Puede establecer sus propios criterios de activación de las reglas de Inspección de registro. Para hacerlo, debe ingresar un ID de evento y seleccionar una fuente de evento. Puede buscar el ID del evento en el sitio web de soporte técnico de Microsoft. Puede seleccionar un origen de eventos entre los registros estándar: Application, Security o System. También puede especificar el registro de una aplicación de terceros. Puede averiguar el nombre del registro de la aplicación de terceros con la herramienta Visor de eventos. Los registros de aplicaciones de terceros se guardan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro de Windows PowerShell).
La aplicación no comprueba si el registro especificado está realmente presente en el Registro de eventos de Windows. Si hay un error en el nombre del registro, la aplicación no monitorea los eventos de ese registro.
La lista de reglas personalizadas ya incluye tres reglas que crearon expertos de Kaspersky.
Abra la Consola de administración de Kaspersky Security Center.
En la carpeta Dispositivos administrados del árbol de la Consola de administración, abra la carpeta con el nombre del grupo de administración al cual pertenecen los equipos cliente en cuestión.
En el espacio de trabajo, seleccione la ficha Directivas.
Seleccione la directiva correspondiente y haga doble clic para abrir las propiedades de la directiva.
En la ventana de la directiva, seleccione Controles de seguridad → Inspección de registro.
Asegúrese de que la casilla de verificación Inspección de registro esté seleccionada.
En el bloque Reglas personalizadas, haga clic en el botón Configuración.
En la ventana que se abre, seleccione las casillas de verificación junto a las reglas personalizadas que desea habilitar.
Si es necesario, haga clic en Agregar para crear sus reglas personalizadas.
Esto abre una ventana, donde debe configurar la regla personalizada:
Nombre de la regla.
Nombre del registro. Registros de eventos de Windows. Estos son los registros disponibles: Application, Security, System.
Fuente. Registros de aplicaciones de terceros. Puede averiguar el nombre del registro de la aplicación de terceros con la herramienta Visor de eventos. Los registros de aplicaciones de terceros se guardan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro de Windows PowerShell).
Identificadores de eventos. ID de eventos en el Registro de eventos de Windows. Puede buscar el ID del evento en la documentación técnica de Microsoft.
En la ventana principal de Web Console, seleccione Dispositivos → Directivas y perfiles.
Haga clic en el nombre de la directiva de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la directiva.
Seleccione la ficha Configuración de la aplicación.
Vaya a Controles de seguridad → Inspección de registro.
Asegúrese de que el interruptor Inspección de registro esté activado.
En el bloque Reglas personalizadas, seleccione las reglas personalizadas que desea habilitar.
Si es necesario, haga clic en Agregar para crear sus reglas personalizadas.
Esto abre una ventana, donde debe configurar la regla personalizada:
Nombre de la regla.
Nombre de Registro de eventos de Windows. Registros de eventos de Windows. Estos son los registros disponibles: Application, Security, System.
Origen. Registros de aplicaciones de terceros. Puede averiguar el nombre del registro de la aplicación de terceros con la herramienta Visor de eventos. Los registros de aplicaciones de terceros se guardan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro de Windows PowerShell).
Identificador del registro de eventos de Windows. ID de eventos en el Registro de eventos de Windows. Puede buscar el ID del evento en la documentación técnica de Microsoft.
En la ventana principal de la aplicación haga clic en el botón .
En la ventana de configuración de la aplicación, seleccione Controles de seguridad → Inspección de registro.
Asegúrese de que el interruptor Inspección de registro esté activado.
En el bloque Reglas personalizadas, haga clic en el botón Configurar.
En la ventana que se abre, seleccione las casillas de verificación junto a las reglas personalizadas que desea habilitar.
Si es necesario, haga clic en Agregar para crear sus reglas personalizadas.
Esto abre una ventana, donde debe configurar la regla personalizada:
Nombre de la regla.
Nombre del registro. Registros de eventos de Windows. Estos son los registros disponibles: Application, Security, System.
Fuente. Registros de aplicaciones de terceros. Puede averiguar el nombre del registro de la aplicación de terceros con la herramienta Visor de eventos. Los registros de aplicaciones de terceros se guardan en la carpeta Registros de aplicaciones y servicios (por ejemplo, el registro de Windows PowerShell).
Identificador de eventos. ID de eventos en el Registro de eventos de Windows. Puede buscar el ID del evento en la documentación técnica de Microsoft.
Guarde los cambios.
Como resultado, cuando se activa la regla, Kaspersky Endpoint Security crea un evento Crítico.
.