Előre definiált szabályok konfigurálása

Támogatás

Üzleti megoldások támogatása

Kaspersky Endpoint Security 12 for Windows

Számítógépvezérlés

Naplóvizsgálat

Előre definiált szabályok konfigurálása

2024. február 14.

ID 235320

Mentés PDF formátumban

Az előre definiált szabályok a védett számítógépeken előforduló rendellenes tevékenységek sablonjait tartalmazzák. A rendellenes tevékenységek támadási kísérletet jelezhetnek. Az előre definiált szabályok heurisztikus elemzésen alapulnak. A Naplóvizsgálathoz hét előre definiált szabály érhető el. Bármelyik szabályt engedélyezheti vagy letilthatja. Az előre definiált szabályokat nem lehet törölni.

A következő műveletek eseményeinek megfigyelésére szolgáló szabályok kiváltási feltételeit konfigurálhatja:

Jelszó találgatásos támadásainak észlelése
Hálózati bejelentkezés észlelése

Előre definiált szabályok konfigurálása az Adminisztrációs Konzolon (MMC)

Nyissa meg a Kaspersky Security Center Adminisztrációs Konzolt.
A konzolfán válassza ki a Policies lehetőséget.
Válassza ki a szükséges rendszabályt, és kattintson duplán a házirend tulajdonságainak megnyitásához.
A szabályzat ablakában válassza a Biztonsági felügyelet → Naplóvizsgálat lehetőséget.
Győződjön meg arról, hogy a Naplóvizsgálat jelölőnégyzet be van jelölve.
Az Előre definiált szabályok részen kattintson a Beállítások gombra.
Az előre definiált szabályok konfigurálásához jelölje be vagy törölje a jelölőnégyzeteket:
- A rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók.
- A hálózati bejelentkezési munkamenet során szokatlan tevékenység észlelhető.
- Windows eseménynaplóval való lehetséges visszaélésre utaló minták találhatók.
- Újonnan telepített szolgáltatás nevében észlelt szokatlan műveletek.
- Explicit hitelesítő adatokat használó szokatlan bejelentkezés észlelve.
- Lehetséges Kerberos hamisított PAC-s (MS14-068) támadás mintái észlelhetők a rendszerben.
- Gyanús módosítások észlelhetők az emelt szintű beépített Rendszergazdák csoportban.
Szükség esetén konfigurálja a rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók szabályt:
1. Kattintson a szabály alatti Beállítások gombra.
2. A megnyíló ablakban adja meg a kísérletek számát és az időszakot, amelyen belül el kell végezni a jelszóbeírási kísérleteket a szabály aktiválásához.
3. Kattintson az OK gombra.
Ha kiválasztotta A rendszer szokatlan tevékenységet észlel egy hálózati bejelentkezési munkamenet során szabályt, konfigurálnia kell a beállításait:
1. Kattintson a szabály alatti Beállítások gombra.
2. A Hálózati bejelentkezés észlelése részen adja meg az időszak kezdetét és végét.
  A Kaspersky Endpoint Security a meghatározott időszakban végzett bejelentkezési kísérleteket rendellenes tevékenységnek tekinti.
  
  Alapértelmezés szerint az időszak nincs beállítva, és az alkalmazás nem figyeli a bejelentkezési kísérleteket. Ahhoz, hogy az alkalmazás folyamatosan figyelje a bejelentkezési kísérleteket, állítsa be az időszakot 0:00 – 23:59 értékre. Az időszak kezdete és vége nem eshet egybe. Ha megegyeznek, az alkalmazás nem figyeli a bejelentkezési kísérleteket.
3. Hozza létre a megbízható felhasználók és a megbízható IP-címek (IPv4 és IPv6) listáját.
  A Kaspersky Endpoint Security nem figyeli ezen felhasználók és számítógépek bejelentkezési kísérleteit.
4. Kattintson az OK gombra.
Mentse el a módosításokat.

Előre definiált szabályok konfigurálása a Web Console-ban és a Cloud Console-ban

A Web Console fő ablakában válassza a Devices → Policies & Profiles lehetőséget.
Kattintson a Kaspersky Endpoint Security házirend nevére.
Megnyílik a rendszabályok tulajdonságai ablak.
Válassza ki az Application settings lapot.
Lépjen a Security Controls → Log Inspection területre.
Győződjön meg arról, hogy a Log Inspection kapcsoló be van kapcsolva.
Az Predefined rules részen engedélyezze vagy tiltsa le az előre definiált szabályokat a kapcsolókkal:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
Szükség esetén konfigurálja a There are patterns of a possible brute-force attack in the system szabályt:
1. Kattintson a szabály alatti Settings lehetőségre.
2. A megnyíló ablakban adja meg a kísérletek számát és az időszakot, amelyen belül el kell végezni a jelszóbeírási kísérleteket a szabály aktiválásához.
3. Kattintson az OK gombra.
Ha kiválasztotta There is an atypical activity detected during a network logon session szabályt, konfigurálnia kell a beállításait:
1. Kattintson a szabály alatti Settings lehetőségre.
2. A Network logon detection részen adja meg az időszak kezdetét és végét.
  A Kaspersky Endpoint Security a meghatározott időszakban végzett bejelentkezési kísérleteket rendellenes tevékenységnek tekinti.
  
  Alapértelmezés szerint az időszak nincs beállítva, és az alkalmazás nem figyeli a bejelentkezési kísérleteket. Ahhoz, hogy az alkalmazás folyamatosan figyelje a bejelentkezési kísérleteket, állítsa be az időszakot 0:00 – 23:59 értékre. Az időszak kezdete és vége nem eshet egybe. Ha megegyeznek, az alkalmazás nem figyeli a bejelentkezési kísérleteket.
3. A Exclusions részben adja meg a megbízható felhasználókat és a megbízható IP-címeket (IPv4 és IPv6).
  A Kaspersky Endpoint Security nem figyeli ezen felhasználók és számítógépek bejelentkezési kísérleteit.
4. Kattintson az OK gombra.
Mentse el a módosításokat.

Előre definiált szabályok konfigurálása az alkalmazás felületén.

Kattintson a fő alkalmazásablakban a gombra.
Az alkalmazásbeállítások ablakában válassza a Biztonsági felügyelet → Naplóvizsgálat lehetőséget.
Győződjön meg arról, hogy a Naplóvizsgálat kapcsoló be van kapcsolva.
Az Előre definiált szabályok részben kattintson a Konfigurálás gombra.
Az előre definiált szabályok konfigurálásához jelölje be vagy törölje a jelölőnégyzeteket:
- A rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók.
- A hálózati bejelentkezési munkamenet során szokatlan tevékenység észlelhető.
- Windows eseménynaplóval való lehetséges visszaélésre utaló minták találhatók.
- Újonnan telepített szolgáltatás nevében észlelt szokatlan műveletek.
- Explicit hitelesítő adatokat használó szokatlan bejelentkezés észlelve.
- Lehetséges Kerberos hamisított PAC-s (MS14-068) támadás mintái észlelhetők a rendszerben.
1. Gyanús módosítások észlelhetők az emelt szintű beépített Rendszergazdák csoportban.
Szükség esetén konfigurálja a rendszerben lehetséges találgatásos támadásra utaló mintázatok találhatók szabályt:
1. Kattintson a szabály alatti Beállítások lehetőségre.
2. A megnyíló ablakban adja meg a kísérletek számát és az időszakot, amelyen belül el kell végezni a jelszóbeírási kísérleteket a szabály aktiválásához.
Ha kiválasztotta A rendszer szokatlan tevékenységet észlel egy hálózati bejelentkezési munkamenet során szabályt, konfigurálnia kell a beállításait:
1. Kattintson a szabály alatti Beállítások lehetőségre.
2. A Hálózati bejelentkezés észlelése részen adja meg az időszak kezdetét és végét.
  A Kaspersky Endpoint Security a meghatározott időszakban végzett bejelentkezési kísérleteket rendellenes tevékenységnek tekinti.
  
  Alapértelmezés szerint az időszak nincs beállítva, és az alkalmazás nem figyeli a bejelentkezési kísérleteket. Ahhoz, hogy az alkalmazás folyamatosan figyelje a bejelentkezési kísérleteket, állítsa be az időszakot 0:00 – 23:59 értékre. Az időszak kezdete és vége nem eshet egybe. Ha megegyeznek, az alkalmazás nem figyeli a bejelentkezési kísérleteket.
3. A Kizárások részben adja meg a megbízható felhasználókat és a megbízható IP-címeket (IPv4 és IPv6).
  A Kaspersky Endpoint Security nem figyeli ezen felhasználók és számítógépek bejelentkezési kísérleteit.
Mentse el a módosításokat.

A művelet eredményeként a Kaspersky Endpoint Security a szabály kiváltásakor létrehoz egy Kritikus eseményt.

Hasznosnak találta ezt a cikket?

Min tudnánk javítani?

Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.