從有關被封鎖裝置的卡巴斯基安全管理中心報告中匯入規則

您可從在“僅統計模式下完成裝置控制工作後卡巴斯基安全管理中心中產生的報告匯入有關被封鎖裝置連線的資料,並使用此資料在所配置政策中產生裝置控制允許規則清單。

建立裝置控制工作期間發生的附隨報告時,您可跟蹤其連接受限制的裝置。

要基於有關被封鎖裝置的卡巴斯基安全管理中心報告為一組受防護裝置指定裝置連線允許規則:

  1. 在“事件通知”部分中的政策內容中,確保:
    • 對於“關鍵事件”重要性等級,“偵測到不受信任的外部裝置並已限制此裝置”事件的工作記錄的儲存時間段超過在“僅統計”模式下的執行排程時間段(預設值為 30 天)。
    • 對於“警告”重要性等級,“僅供統計:偵測到不受信任的外部裝置”事件的工作記錄的儲存時間段超過在“僅統計”模式下的工作執行排程時間段(預設值為 30 天)。

      當事件的儲存時間段過後,有關記錄的事件的資訊會被刪除且不會反映在報告檔案中。在“僅統計”模式下執行裝置控制工作之前,確保工作執行時間不超過為指定事件配置的儲存時間。

  2. 以“僅統計”模式啟動“裝置控制”工作。
    1. 在卡巴斯基安全管理中心中的“管理伺服器”節點的工作區中,選擇“事件”標籤。
    2. 點擊“建立選擇”按鈕並基於“偵測到不受信任的外部裝置並已限制此裝置”條件建立一系列事件,以檢視“裝置控制”工作將限制其連線的裝置。
    3. 在選擇的結果窗格中,點擊“將事件匯出到檔案”連結以將有關限制的連線的報告儲存到 TXT 檔案。

    在政策中匯入和應用建立的報告之前,確保報告僅包含有關您希望允許其連線的裝置的資料。

  3. 將有關受限制裝置連線的資料匯入裝置控制工作:
    1. 開啟裝置控制規則視窗
    2. 點擊“新增”按鈕,然後在該按鈕的內容功能表中選擇“從卡巴斯基安全管理中心報告匯入封鎖的裝置的資料”。
    3. 選擇將來自根據卡巴斯基安全管理中心報告建立的清單的規則新增到先前配置的裝置控制規則清單的政策:
      • 新增到現有規則,如果您希望將匯入的規則新增到現有規則清單。將複製具有相同設定的規則。
      • 取代現有規則,如果您希望將現有規則取代為匯入的規則。
      • 與現有規則合併,如果您希望將匯入的規則新增到現有規則清單。不新增具有相同設定的規則;如果至少一個規則參數是唯一的,則會新增規則。
    4. 在開啟的 Microsoft Windows 標準視窗中,選擇已將來自受限制裝置報告的事件匯出到的 TXT 檔案。
    5. 在“裝置控制規則”視窗中點擊“儲存”按鈕。
  4. 裝置控制視窗中,點擊確定

根據有關受限制裝置的卡巴斯基安全管理中心報告建立的規則將被新增到裝置控制規則清單。

頁面頂部