Voorgedefinieerde regels configureren
Voorgedefinieerde regels bevatten sjablonen van abnormale activiteit op de beveiligde computer. Abnormale activiteit kan een poging tot aanval omvatten. Voorgedefinieerde regels worden aangedreven door heuristische analyse. Er zijn zeven vooraf gedefinieerde regels beschikbaar voor Log Inspectie. U kunt al deze regels inschakelen of uitschakelen. Voorgedefinieerde regels kunnen niet worden verwijderd.
U kunt de activeringscriteria configureren voor regels die de volgende gebeurtenissen bewaken:
- Detectie brute-force-aanval wachtwoorden
- Netwerk login detectie
Voorgedefinieerde regels configureren in de Beheerconsole (MMC)
- Open de Beheerconsole van Kaspersky Security Center.
- Open in de map Managed devices in de structuur van de Beheerconsole de map met de naam van de beheergroep waartoe de relevante clientcomputers behoren.
- Selecteer in de werkruimte het tabblad Policies.
- Selecteer het noodzakelijke beleid en dubbelklik om de beleidseigenschappen te openen.
- Selecteer Security Controls → Log Inspectie in het beleidsvenster.
- Zorg ervoor dat het selectievakje Log Inspectie ingeschakeld is.
- In het blok Voorgedefinieerde regels, klikt u op de knop Instellingen.
- Schakel selectievakjes in of uit om vooraf gedefinieerde regels te configureren:
- Er zijn patronen van een mogelijke brute-force aanval in het systeem.
- Er is een ongewone activiteit gedetecteerd tijdens een netwerk aanmeldsessie.
- Er zijn patronen van een mogelijk misbruik van Windows Event Log.
- Ongewone acties gedetecteerd in naam van een nieuwe geïnstalleerde service.
- Ongewone aanmelding die expliciete referenties gebruikt gedetecteerd.
- Er zijn patronen van een mogelijke Kerberos vervalste PAC (MS14-068) aanval in het systeem.
- Verdachte veranderingen gedetecteerd in de bevoorrechte ingebouwde Beheerders groep.
- Configureer indien nodig de regel Er zijn patronen van een mogelijke brute-force aanval in het systeem:
- Klik op de knop Instellingen onder de regel.
- Geef in het geopende venster het aantal pogingen en een tijdsperiode waarbinnen pogingen om een wachtwoord in te voeren moeten worden uitgevoerd om de regel te activeren.
- Klik op ОК.
- Als u de regel Er is een ongewone activiteit gedetecteerd tijdens een netwerk aanmeldsessie hebt geselecteerd, dan moet u de instellingen configureren:
- Klik op de knop Instellingen onder de regel.
- Specificeer in het blok Netwerk aanmeld detectie het begin en het einde van het tijdsinterval.
Kaspersky Endpoint Security beschouwt aanmeldingspogingen die tijdens dit gedefinieerde interval worden uitgevoerd als abnormale activiteit.
Het interval is standaard niet ingesteld en het programma controleert de aanmeldingspogingen niet. Stel het interval in op 12:00 AM - 23:59 PM zodat het programma voortdurend aanmeldingspogingen controleert. Het begin en het einde van het interval mogen niet samenvallen. Als ze hetzelfde zijn, controleert de toepassing de aanmeldingspogingen niet.
- Maak de lijst met vertrouwde gebruikers en vertrouwde IP-adressen (IPv4 en IPv6).
Kaspersky Endpoint Security controleert geen aanmeldingspogingen van deze gebruikers en computers.
- Klik op ОК.
- Sla uw wijzigingen op.
Voorgedefinieerde regels configureren via de Webconsole en Cloudconsole
- Selecteer in het hoofdvenster van de webconsole achtereenvolgens Devices → Policies & Profiles.
- Klik op de naam van het Kaspersky Endpoint Security-beleid.
U ziet nu het venster met de beleidseigenschappen.
- Selecteer het tabblad Application settings.
- Ga naar Security Controls → Log Inspection .
- Zorg ervoor dat de schakelaar Log Inspection ingeschakeld is.
- In het blok Predefined rules, schakel de voorgedefinieerde regels in of uit met behulp van de schakelaars:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
- Suspicious changes detected in the privileged built-in Administrators group.
- Configureer indien nodig de regel There are patterns of a possible brute-force attack in the system:
- Klik op Settings onder de regel.
- Geef in het geopende venster het aantal pogingen en een tijdsperiode waarbinnen pogingen om een wachtwoord in te voeren moeten worden uitgevoerd om de regel te activeren.
- Klik op ОК.
- Als u de regel There is an atypical activity detected during a network logon session hebt geselecteerd, dan moet u de instellingen configureren:
- Klik op Settings onder de regel.
- Specificeer in het blok Network logon detection het begin en het einde van het tijdsinterval.
Kaspersky Endpoint Security beschouwt aanmeldingspogingen die tijdens dit gedefinieerde interval worden uitgevoerd als abnormale activiteit.
Het interval is standaard niet ingesteld en het programma controleert de aanmeldingspogingen niet. Stel het interval in op 12:00 AM - 23:59 PM zodat het programma voortdurend aanmeldingspogingen controleert. Het begin en het einde van het interval mogen niet samenvallen. Als ze hetzelfde zijn, controleert de toepassing de aanmeldingspogingen niet.
- In het blok Exclusions, voeg vertrouwde gebruikers en vertrouwde IP-adressen toe (IPv4 en IPv6).
Kaspersky Endpoint Security controleert geen aanmeldingspogingen van deze gebruikers en computers.
- Klik op ОК.
- Sla uw wijzigingen op.
Voorgedefinieerde regels configureren via de programma-interface
- Klik in het hoofdvenster van het programma op de knop
. - Selecteer Security Controls → Log Inspectie in het venster met de programma-instellingen.
- Zorg ervoor dat de schakelaar Log Inspectie ingeschakeld is.
- In het blok Voorgedefinieerde regels, klikt u op de knop Configureren.
- Schakel selectievakjes in of uit om vooraf gedefinieerde regels te configureren:
- Er zijn patronen van een mogelijke brute-force aanval in het systeem.
- Er is een ongewone activiteit gedetecteerd tijdens een netwerk aanmeldsessie.
- Er zijn patronen van mogelijk misbruik van Windows Event Log.
- Ongewone acties gedetecteerd in naam van een nieuwe geïnstalleerde service.
- Ongewone aanmelding die expliciete referenties gebruikt gedetecteerd.
- Er zijn patronen van een mogelijke Kerberos vervalste PAC (MS14-068) aanval in het systeem.
- Verdachte wijzigingen gedetecteerd in de bevoorrechte groep ingebouwde Administrators.
- Configureer indien nodig de regel Er zijn patronen van een mogelijke brute-force aanval in het systeem:
- Klik op Instellingen onder de regel.
- Geef in het geopende venster het aantal pogingen en een tijdsperiode waarbinnen pogingen om een wachtwoord in te voeren moeten worden uitgevoerd om de regel te activeren.
- Als u de regel Er is een ongewone activiteit gedetecteerd tijdens een netwerk aanmeldsessie hebt geselecteerd, dan moet u de instellingen configureren:
- Klik op Instellingen onder de regel.
- Specificeer in het blok Netwerk logon detectie het begin en het einde van het tijdsinterval.
Kaspersky Endpoint Security beschouwt aanmeldingspogingen die tijdens dit gedefinieerde interval worden uitgevoerd als abnormale activiteit.
Het interval is standaard niet ingesteld en het programma controleert de aanmeldingspogingen niet. Stel het interval in op 12:00 AM - 23:59 PM zodat het programma voortdurend aanmeldingspogingen controleert. Het begin en het einde van het interval mogen niet samenvallen. Als ze hetzelfde zijn, controleert de toepassing de aanmeldingspogingen niet.
- In het blok Uitzonderingen, voeg vertrouwde gebruikers en vertrouwde IP-adressen toe (IPv4 en IPv6).
Kaspersky Endpoint Security controleert geen aanmeldingspogingen van deze gebruikers en computers.
- Sla uw wijzigingen op.
Als gevolg hiervan maakt Kaspersky Endpoint Security bij het activeren van de regel een kritieke gebeurtenis.
Naar boven