Konfiguracja wstępnie zdefiniowanych reguł
Wstępnie zdefiniowane reguły zawierają szablony nieprawidłowej aktywności na chronionym komputerze. Nietypowa aktywność może oznaczać próbę ataku. Wstępnie zdefiniowane reguły są oparte na analizie heurystycznej. Dla funkcji Kontroli dziennika dostępnych jest siedem wstępnie zdefiniowanych reguł. Reguły te można włączać lub wyłączać. Wstępnie zdefiniowanych reguł nie można usunąć.
Można skonfigurować kryteria wyzwalania dla reguł monitorujących zdarzenia dla następujących operacji:
- Wykrywanie ataków siłowych w celu złamania hasła
- Wykrywanie logowania w sieci
Jak skonfigurować wstępnie zdefiniowane reguły w Konsoli administracyjnej (MMC)
- Otwórz Konsolę administracyjną Kaspersky Security Center.
- W folderze Zarządzane urządzenia z drzewa Konsoli administracyjnej otwórz folder grupy administracyjnej, do której należą wybrane komputery klienckie.
- W obszarze roboczym wybierz zakładkę Zasady.
- Wybierz żądany profil i kliknij go dwukrotnie, aby otworzyć właściwości profilu.
- W oknie zasady wybierz Kontrola zabezpieczeń → Kontrola dziennika.
- Należy upewnić się, że pole Kontrola dziennika jest zaznaczone.
- W sekcji Wstępnie zdefiniowane reguły kliknij przycisk Ustawienia.
- Należy zaznaczyć lub wyczyścić pola wyboru, aby skonfigurować wstępnie zdefiniowane reguły:
- W systemie istnieją wzorce możliwego ataku siłowego.
- Podczas sesji logowania do sieci wykryto nietypową aktywność.
- W systemie istnieją wzorce możliwego nadużycia dziennika zdarzeń systemu Windows.
- Wykryto nietypowe działania w imieniu nowej zainstalowanej usługi.
- Wykryto nietypowe logowanie wykorzystujące jawne dane uwierzytelniające.
- W systemie istnieją wzorce możliwego ataku Kerberos PAC (MS14-068).
- Podejrzane zmiany wykryte w uprzywilejowanej wbudowanej grupie Administratorzy.
- Jeśli to konieczne, należy skonfigurować regułę W systemie istnieją wzorce możliwego ataku siłowego:
- Kliknąć przycisk Ustawienia poniżej reguły.
- W otwartym oknie należy określić liczbę prób oraz czas, w którym muszą nastąpić próby wprowadzenia hasła, aby reguła została uruchomiona.
- Kliknij ОК.
- W przypadku wybrania reguły Podczas sesji logowania do sieci wykryto nietypową aktywność musisz skonfigurować jej ustawienia:
- Kliknąć przycisk Ustawienia poniżej reguły.
- W sekcji Wykrywanie logowania do sieci, należy określić początek i koniec przedziału czasowego.
Kaspersky Endpoint Security uznaje próby logowania wykonane podczas określonego interwału za nieprawidłową aktywność.
Domyślnie interwał nie jest ustawiony i aplikacja nie monitoruje prób logowania. Aby aplikacja stale monitorowała próby logowania, ustaw przedział czasowy na 12:00 – 23:59. Początek i koniec interwału nie mogą się pokrywać. Jeśli są takie same, aplikacja nie monitoruje prób logowania.
- Należy utworzyć listę zaufanych użytkowników i zaufanych adresów IP (IPv4 i IPv6).
Kaspersky Endpoint Security nie monitoruje prób logowania dla tych użytkowników i komputerów.
- Kliknij ОК.
- Zapisz swoje zmiany.
Jak skonfigurować wstępnie zdefiniowane reguły w konsoli Web Console i Cloud Console
- W oknie głównym Web Console wybierz Urządzenia → Zasady i profile.
- Kliknij nazwę zasady Kaspersky Endpoint Security.
Zostanie otwarte okno właściwości profilu.
- Wybierz zakładkę Ustawienia aplikacji.
- Wybierz Kontrola zabezpieczeń → Kontrola dziennika.
- Należy upewnić się, że włączony jest przełącznik Kontrola dziennika.
- W sekcji Wstępnie zdefiniowane reguły, należy włączyć lub wyłączyć wstępnie zdefiniowane reguły za pomocą przełączników:
- W systemie istnieją wzorce możliwego ataku siłowego.
- Podczas sesji logowania do sieci wykryto nietypową aktywność.
- W systemie istnieją wzorce możliwego nadużycia dziennika zdarzeń systemu Windows.
- Wykryto nietypowe działania w imieniu nowej zainstalowanej usługi.
- Wykryto nietypowe logowanie wykorzystujące jawne dane uwierzytelniające.
- W systemie istnieją wzorce możliwego ataku Kerberos PAC (MS14-068).
- Podejrzane zmiany wykryte w uprzywilejowanej wbudowanej grupie Administratorzy.
- Jeśli to konieczne, należy skonfigurować regułę W systemie istnieją wzorce możliwego ataku siłowego:
- Kliknąć przycisk Ustawienia pod regułą.
- W otwartym oknie należy określić liczbę prób oraz czas, w którym muszą nastąpić próby wprowadzenia hasła, aby reguła została uruchomiona.
- Kliknij ОК.
- W przypadku wybrania reguły Podczas sesji logowania do sieci wykryto nietypową aktywność musisz skonfigurować jej ustawienia:
- Kliknąć przycisk Ustawienia pod regułą.
- W sekcji Wykrywanie logowania do sieci, należy określić początek i koniec przedziału czasowego.
Kaspersky Endpoint Security uznaje próby logowania wykonane podczas określonego interwału za nieprawidłową aktywność.
Domyślnie interwał nie jest ustawiony i aplikacja nie monitoruje prób logowania. Aby aplikacja stale monitorowała próby logowania, ustaw przedział czasowy na 12:00 – 23:59. Początek i koniec interwału nie mogą się pokrywać. Jeśli są takie same, aplikacja nie monitoruje prób logowania.
- W sekcji Wykluczenia należy dodać zaufanych użytkowników i zaufane adresy IP (IPv4 i IPv6).
Kaspersky Endpoint Security nie monitoruje prób logowania dla tych użytkowników i komputerów.
- Kliknij ОК.
- Zapisz swoje zmiany.
Jak w interfejsie aplikacji skonfigurować wstępnie zdefiniowane reguły?
- W oknie głównym aplikacji kliknij przycisk
. - W oknie ustawień aplikacji wybierz Kontrola zabezpieczeń → Kontrola dziennika.
- Należy upewnić się, że włączony jest przełącznik Kontrola dziennika.
- W sekcji Wstępnie zdefiniowane reguły kliknij przycisk Konfiguruj.
- Należy zaznaczyć lub wyczyścić pola wyboru, aby skonfigurować wstępnie zdefiniowane reguły:
- W systemie istnieją wzorce możliwego ataku siłowego.
- Podczas sesji logowania do sieci wykryto nietypową aktywność.
- W systemie istnieją wzorce możliwego nadużycia dziennika zdarzeń systemu Windows.
- Wykryto nietypowe działania w imieniu nowej zainstalowanej usługi.
- Wykryto nietypowe logowanie wykorzystujące jawne dane uwierzytelniające.
- W systemie istnieją wzorce możliwego ataku Kerberos PAC (MS14-068).
- Podejrzane zmiany wykryte w uprzywilejowanej wbudowanej grupie Administratorzy.
- Jeśli to konieczne, należy skonfigurować regułę W systemie istnieją wzorce możliwego ataku siłowego:
- Kliknąć przycisk Ustawienia pod regułą.
- W otwartym oknie należy określić liczbę prób oraz czas, w którym muszą nastąpić próby wprowadzenia hasła, aby reguła została uruchomiona.
- W przypadku wybrania reguły Podczas sesji logowania do sieci wykryto nietypową aktywność musisz skonfigurować jej ustawienia:
- Kliknąć przycisk Ustawienia pod regułą.
- W sekcji Wykrywanie logowania do sieci, należy określić początek i koniec przedziału czasowego.
Kaspersky Endpoint Security uznaje próby logowania wykonane podczas określonego interwału za nieprawidłową aktywność.
Domyślnie interwał nie jest ustawiony i aplikacja nie monitoruje prób logowania. Aby aplikacja stale monitorowała próby logowania, ustaw przedział czasowy na 12:00 – 23:59. Początek i koniec interwału nie mogą się pokrywać. Jeśli są takie same, aplikacja nie monitoruje prób logowania.
- W sekcji Wykluczenia należy dodać zaufanych użytkowników i zaufane adresy IP (IPv4 i IPv6).
Kaspersky Endpoint Security nie monitoruje prób logowania dla tych użytkowników i komputerów.
- Zapisz swoje zmiany.
W rezultacie, gdy reguła zostanie uruchomiona, Kaspersky Endpoint Security utworzy zdarzenie krytyczne.
Przejdź do góry