Configurar regras predefinidas

Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 12 for Windows

Controlo de computador

Inspeção do Registo

Configurar regras predefinidas

14 de fevereiro de 2024

ID 235320

Guardar como PDF

As regras predefinidas incluem modelos de atividade anormal no computador protegido. Atividade anormal pode significar uma tentativa de ataque. As regras predefinidas são alimentadas por análise heurística. Estão disponíveis sete regras predefinidas para a Inspeção de Registo. Pode ativar ou desativar qualquer uma das regras. As regras predefinidas não podem ser eliminadas.

Pode configurar os critérios de acionamento para as regras que monitorizam eventos para as seguintes operações:

Deteção de força bruta de password
Deteção de início de sessão de rede

Como configurar regras predefinidas na Administration Console (MMC)

Abra a Consola de Administração do Kaspersky Security Center.
Na árvore da consola, selecione Policies.
Selecione a política necessária e clique duas vezes para abrir as propriedades da política.
Na janela de política, selecione Controlos de segurança → Inspeção de Registo.
Certifique-se de que a caixa de verificação Inspeção de Registo está assinalada.
No bloco Regras predefinidas, clique no botão Definições.
Assinale ou desmarque as caixas de verificação para configurar as regras predefinidas:
- Há padrões de um possível ataque de força bruta no sistema.
- Foi detetada uma atividade atípica durante um início de sessão da rede.
- Há padrões de um possível abuso do Registo de Eventos do Windows.
- Ações atípicas detetadas em nome de um novo serviço instalado.
- Início de sessão atípico que utiliza credenciais explícitas detetadas.
- Existem padrões de um possível ataque ao PAC forjado do Kerberos (MS14-068) no sistema.
- Alterações suspeitas detetadas no grupo de Administradores integrado privilegiado.
Se necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
1. Clique no botão Definições abaixo da regra.
2. Na janela que se abre, especifique o número de tentativas e um período de tempo dentro do qual as tentativas de introduzir uma password têm de ser realizadas para que a regra seja acionada.
3. Clique em OK.
Se selecionou a regra Foi detetada uma atividade atípica durante um início de sessão da rede, tem de configurar as respetivas definições:
1. Clique no botão Definições abaixo da regra.
2. No bloco Deteção de início de sessão de rede, especifique o início e o fim do intervalo de tempo.
  O Kaspersky Endpoint Security considera as tentativas de início de sessão realizadas durante o intervalo definido como atividade anormal.
  
  Por predefinição, o intervalo não está definido e a aplicação não monitoriza as tentativas de início de sessão. Para que a aplicação monitorize continuamente as tentativas de início de sessão, defina o intervalo para 12:00 - 23:59. O início e o fim do intervalo não devem coincidir. Se forem o mesmo, a aplicação não monitoriza as tentativas de início de sessão.
3. Crie a lista de utilizadores fiáveis e endereços IP fiáveis (IPv4 e IPv6).
  Crie uma lista de utilizadores a partir do Active Directory. O Kaspersky Endpoint Security não monitoriza as tentativas de início de sessão destes utilizadores e computadores.
4. Clique em OK.
Guarde as suas alterações.

Como configurar as regras predefinidas na Consola Web e na Cloud Console

Na janela principal da Consola Web, selecione Devices → Policies & profiles.
Clique no nome da política do Kaspersky Endpoint Security.
É apresentada a janela de propriedades da política.
Selecione o separador Application settings.
Aceda a Security Controls → Log Inspection.
Certifique-se de que o botão de alternar Log Inspection está ativado.
No bloco Predefined rules, ative ou desative as regras predefinidas utilizando os botões de alternar:
- There are patterns of a possible brute-force attack in the system.
- There is an atypical activity detected during a network logon session.
- There are patterns of a possible Windows Event Log abuse.
- Atypical actions detected on behalf of a new service installed.
- Atypical logon that uses explicit credentials detected.
- There are patterns of a possible Kerberos forged PAC (MS14-068) attack in the system.
1. Suspicious changes detected in the privileged built-in Administrators group.
Se necessário, configure a regra There are patterns of a possible brute-force attack in the system:
1. Clique em Settings sob a regra.
2. Na janela que se abre, especifique o número de tentativas e um período de tempo dentro do qual as tentativas de introduzir uma password têm de ser realizadas para que a regra seja acionada.
3. Clique em OK.
Se selecionou a regra There is an atypical activity detected during a network logon session, tem de configurar as respetivas definições:
1. Clique em Settings sob a regra.
2. No bloco Network logon detection, especifique o início e o fim do intervalo de tempo.
  O Kaspersky Endpoint Security considera as tentativas de início de sessão realizadas durante o intervalo definido como atividade anormal.
  
  Por predefinição, o intervalo não está definido e a aplicação não monitoriza as tentativas de início de sessão. Para que a aplicação monitorize continuamente as tentativas de início de sessão, defina o intervalo para 12:00 - 23:59. O início e o fim do intervalo não devem coincidir. Se forem o mesmo, a aplicação não monitoriza as tentativas de início de sessão.
3. No bloco Exclusions, adicione utilizadores fiáveis e endereços IP fiáveis (IPv4 e IPv6).
  Crie uma lista de utilizadores a partir do Active Directory. O Kaspersky Endpoint Security não monitoriza as tentativas de início de sessão destes utilizadores e computadores.
4. Clique em OK.
Guarde as suas alterações.

Como configurar as regras predefinidas na interface da aplicação.

Na janela principal da aplicação, clique no botão .
Na janela Application settings, selecione Controlos de segurança → Inspeção de Registo.
Certifique-se de que o botão de alternar Inspeção de Registo está ativado.
No bloco Regras predefinidas, clique no botão Configurar.
Assinale ou desmarque as caixas de verificação para configurar as regras predefinidas:
- Há padrões de um possível ataque de força bruta no sistema.
- Foi detetada uma atividade atípica durante um início de sessão da rede.
- Há padrões de um possível abuso do Registo de Eventos do Windows.
- Ações atípicas detetadas em nome de um novo serviço instalado.
- Início de sessão atípico que utiliza credenciais explícitas detetadas.
- Existem padrões de um possível ataque ao PAC forjado do Kerberos (MS14-068) no sistema.
1. Alterações suspeitas detetadas no grupo de Administradores integrado privilegiado.
Se necessário, configure a regra Há padrões de um possível ataque de força bruta no sistema:
1. Clique em Definições sob a regra.
2. Na janela que se abre, especifique o número de tentativas e um período de tempo dentro do qual as tentativas de introduzir uma password têm de ser realizadas para que a regra seja acionada.
Se selecionou a regra Foi detetada uma atividade atípica durante um início de sessão da rede, tem de configurar as respetivas definições:
1. Clique em Definições sob a regra.
2. No bloco Deteção de início de sessão de rede, especifique o início e o fim do intervalo de tempo.
  O Kaspersky Endpoint Security considera as tentativas de início de sessão realizadas durante o intervalo definido como atividade anormal.
  
  Por predefinição, o intervalo não está definido e a aplicação não monitoriza as tentativas de início de sessão. Para que a aplicação monitorize continuamente as tentativas de início de sessão, defina o intervalo para 12:00 - 23:59. O início e o fim do intervalo não devem coincidir. Se forem o mesmo, a aplicação não monitoriza as tentativas de início de sessão.
3. No bloco Exclusões, adicione utilizadores fiáveis e endereços IP fiáveis (IPv4 e IPv6).
  Crie uma lista de utilizadores a partir do Active Directory. O Kaspersky Endpoint Security não monitoriza as tentativas de início de sessão destes utilizadores e computadores.
Guarde as suas alterações.

Como resultado, quando a regra é acionada, o Kaspersky Endpoint Security cria um evento Crítico.

Achou este artigo útil?

O que podemos melhorar?

Agradecemos o seu comentário! Está a ajudar-nos a melhorar.