配置预定义任务规则

执行以下操作为“日志审查”任务配置预定义规则：

1. 展开 Kaspersky Security Center 管理控制台树中的“受管理设备”节点。
2. 选择要为其配置应用程序设置的管理组。
3. 在选定的管理组的详细窗格中执行以下操作之一：
   • 要为一组受保护设备配置应用程序设置，请选择“策略”选项卡，然后打开“属性：<策略名称>”窗口。
   • 要为单台受保护设备配置应用程序，请选择“设备”选项卡，然后打开“应用程序设置”窗口。

     如果某个活动 Kaspersky Security Center 策略已应用于设备，并且该策略阻止对应用程序设置的更改，则无法在“应用程序设置”窗口中编辑这些设置。

4. 在“系统审查”部分中，单击“日志审查”子部分中的“设置”按钮。

   将打开“日志审查”窗口。

5. 选择“预定义规则”选项卡。
6. 选中或清除“针对日志审查应用预定义规则”复选框。
   

   如果选中此复选框，则 Kaspersky Embedded Systems Security 使用启发式分析来检测受保护设备上的异常活动。

   如果清除此复选框，则不使用启发式分析，Kaspersky Embedded Systems Security 将应用预设或自定义规则来检测异常活动。

   默认取消选中该复选框。

   为了能够运行任务，必须选择至少一种日志审查规则。

7. 从预定义规则列表中选择要应用的规则：
   • 系统中存在可能的暴力破解攻击的模式。
   • 系统中存在可能的 Windows 事件日志滥用的模式。
   • 检测到表示已安装新服务的异常活动。
   • 检测到使用显式凭证的异常登录。
   • 系统中存在可能的 Kerberos 伪造 PAC (MS14-068) 攻击的模式。
   • 检测到特权内置组 Administrators 发出的异常操作。
   • 在网络登录会话期间检测到异常活动。
8. 要配置选定规则，请单击“高级设置”按钮。

   将打开“日志审查”窗口。

9. 在“暴力破解攻击检测”部分中，设置用作启发式分析触发器的尝试次数和时间范围。
10. 在“网络登录检测”部分中，指定时间间隔的开始和结束时间，在此时间间隔中 Kaspersky Embedded Systems Security 将登录尝试视为异常活动。
11. 选择“排除”选项卡。
12. 执行以下操作添加受信任用户：
    1. 单击“浏览”按钮。
    2. 选择用户。
    3. 单击“确定”。

       选定的用户将被添加到受信任用户列表中。

13. 执行以下操作添加受信任的 IP 地址：
    1. 输入 IP 地址。
    2. 单击“添加”按钮。
14. 输入的 IP 地址将被添加到受信任的 IP 地址列表中。
15. 在“任务管理”选项卡上，配置任务启动计划。
16. 在“日志审查”窗口中单击“确定”。

保存日志审查任务配置。