事前定義済みのルールの設定

サポート

法人向けアプリケーション

Kaspersky Endpoint Security 11 for Windows

コンピューターのコントロール

Windows イベントログ監視

事前定義済みのルールの設定

2024年2月14日

ID 235320

PDF として入手

事前定義済みのルールには、保護対象コンピューター上における正常でない活動のテンプレートが含まれます。正常でない活動は、攻撃の可能性を示している場合があります。事前定義済みのルールはヒューリスティック分析によって動作します。Windows イベントログ監視には 7 つの事前定義済みのルールが使用できます。いずれのルールを有効または無効にすることができます。事前定義済みのルールを削除することはできません。

次の操作に対するイベントの監視ルールの適用条件を設定できます：

パスワードのブルートフォース攻撃の検知
ネットワークログオンの検知

管理コンソール（MMC）で事前定義済みのルールを設定する方法

Kaspersky Security Center の管理コンソールを開きます。
コンソールツリーの［管理対象デバイス］フォルダーで、設定を適用するクライアントコンピューターが属している管理グループのフォルダーを開きます。
作業領域で、［ポリシー］タブを選択します。
目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
ポリシーウィンドウで、［セキュリティコントロール］→［Windows イベントログ監視］の順に選択します。
［Windows イベントログ監視］がオンになっていることを確認してください。
［事前定義済みのルール］ブロックの［設定］をクリックします。
チェックボックスをオンまたはオフにして、事前定義済みのルールを設定します：
- システムにブルートフォース攻撃の可能性を示すパターンがあります
- ネットワークログオンセッション中に通常と異なる活動を検知しました
- Windows イベントログの悪用の可能性を示すパターンがあります
- 新しくインストールしたサービスに通常と異なる活動が検出されました
- 明示的な資格情報を使用した通常と異なるログオンが検出されました
- システムに Kerberos 偽装 PAC（MS14-068）攻撃の可能性を示すパターンがあります
- 特権付きの組み込み管理者グループ内で疑わしい変更を検知しました
必要に応じて、［システムにブルートフォース攻撃の可能性を示すパターンがあります］ルールを設定します：
1. ルールの下で［設定］をクリックします。
2. 表示されるウィンドウで、ルールが適用されるパスワードの入力試行の回数と期間を指定します。
3. ［ОК］をクリックします。
I［ネットワークログオンセッション中に通常と異なる活動を検知しました］ルールを選択した場合、設定を構成する必要があります：
1. ルールの下で［設定］をクリックします。
2. ［ネットワークログオンの検知］ブロックで、間隔の開始および終了時間を指定します。
  Kaspersky Endpoint Security はこの定義された間隔で実行されたログオン試行回数を正常でない活動と認識します。
  
  既定では、間隔は設定されておらず、本製品はログオン試行回数を監視しません。本製品がログオン試行回数を継続的に監視するには、間隔を午前 0 時から午後 11 時 59 分に設定します。間隔の開始時間と終了時間には異なる時間を指定する必要があります。開始時間と終了時間が同じである場合、アプリケーションはログオン試行回数を監視しません。
3. 信頼するユーザーと信頼する IP アドレス（IPv4 および IPv6）のリストを作成します。
  Kaspersky Endpoint Security はこれらのユーザーおよびコンピューターのログオン試行を監視しません。
4. ［ОК］をクリックします。
変更内容を保存します。

Web コンソールと Cloud コンソールで事前定義済みのルールを設定する方法

Web コンソールのメインウィンドウで［デバイス］→［ポリシーとプロファイル］の順に選択します。
Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
［アプリケーション設定］タブを選択します。
［セキュリティコントロール］→［Windows イベントログ監視］に移動します。
［Windows イベントログ監視］がオンになっていることを確認してください。
［事前定義済みのルール］ブロックで、トグルスイッチを使用して事前定義済みのルールをオンまたはオフにします：
- システムにブルートフォース攻撃の可能性を示すパターンがあります
- ネットワークログオンセッション中に通常と異なる活動を検知しました
- Windows イベントログの悪用の可能性を示すパターンがあります
- 新しくインストールしたサービスに通常と異なる活動が検出されました
- 明示的な資格情報を使用した通常と異なるログオンが検出されました
- システムに Kerberos 偽装 PAC（MS14-068）攻撃の可能性を示すパターンがあります
1. 特権付きの組み込み管理者グループ内で疑わしい変更を検知しました
必要に応じて、［システムにブルートフォース攻撃の可能性を示すパターンがあります］ルールを設定します：
1. ルールの下の［設定］をクリックします。
2. 表示されるウィンドウで、ルールが適用されるパスワードの入力試行の回数と期間を指定します。
3. ［ОК］をクリックします。
I［ネットワークログオンセッション中に通常と異なる活動を検知しました］ルールを選択した場合、設定を構成する必要があります：
1. ルールの下の［設定］をクリックします。
2. ［ネットワークログオンの検知］ブロックで、間隔の開始および終了時間を指定します。
  Kaspersky Endpoint Security はこの定義された間隔で実行されたログオン試行回数を正常でない活動と認識します。
  
  既定では、間隔は設定されておらず、本製品はログオン試行回数を監視しません。本製品がログオン試行回数を継続的に監視するには、間隔を午前 0 時から午後 11 時 59 分に設定します。間隔の開始時間と終了時間には異なる時間を指定する必要があります。開始時間と終了時間が同じである場合、アプリケーションはログオン試行回数を監視しません。
3. ［除外リスト］ブロックで、信頼するユーザーと信頼する IP アドレス（IPv4 および IPv6）を追加します。
  Kaspersky Endpoint Security はこれらのユーザーおよびコンピューターのログオン試行を監視しません。
4. ［ОК］をクリックします。
変更内容を保存します。

製品インターフェイスで事前定義済みのルールを設定する方法

メインウィンドウで、をクリックします。
本製品の設定ウィンドウで、［セキュリティコントロール］→［Windows イベントログ監視］を選択します。
［Windows イベントログ監視］がオンになっていることを確認してください。
［事前定義済みのルール］ブロックの［設定］をクリックします。
チェックボックスをオンまたはオフにして、事前定義済みのルールを設定します：
- システムにブルートフォース攻撃の可能性を示すパターンがあります
- ネットワークログオンセッション中に通常と異なる活動を検知しました
- Windows イベントログの悪用の可能性を示すパターンがあります
- 新しくインストールしたサービスに通常と異なる活動が検出されました
- 明示的な資格情報を使用した通常と異なるログオンが検出されました
- システムに Kerberos 偽装 PAC（MS14-068）攻撃の可能性を示すパターンがあります
1. 特権付きの組み込み管理者グループ内で疑わしい変更を検知しました
必要に応じて、［システムにブルートフォース攻撃の可能性を示すパターンがあります］ルールを設定します：
1. ルールの下の［設定］をクリックします。
2. 表示されるウィンドウで、ルールが適用されるパスワードの入力試行の回数と期間を指定します。
I［ネットワークログオンセッション中に通常と異なる活動を検知しました］ルールを選択した場合、設定を構成する必要があります：
1. ルールの下の［設定］をクリックします。
2. ［ネットワークログオンの検知］ブロックで、間隔の開始および終了時間を指定します。
  Kaspersky Endpoint Security はこの定義された間隔で実行されたログオン試行回数を正常でない活動と認識します。
  
  既定では、間隔は設定されておらず、本製品はログオン試行回数を監視しません。本製品がログオン試行回数を継続的に監視するには、間隔を午前 0 時から午後 11 時 59 分に設定します。間隔の開始時間と終了時間には異なる時間を指定する必要があります。開始時間と終了時間が同じである場合、アプリケーションはログオン試行回数を監視しません。
3. ［除外リスト］ブロックで、信頼するユーザーと信頼する IP アドレス（IPv4 および IPv6）を追加します。
  Kaspersky Endpoint Security はこれらのユーザーおよびコンピューターのログオン試行を監視しません。
変更内容を保存します。

この結果、ルールがトリガーされると、Kaspersky Endpoint Security は緊急イベントを作成します。

Kaspersky Endpoint Security for Windows：高度な脅威も検知

機密データの盗難による被害を防ぐよう設計されたコントロールシステム。単一のコンソールで管理。Endpoint Security for Business Advanced の一部として購入。

拡張テクニカルサポート（MSA）：優先度の高いインシデント対応

電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約（MSA）をアクティブ化。

この記事はお役に立ちましたか？

改善できる点がありましたらお聞かせください。

フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。