Настройка параметров предзаданных правил задачи

Чтобы настроить параметры работы эвристического анализатора для задачи Анализ журналов, выполните следующие действия:

1. В дереве Консоли программы разверните узел Диагностика системы.
2. Выберите вложенный узел Анализ журналов.
3. В панели результатов узла Анализ журналов перейдите по ссылке Свойства.

   Откроется окно Параметры задачи.

4. Выберите закладку Предзаданные правила.
5. Снимите или установите флажок Использовать предзаданные правила для анализа журналов.
   

   Если этот флажок установлен, Kaspersky Embedded Systems Security применяет эвристический анализатор для обнаружения аномальной активности на защищаемом устройстве.

   Если этот флажок не установлен, то эвристический анализатор не используется, и Kaspersky Embedded Systems Security применяет стандартные или пользовательские правила для обнаружения аномальной активности.

   По умолчанию флажок снят.

   Для выполнения задачи должно быть выбрано хотя бы одно правило анализа журналов.

6. Из списка стандартных правил выберите правила, которые вы хотите применить:
   • Обнаружена возможная попытка взлома пароля с помощью подбора.
   • Обнаружены признаки компрометации журналов Windows.
   • Обнаружена подозрительная активность со стороны новой установленной службы.
   • Обнаружена подозрительная аутентификация с явным указанием учетных данных.
   • Обнаружены признаки атаки Kerberos forged PAC (MS14-068).
   • Обнаружены подозрительные изменения привилегированной группы Администраторы.
   • Обнаружена подозрительная активность во время сетевого сеанса входа.
7. Чтобы настроить параметры выбранных правил, выберите закладку Расширенные.
8. В разделе Обработка перебора пароля укажите количество попыток и промежуток времени, в течение которого выполнялись попытки, в качестве критерия срабатывания эвристического анализатора.
9. В разделе Обработка сетевого входа укажите начало и конец временного интервала. Выполненные в течение этого интервала попытки входа расцениваются Kaspersky Embedded Systems Security как аномальная активность.
10. Выберите закладку Исключения.
11. Чтобы добавить пользователей, которые будут считаться доверенными, выполните следующие действия:
    1. Нажмите на кнопку Обзор.
    2. Выберите пользователя.
    3. Нажмите на кнопку ОК.

       Указанный пользователь будет добавлен в список доверенных.

12. Чтобы добавить IP-адреса, которые будут считаться доверенными, выполните следующие действия:
    1. Введите IP-адрес.
    2. Нажмите на кнопку Добавить.

       Указанный IP-адрес будет добавлен в список доверенных.

13. Выберите закладки Расписание и Дополнительно, чтобы настроить расписание запуска задачи.
14. В окне Параметры задачи нажмите на кнопку OK.

    Параметры задачи Анализ журналов будут сохранены.