Önceden tanımlanmış kurallar, korunan bilgisayardaki anormal etkinlik şablonlarını içerir. Anormal etkinlik, saldırı girişimi anlamına gelebilir. Önceden tanımlanmış kurallar, sezgisel analiz tarafından desteklenir. Günlük Denetimi için önceden tanımlanmış yedi kural mevcuttur. Bu kuralların herhangi birini etkinleştirebilir veya devre dışı bırakabilirsiniz. Önceden tanımlanmış kurallar silinemez.
Aşağıdaki işlemler için olayları izleyen kurallar için tetikleme kriterlerini yapılandırabilirsiniz:
Kaspersky Security Center Yönetim Konsolu'nu açın.
Yönetim Konsolu ağacındaki Yönetilen cihazlar klasöründe, ilgili istemci bilgisayarların ait olduğu yönetim grubu adının bulunduğu klasörü açın.
Çalışma alanında, İlkeler sekmesini seçin.
Gereken ilkeyi seçin ve ilke özellikleri penceresini açmak için çift tıklayın.
İlke penceresinden Güvenlik Denetimleri → Günlük Denetimi seçimini yapın.
Günlük Denetimi onay kutusunun seçili olduğundan emin olun.
Önceden tanımlanmış kurallar bloğunda Ayarlar düğmesine tıklayın.
Önceden tanımlanmış kuralları yapılandırmak için onay kutularını seçin veya temizleyin:
Sistemde olası bir deneme yanılma saldırısının izleri var.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var.
Olası bir Windows Olay Günlüğü kötüye kullanımına ilişkin izler var.
Yüklenen yeni bir hizmet adına tespit edilen alışılmadık eylemler.
Açık kimlik bilgileri kullanan olağandışı oturum açma algılandı.
Sistemde olası bir Kerberos sahte PAC (MS14-068) saldırısının izleri var.
Ayrıcalıklı yerleşik Yöneticiler grubunda şüpheli değişiklikler tespit edildi.
Gerekirse Sistemde olası bir deneme yanılma saldırısının izleri var kuralını yapılandırın:
Kuralın altında bulunan Ayarlar düğmesine tıklayın.
Açılan pencerede, kuralın tetiklenmesi için parola girme denemelerinin gerçekleştirilmesi gereken deneme sayısını ve süreyi belirtin.
Tamam’a tıklayın.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var kuralını seçmeniz durumunda ayarlarını yapılandırmanız gerekir:
Kuralın altında bulunan Ayarlar düğmesine tıklayın.
Ağ oturum açma tespiti bloğunda, zaman aralığının başlangıcını ve bitişini belirtin.
Kaspersky Endpoint Security, tanımlanan aralıkta gerçekleştirilen oturum açma girişimlerini olağandışı etkinlik olarak değerlendirir.
Aralık varsayılan olarak ayarlanmamıştır ve uygulama oturum açma girişimlerini izlemez. Uygulamanın oturum açma girişimlerini sürekli olarak izlemesi için aralığı 12:00 - 23:59 olarak ayarlayın. Aralığın başlangıcı ve bitişi çakışmamalıdır. Bunlar aynı ise uygulama oturum açma girişimlerini izlemez.
Güvenilir kullanıcılar ve güvenilir IP adreslerinin (IPv4 ve IPv6) listesini oluşturun.
Kaspersky Endpoint Security, bu kullanıcılar ve bilgisayarlar için oturum açma girişimlerini izlemez.
Web Console'un ana penceresinde Aygıtlar → İlkeler ve Profiller'i seçin.
Kaspersky Endpoint Security ilkesinin adına tıklayın.
İlke özellikleri penceresi açılır.
Uygulama ayarları sekmesini seçin.
Güvenlik Denetimleri → Günlük Denetimi’ne gidin.
Günlük Denetimi onay kutusunun açık durumda olduğundan emin olun.
Önceden tanımlanmış kurallar bloğunda, geçişleri kullanarak önceden tanımlanmış kuralları etkinleştirin veya devre dışı bırakın:
Sistemde olası bir deneme yanılma saldırısının izleri var.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var.
Olası bir Windows Olay Günlüğü kötüye kullanımına ilişkin izler var.
Yüklenen yeni bir hizmet adına tespit edilen alışılmadık eylemler.
Açık kimlik bilgileri kullanan olağandışı oturum açma algılandı.
Sistemde olası bir Kerberos sahte PAC (MS14-068) saldırısının izleri var.
Ayrıcalıklı yerleşik Yöneticiler grubunda şüpheli değişiklikler tespit edildi.
Gerekirse Sistemde olası bir deneme yanılma saldırısının izleri var kuralını yapılandırın:
Kuralın altında Ayarlar'a tıklayın.
Açılan pencerede, kuralın tetiklenmesi için parola girme denemelerinin gerçekleştirilmesi gereken deneme sayısını ve süreyi belirtin.
Tamam’a tıklayın.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var kuralını seçmeniz durumunda ayarlarını yapılandırmanız gerekir:
Kuralın altında Ayarlar'a tıklayın.
Ağ oturum açma tespiti bloğunda, zaman aralığının başlangıcını ve bitişini belirtin.
Kaspersky Endpoint Security, tanımlanan aralıkta gerçekleştirilen oturum açma girişimlerini olağandışı etkinlik olarak değerlendirir.
Aralık varsayılan olarak ayarlanmamıştır ve uygulama oturum açma girişimlerini izlemez. Uygulamanın oturum açma girişimlerini sürekli olarak izlemesi için aralığı 12:00 - 23:59 olarak ayarlayın. Aralığın başlangıcı ve bitişi çakışmamalıdır. Bunlar aynı ise uygulama oturum açma girişimlerini izlemez.
İstisnalar bloğundan güvenilir kullanıcılar ve güvenilir IP adresleri (IPv4 ve IPv6) ekleyin.
Kaspersky Endpoint Security, bu kullanıcılar ve bilgisayarlar için oturum açma girişimlerini izlemez.
Uygulama ayarları penceresinden Güvenlik Denetimleri → Günlük Denetimi'ni seçin.
Günlük Denetimi onay kutusunun açık durumda olduğundan emin olun.
Önceden tanımlanmış kurallar bloğunda Yapılandır düğmesine tıklayın.
Önceden tanımlanmış kuralları yapılandırmak için onay kutularını seçin veya temizleyin:
Sistemde olası bir deneme yanılma saldırısının izleri var.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var.
Olası bir Windows Olay Günlüğü kötüye kullanımına ilişkin izler var.
Yüklenen yeni bir hizmet adına tespit edilen alışılmadık eylemler.
Açık kimlik bilgileri kullanan olağandışı oturum açma algılandı.
Sistemde olası bir Kerberos sahte PAC (MS14-068) saldırısının izleri var.
Ayrıcalıklı yerleşik Yöneticiler grubunda şüpheli değişiklikler tespit edildi.
Gerekirse Sistemde olası bir deneme yanılma saldırısının izleri var kuralını yapılandırın:
Kuralın altında Ayarlar'a tıklayın.
Açılan pencerede, kuralın tetiklenmesi için parola girme denemelerinin gerçekleştirilmesi gereken deneme sayısını ve süreyi belirtin.
Bir ağ oturum açma oturumu sırasında tespit edilen alışılmadık bir etkinlik var kuralını seçmeniz durumunda ayarlarını yapılandırmanız gerekir:
Kuralın altında Ayarlar'a tıklayın.
Ağ oturum açma tespiti bloğunda, zaman aralığının başlangıcını ve bitişini belirtin.
Kaspersky Endpoint Security, tanımlanan aralıkta gerçekleştirilen oturum açma girişimlerini olağandışı etkinlik olarak değerlendirir.
Aralık varsayılan olarak ayarlanmamıştır ve uygulama oturum açma girişimlerini izlemez. Uygulamanın oturum açma girişimlerini sürekli olarak izlemesi için aralığı 12:00 - 23:59 olarak ayarlayın. Aralığın başlangıcı ve bitişi çakışmamalıdır. Bunlar aynı ise uygulama oturum açma girişimlerini izlemez.
İstisnalar bloğundan güvenilir kullanıcılar ve güvenilir IP adresleri (IPv4 ve IPv6) ekleyin.
Kaspersky Endpoint Security, bu kullanıcılar ve bilgisayarlar için oturum açma girişimlerini izlemez.
Değişikliklerinizi kaydedin.
Sonuç olarak, kural tetiklendiğinde Kaspersky Endpoint Security, Kritik olay oluşturur.