配置預定義工作規則

執行以下操作可以為記錄審查工作配置啟發式分析：

1. 在應用程式主控台樹狀目錄中，展開“系統稽核”節點。
2. 選擇“記錄審查”子節點。
3. 在“記錄審查”節點的結果窗格中，點擊“內容”連結。

   「工作設定」視窗隨即出現。

4. 選擇“預定義規則”標籤。
5. 選中或清除“針對記錄審查套用預定義規則”核取方塊。
   

   如果選中此核取方塊，則 Kaspersky Embedded Systems Security for Windows 使用啟發式分析來偵測受防護裝置上的異常活動。

   如果清除此核取方塊，則不使用啟發式分析，Kaspersky Embedded Systems Security for Windows 將套用預設或自訂規則來偵測異常活動。

   預設情況下，會取消勾選核取方塊。

   為了能夠執行工作，必須選擇至少一種記錄審查規則。

6. 從預定義規則清單中選擇要套用的規則：
   • 系統中存在可能的暴力破解攻擊的模式。
   • 系統中存在可能的 Windows 事件記錄濫用的模式。
   • 偵測到表示已安裝新服務的異常活動。
   • 偵測到使用顯式憑證的異常登入。
   • 系統中存在可能的 Kerberos 偽造 PAC (MS14-068) 攻擊的模式。
   • 偵測到特權內建群組 Administrators 發出的異常操作。
   • 在網路登入工作階段期間偵測到異常活動。
7. 要設定選定的規則，請轉至“延伸”標籤。
8. 在“暴力破解攻擊偵測”部分中，設定用作啟發式分析觸發器的嘗試次數和時間範圍。
9. 在網路登入部分中，指定時間間隔的開始和結束時間。Kaspersky Embedded Systems Security for Windows 會將此時間間隔期間進行的登入嘗試視為異常活動。
10. 選擇“排除”標籤。
11. 執行以下操作新增受信任使用者：
    1. 點擊“瀏覽”按鈕。
    2. 選擇使用者。
    3. 點擊“確定”按鈕。

       選定的使用者將被新增到受信任使用者清單中。

12. 執行以下操作新增受信任的 IP 位址：
    1. 輸入 IP 位址。
    2. 點擊“新增”按鈕。

       輸入的 IP 位址將被新增到受信任的 IP 位址清單中。

13. 選擇“排程”和“進階”標籤以配置工作啟動排程。
14. 在工作設定視窗中按一下確定。

    儲存記錄審查工作配置。