herramienta Visualizador de eventos. Los registros de las aplicaciones de terceros se conservan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro Windows PowerShell).
Windows Event Log identifier. Identificadores de eventos en el Registro de eventos de Windows. Puede buscar el identificador del evento en la documentación técnica de Microsoft.
En la ventana de la aplicación principal, haga clic en el botón .
En la ventana de configuración de la aplicación, seleccione Controles de seguridad → Inspección de registros.
Asegúrese de que el interruptor Inspección de registros esté activado.
En el bloque Reglas personalizadas, haga clic en el botón Configurar.
En la ventana que se abre, seleccione las casillas al lado de las reglas personalizadas que desee activar.
Si es necesario, haga clic en Añadir para crear sus propias reglas personalizadas.
Esto abre una ventana; dentro de esa ventana, configure la regla personalizada:
Nombre de la regla.
Nombre de registro. Registro de eventos de Windows. Estos son los registros disponibles: Application, Security, System.
Origen. Registros de aplicaciones de terceros. Puede descubrir el nombre del registro de una aplicación de terceros usando la herramienta Visualizador de eventos. Los registros de las aplicaciones de terceros se conservan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro Windows PowerShell).
Identificador de eventos. Identificadores de eventos en el Registro de eventos de Windows. Puede buscar el identificador del evento en la documentación técnica de Microsoft.
Guarde los cambios.
Como resultado, cuando se activa la regla, Kaspersky Endpoint Security crea un evento Crítico.
.