配置預定義工作規則
配置預定義工作規則
執行以下操作為“記錄審查”工作配置預定義規則:
- 展開卡巴斯基安全管理中心管理主控台樹狀目錄中的“受管理裝置”節點。
- 選擇要為其配置應用程式設定的管理群組。
- 在選定的管理群組的詳細視窗中執行以下之一操作:
- 在“系統稽核”部分中,點擊“設定”子區段中的“記錄審查”按鈕。
將開啟“記錄審查”視窗。
- 選擇“預定義規則”標籤。
- 選中或清除“針對記錄審查套用預定義規則”核取方塊。
為了能夠執行工作,必須選擇至少一種記錄審查規則。
- 從預定義規則清單中選擇要套用的規則:
- 系統中存在可能的暴力破解攻擊的模式。
- 系統中存在可能的 Windows 事件記錄濫用的模式。
- 偵測到表示已安裝新服務的異常活動。
- 偵測到使用顯式憑證的異常登入。
- 系統中存在可能的 Kerberos 偽造 PAC (MS14-068) 攻擊的模式。
- 偵測到特權內建群組 Administrators 發出的異常操作。
- 在網路登入工作階段期間偵測到異常活動。
- 要配置選定規則,請點擊“進階設定”按鈕。
將開啟“記錄審查”視窗。
- 在“暴力破解攻擊偵測”部分中,設定用作啟發式分析觸發器的嘗試次數和時間範圍。
- 在“網路登入偵測”部分中,指定時間間隔的開始和結束時間,在此時間間隔中 Kaspersky Embedded Systems Security 將登入嘗試視為異常活動。
- 選擇“排除”標籤。
- 執行以下操作新增受信任使用者:
- 點擊“瀏覽”按鈕。
- 選擇使用者。
- 點擊“確定”。
選定的使用者將被新增到受信任使用者清單中。
- 執行以下操作新增受信任的 IP 位址:
- 輸入 IP 位址。
- 點擊“新增”按鈕。
- 輸入的 IP 位址將被新增到受信任的 IP 位址清單中。
- 在“工作管理”標籤上配置工作啟動排程。
- 在記錄審查視窗中點擊記錄審查。
儲存記錄審查工作配置。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。