Előre definiált szabályok konfigurálása

Az előre definiált szabályok a védett számítógépeken előforduló rendellenes tevékenységek sablonjait tartalmazzák. A rendellenes tevékenységek támadási kísérletet jelezhetnek. Az előre definiált szabályok heurisztikus elemzésen alapulnak. A Naplóvizsgálathoz hét előre definiált szabály érhető el. Bármelyik szabályt engedélyezheti vagy letilthatja. Az előre definiált szabályokat nem lehet törölni.

A következő műveletek eseményeinek megfigyelésére szolgáló szabályok kiváltási feltételeit konfigurálhatja:

Jelszó találgatásos támadásainak észlelése
Hálózati bejelentkezés észlelése

Előre definiált szabályok konfigurálása az Adminisztrációs Konzolon (MMC)

Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
Nyissa meg az Adminisztrációs Konzol Managed devices mappájában annak az adminisztrációs csoportnak a nevét viselő mappát, amelyhez az adott ügyfélszámítógépek tartoznak.
Válassza ki a munkaterületen a Policies lapot.
Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
A szabályzat ablakában válassza a Biztonsági felügyelet → Naplóvizsgálat lehetőséget.
Győződjön meg arról, hogy a Naplóvizsgálat jelölőnégyzet be van jelölve.
Az Előre definiált szabályok részen kattintson a Beállítások gombra.
Az előre definiált szabályok konfigurálásához jelölje be vagy törölje a jelölőnégyzeteket:
- A rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók.
- A hálózati bejelentkezési munkamenet során szokatlan tevékenység észlelhető.
- Windows eseménynaplóval való lehetséges visszaélésre utaló minták találhatók.
- Újonnan telepített szolgáltatás nevében észlelt szokatlan műveletek.
- Explicit hitelesítő adatokat használó szokatlan bejelentkezés észlelve.
- A rendszerben lehetséges Kerberos-beli hamisított jogosultságifiók-tanúsítvány típusú támadásra utaló mintázatok találhatók.
- Gyanús módosítások észlelhetők az emelt szintű beépített Rendszergazdák csoportban.
Szükség esetén konfigurálja a rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók szabályt:
1. Kattintson a szabály alatti Beállítások gombra.
2. A megnyíló ablakban adja meg a kísérletek számát és az időszakot, amelyen belül el kell végezni a jelszóbeírási kísérleteket a szabály aktiválásához.
3. Kattintson az ОК gombra.
Ha kiválasztotta A rendszer szokatlan tevékenységet észlel egy hálózati bejelentkezési munkamenet során szabályt, konfigurálnia kell a beállításait:
1. Kattintson a szabály alatti Beállítások gombra.
2. A Hálózati bejelentkezés észlelése részen adja meg az időszak kezdetét és végét.
  A Kaspersky Endpoint Security a meghatározott időszakban végzett bejelentkezési kísérleteket rendellenes tevékenységnek tekinti.
  
  Alapértelmezés szerint az időszak nincs beállítva, és az alkalmazás nem figyeli a bejelentkezési kísérleteket. Ahhoz, hogy az alkalmazás folyamatosan figyelje a bejelentkezési kísérleteket, állítsa be az időszakot 0:00 – 23:59 értékre. Az időszak kezdete és vége nem eshet egybe. Ha megegyeznek, az alkalmazás nem figyeli a bejelentkezési kísérleteket.
3. Hozza létre a megbízható felhasználók és a megbízható IP-címek (IPv4 és IPv6) listáját.
  A Kaspersky Endpoint Security nem figyeli ezen felhasználók és számítógépek bejelentkezési kísérleteit.
4. Kattintson az ОК gombra.
Mentse el a módosításokat.

Előre definiált szabályok konfigurálása a Web Console-ban és a Cloud Console-ban

A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
Válassza ki az Application settings lapot.
Lépjen a Security Controls → Log Inspection területre.
Győződjön meg arról, hogy a Log Inspection kapcsoló be van kapcsolva.
Az Predefined rules részen engedélyezze vagy tiltsa le az előre definiált szabályokat a kapcsolókkal:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
Szükség esetén konfigurálja a There are patterns of a possible brute-force attack in the system szabályt:
1. Kattintson a szabály alatti Settings lehetőségre.
2. A megnyíló ablakban adja meg a kísérletek számát és az időszakot, amelyen belül el kell végezni a jelszóbeírási kísérleteket a szabály aktiválásához.
3. Kattintson az ОК gombra.
Ha kiválasztotta There is an atypical activity detected during a network logon session szabályt, konfigurálnia kell a beállításait:
1. Kattintson a szabály alatti Settings lehetőségre.
2. A Network logon detection részen adja meg az időszak kezdetét és végét.
  A Kaspersky Endpoint Security a meghatározott időszakban végzett bejelentkezési kísérleteket rendellenes tevékenységnek tekinti.
  
  Alapértelmezés szerint az időszak nincs beállítva, és az alkalmazás nem figyeli a bejelentkezési kísérleteket. Ahhoz, hogy az alkalmazás folyamatosan figyelje a bejelentkezési kísérleteket, állítsa be az időszakot 0:00 – 23:59 értékre. Az időszak kezdete és vége nem eshet egybe. Ha megegyeznek, az alkalmazás nem figyeli a bejelentkezési kísérleteket.
3. A Exclusions részben adja meg a megbízható felhasználókat és a megbízható IP-címeket (IPv4 és IPv6).
  A Kaspersky Endpoint Security nem figyeli ezen felhasználók és számítógépek bejelentkezési kísérleteit.
4. Kattintson az ОК gombra.
Mentse el a módosításokat.

Előre definiált szabályok konfigurálása az alkalmazás felületén.

Kattintson a fő alkalmazásablakban a gombra.
Az alkalmazásbeállítások ablakában válassza a Biztonsági felügyelet → Naplóvizsgálat lehetőséget.
Győződjön meg arról, hogy a Naplóvizsgálat kapcsoló be van kapcsolva.
Az Előre definiált szabályok részben kattintson a Konfigurálás gombra.
Az előre definiált szabályok konfigurálásához jelölje be vagy törölje a jelölőnégyzeteket:
- A rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók.
- A hálózati bejelentkezési munkamenet során szokatlan tevékenység észlelhető.
- Windows eseménynaplóval való lehetséges visszaélésre utaló minták találhatók.
- Újonnan telepített szolgáltatás nevében észlelt szokatlan műveletek.
- Explicit hitelesítő adatokat használó szokatlan bejelentkezés észlelve.
- A rendszerben lehetséges Kerberos-beli hamisított jogosultságifiók-tanúsítvány típusú támadásra utaló mintázatok találhatók.
1. Gyanús módosítások észlelhetők az emelt szintű beépített Rendszergazdák csoportban.
Szükség esetén konfigurálja a rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók szabályt:
1. Kattintson a szabály alatti Beállítások lehetőségre.
2. A megnyíló ablakban adja meg a kísérletek számát és az időszakot, amelyen belül el kell végezni a jelszóbeírási kísérleteket a szabály aktiválásához.
Ha kiválasztotta A rendszer szokatlan tevékenységet észlel egy hálózati bejelentkezési munkamenet során szabályt, konfigurálnia kell a beállításait:
1. Kattintson a szabály alatti Beállítások lehetőségre.
2. A Hálózati bejelentkezés észlelése részen adja meg az időszak kezdetét és végét.
  A Kaspersky Endpoint Security a meghatározott időszakban végzett bejelentkezési kísérleteket rendellenes tevékenységnek tekinti.
  
  Alapértelmezés szerint az időszak nincs beállítva, és az alkalmazás nem figyeli a bejelentkezési kísérleteket. Ahhoz, hogy az alkalmazás folyamatosan figyelje a bejelentkezési kísérleteket, állítsa be az időszakot 0:00 – 23:59 értékre. Az időszak kezdete és vége nem eshet egybe. Ha megegyeznek, az alkalmazás nem figyeli a bejelentkezési kísérleteket.
3. A Kizárások részben adja meg a megbízható felhasználókat és a megbízható IP-címeket (IPv4 és IPv6).
  A Kaspersky Endpoint Security nem figyeli ezen felhasználók és számítógépek bejelentkezési kísérleteit.
Mentse el a módosításokat.

A művelet eredményeként a Kaspersky Endpoint Security a szabály kiváltásakor létrehoz egy Kritikus eseményt.

Oldal tetejére