關於“記錄審查”工作

當“記錄審查”工作執行時，Kaspersky Embedded Systems Security 將根據 Windows 事件記錄的審查結果監控受防護環境的完整性。應用程式在偵測到可能表示嘗試進行實體攻擊的異常行為時會通知管理員。

Kaspersky Embedded Systems Security 會分析 Window 事件記錄，並根據使用者指定的規則或啟發式分析的設定（工作用它來審查記錄）來識別入侵。

預定義規則和啟發式分析

透過套用基於現有啟發的預定義規則，可以使用“記錄審查”工作來監控受防護系統的狀態。啟發式分析可識別受防護裝置上的異常活動，這些異常活動可作為嘗試攻擊的憑證。用於辨識異常行為的範本包括在預定義規則設定中的可用規則內。

“記錄審查”工作的規則清單中包含七條規則。您可以啟用或停用任一規則。不能刪除現有規則或建立新規則。

可以為監控以下操作事件的規則配置觸發條件：

• 密碼暴力破解偵測
• 網路登入偵測

還可在工作設定中配置排除。當登入由受信任使用者執行或從受信任的 IP 位址執行時，不會啟動啟發式分析。

如果工作不使用啟發式分析，則 Kaspersky Embedded Systems Security 不會使用啟發來審查 Windows 記錄。預設情況下，啟用啟發式分析。

當套用規則時，應用程式將在“記錄審查”工作記錄中記錄一個緊急事件。

自訂記錄審查工作的規則

可以使用規則設定來指定和變更在 Windows 記錄中偵測到選定事件時的觸發規則條件。預設情況下，記錄審查規則的清單包含四條規則。您可以啟用和停用這些規則、刪除規則以及編輯規則設定。

可以為每種規則配置以下規則觸發條件：

• Windows 事件記錄中的記錄識別碼清單。

  如果事件內容包含規則中指定的事件識別碼，則當在 Windows 事件記錄中建立新的記錄時將觸發該規則。也可以為每個指定的規則新增和刪除識別碼。

• 事件來源。

  對於每條規則，都可以在 Windows 事件記錄內定義一個記錄。應用程式將僅在此記錄中搜尋帶有指定事件識別碼的記錄。您可以選擇其中一個標準記錄（應用程式、安全性或系統）或在來源選擇欄位中輸入名稱來指定自訂記錄。

  應用程式不會驗證指定的記錄是否確實存在於 Windows 事件記錄中。

觸發規則後，Kaspersky Embedded Systems Security 將在“記錄審查”工作記錄中記錄一個緊急事件。

預設情況下，記錄審查工作套用自訂規則。

在啟動“記錄審查”工作前，請確保系統系統稽核記錄政策已正確設定。如需詳細資訊，請參閱 Microsoft 文章。