关于“日志审查”任务
当“日志审查”任务运行时,Kaspersky Embedded Systems Security 将根据 Windows 事件日志的审查结果监控受保护环境的完整性。应用程序在检测到可能表示尝试进行物理攻击的异常行为时会通知管理员。
Kaspersky Embedded Systems Security 会分析 Windows 事件日志,并根据用户指定的规则或启发式分析的设置(任务用它来审查日志)来识别入侵。
预定义规则和启发式分析
通过应用基于现有启发的预定义规则,可以使用“日志审查”任务来监控受保护系统的状态。启发式分析可识别受保护设备上的异常活动,这些异常活动可作为尝试攻击的证据。用于识别异常行为的模板包括在预定义规则设置中的可用规则内。
“日志审查”任务的规则列表中包含七条规则。您可以启用或禁用任一规则。不能删除现有规则或创建新规则。
可以为监控以下操作事件的规则配置触发条件:
- 密码暴力破解检测
- 网络登录检测
还可在任务设置中配置排除。当登录由受信任用户执行或从受信任的 IP 地址执行时,不会激活启发式分析。
如果任务不使用启发式分析,则 Kaspersky Embedded Systems Security 不会使用启发来审查 Windows 日志。默认情况下,启用启发式分析。
当应用规则时,应用程序将在“日志审查”任务日志中记录一个严重事件。
自定义日志审查任务的规则
可以使用规则设置来指定和更改在 Windows 日志中检测到选定事件时的触发规则条件。默认情况下,日志审查规则的列表包含四条规则。您可以启用和禁用这些规则、删除规则以及编辑规则设置。
可以为每种规则配置以下规则触发条件:
- Windows 事件日志中的记录标识符列表。
如果事件属性包含规则中指定的事件标识符,则当在 Windows 事件日志中创建新的记录时将触发该规则。也可以为每个指定的规则添加和删除标识符。
- 事件源。
对于每条规则,都可以在 Windows 事件日志内定义一个日志。应用程序将仅在此日志中搜索带有指定事件标识符的记录。您可以选择其中一个标准日志(应用程序、安全性或系统)或在源选择字段中输入名称来指定自定义日志。
应用程序不会验证指定的日志是否确实存在于 Windows 事件日志中。
触发规则后,Kaspersky Embedded Systems Security 将在“日志审查”任务日志中记录一个严重事件。
默认情况下,日志审查任务应用自定义规则。
在启动“日志审查”任务前,请确保系统系统审核日志策略已正确设置。有关详细信息,请参见 Microsoft 文章。