配置预定义任务规则

执行以下操作可以为日志审查任务配置启发式分析：

1. 在应用程序控制台树中，展开“系统审查”节点。
2. 选择“日志审查”子节点。
3. 在“属性”节点的结果窗格中，单击“日志审查”链接。

   将出现“任务设置”窗口。

4. 选择“预定义规则”选项卡。
5. 选中或清除“针对日志审查应用预定义规则”复选框。
   

   如果选中此复选框，则 Kaspersky Embedded Systems Security for Windows 使用启发式分析来检测受保护设备上的异常活动。

   如果清除此复选框，则不使用启发式分析，Kaspersky Embedded Systems Security for Windows 将应用预设或自定义规则来检测异常活动。

   默认下，复选框被清除。

   为了能够运行任务，必须选择至少一种日志审查规则。

6. 从预定义规则列表中选择要应用的规则：
   • 系统中存在可能的暴力破解攻击的模式。
   • 系统中存在可能的 Windows 事件日志滥用的模式。
   • 检测到表示已安装新服务的异常活动。
   • 检测到使用显式凭证的异常登录。
   • 系统中存在可能的 Kerberos 伪造 PAC (MS14-068) 攻击的模式。
   • 检测到特权内置组 Administrators 发出的异常操作。
   • 在网络登录会话期间检测到异常活动。
7. 要配置选定的规则，请转至“扩展”选项卡。
8. 在“暴力破解攻击检测”部分中，设置用作启发式分析触发器的尝试次数和时间范围。
9. 在“网络登录”部分中，指定时间间隔的开始和结束时间。Kaspersky Embedded Systems Security for Windows 将此时间间隔内的登录尝试视为异常活动。
10. 选择“排除”选项卡。
11. 执行以下操作添加受信任用户：
    1. 单击“浏览”按钮。
    2. 选择用户。
    3. 单击“确定”按钮。

       选定的用户将被添加到受信任用户列表中。

12. 执行以下操作添加受信任的 IP 地址：
    1. 输入 IP 地址。
    2. 单击“添加”按钮。

       输入的 IP 地址将被添加到受信任的 IP 地址列表中。

13. 选择“计划”和“高级”选项卡以配置任务启动计划。
14. 在“任务设置”窗口中单击“确定”按钮。

    保存日志审查任务配置。