Настройка предустановленных правил

Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 11 для Windows

Контроль компьютера

Анализ журналов

Настройка предустановленных правил

11 апреля 2024

ID 235320

Скачать PDF

Предустановленные правила включают шаблоны аномальной активности на защищаемом компьютере. Аномальная активность может являться признаком попытки атаки. Для работы предустановленных правил приложение использует эвристический анализ. Для Анализа журналов доступно семь предустановленных правил. Вы можете включать и выключать любые правила. Удалить предустановленные правила невозможно.

Вы можете настроить критерии срабатывания правил, которые контролируют события для следующих операций:

обработка подбора пароля;
обработка сетевого входа.

Как настроить предустановленные правила в Консоли администрирования (MMC)

Откройте Консоль администрирования Kaspersky Security Center.
В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
В рабочей области выберите закладку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Контроль безопасности → Анализ журналов.
Убедитесь, что флажок Анализ журналов установлен.
В блоке Предустановленные правила нажмите на кнопку Настройка.
Настройте работу предустановленных правил с помощью флажков:
- Обнаружена возможная попытка взлома пароля с помощью подбора.
- Обнаружена подозрительная активность во время сетевого сеанса входа.
- Обнаружены признаки компрометации журналов Windows.
- Обнаружена подозрительная активность со стороны новой установленной службы.
- Обнаружена подозрительная аутентификация с явным указанием учетных данных.
- Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
- Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
1. Нажмите на кнопку Настройка под правилом.
2. В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
3. Нажмите на кнопку ОК.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
1. Нажмите на кнопку Настройка под правилом.
2. В блоке Обработка атипичной аутентификации укажите начало и конец временного интервала.
  Kaspersky Endpoint Security будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
  
  По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
3. Сформируйте списки доверенных пользователей и доверенных IP-адресов компьютеров (IPv4 и IPv6).
  Kaspersky Endpoint Security не будет контролировать попытки входа для этих пользователей и компьютеров.
4. Нажмите на кнопку ОК.
Сохраните внесенные изменения.

Как настроить предустановленные правила в Web Console и Cloud Console

В главном окне Web Console выберите Устройства → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите закладку Параметры программы.
Перейдите в раздел Контроль безопасности → Анализ журналов.
Убедитесь, что переключатель Анализ журналов включен.
В блоке Предустановленные правила настройте работу предустановленных правил с помощью переключателей:
- Обнаружена возможная попытка взлома пароля с помощью подбора.
- Обнаружена подозрительная активность во время сетевого сеанса входа.
- Обнаружены признаки компрометации журналов Windows.
- Обнаружена подозрительная активность со стороны новой установленной службы.
- Обнаружена подозрительная аутентификация с явным указанием учетных данных.
- Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
1. Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
1. Нажмите Настройка под правилом.
2. В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
3. Нажмите на кнопку ОК.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
1. Нажмите Настройка под правилом.
2. В блоке Обнаружение входа в сеть укажите начало и конец временного интервала.
  Kaspersky Endpoint Security будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
  
  По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
3. В блоке Исключения добавьте доверенных пользователей и доверенные IP-адреса компьютеров (IPv4 и IPv6).
  Kaspersky Endpoint Security не будет контролировать попытки входа для этих пользователей и компьютеров.
4. Нажмите на кнопку ОК.
Сохраните внесенные изменения.

Как настроить предустановленные правила в интерфейсе приложения

В главном окне приложения нажмите на кнопку .
В окне параметров приложения выберите раздел Контроль безопасности → Анализ журналов.
Убедитесь, что переключатель Анализ журналов включен.
В блоке Предустановленные правила нажмите на кнопку Настроить.
Настройте работу предустановленных правил с помощью флажков:
- Обнаружена возможная попытка взлома пароля с помощью подбора.
- Обнаружена подозрительная активность во время сетевого сеанса входа.
- Обнаружены признаки компрометации журналов Windows.
- Обнаружена подозрительная активность со стороны новой установленной службы.
- Обнаружена подозрительная аутентификация с явным указанием учетных данных.
- Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
1. Обнаружены подозрительные изменения привилегированной группы Администраторы.
Если требуется, настройте параметры правила Обнаружена возможная попытка взлома пароля с помощью подбора:
1. Нажмите Настройка под правилом.
2. В открывшемся окне укажите количество попыток и промежуток времени, в течение которого выполнялись попытки ввода пароля, для срабатывания правила.
Если вы выбрали правило Обнаружена подозрительная активность во время сетевого сеанса входа, вам нужно настроить параметры правила:
1. Нажмите Настройка под правилом.
2. В блоке Обработка атипичной аутентификации укажите начало и конец временного интервала.
  Kaspersky Endpoint Security будет считать аномальной активностью выполненные попытки входа в течение заданного интервала.
  
  По умолчанию интервал не задан и приложение не контролирует попытки входа. Чтобы приложение постоянно контролировало попытки входа, задайте интервал 12:00 AM – 11:59 PM. Начало и конец интервала не должны совпадать. Если они совпадают, приложение не контролирует попытки входа.
3. В блоке Исключения добавьте доверенных пользователей и доверенные IP-адреса компьютеров (IPv4 и IPv6).
  Kaspersky Endpoint Security не будет контролировать попытки входа для этих пользователей и компьютеров.
Сохраните внесенные изменения.

В результате Kaspersky Endpoint Security при срабатывании правила будет создавать события со статусом Критическое.

Kaspersky Endpoint Security для Windows — обнаружение даже продвинутых угроз

Системы контроля для предотвращения кражи ценной информации. Управление из единой консоли. Купите в составе Endpoint Security для бизнеса Расширенный.

Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов

Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!