Windows イベントログ監視
このコンポーネントは、サーバー用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合に利用できます。このコンポーネントは、ワークステーション用の Windows で動作するコンピューターに Kaspersky Endpoint Security がインストールされている場合は利用できません。
バージョン 11.11.0 から、Kaspersky Endpoint Security for Windows には Windows イベントログ監視コンポーネントが含まれるようになりました。Windows イベントログ監視は Windows イベントログの分析に基づいて保護対象環境の整合性を監視します。通常と異なるふるまいを検知した場合、本製品は管理者にこのふるまいがサイバー攻撃の可能性を示す可能性があると通知します。
Kaspersky Endpoint Security はルールに従って Windows イベントログを分析して違反を検出します。コンポーネントには事前定義済みのルールが含まれます。事前定義済みのルールはヒューリスティック分析によって動作します。独自のルールを追加することもできます(カスタムルール)。ルールが適用されると、本製品は緊急ステータスのイベントを作成します(下図を参照)。
Windows イベントログ監視を使用する場合、セキュリティ監査ポリシーが設定されておリ、システムが関連するイベントを記録していることを確認してください(詳細については、Microsoft のテクニカルサポートの Web サイトを参照してください)。
Windows イベントログ監視の通知
Windows イベントログ監視の設定
パラメータ | 説明 |
|---|---|
事前定義済みのルール | Windows イベントログ監視のリストです。事前定義済みのルールには、保護対象コンピューター上における正常でない活動のテンプレートが含まれます。正常でない活動は、攻撃の可能性を示している場合があります。 |
カスタムルール | ユーザーによって追加された Windows イベントログ監視のリストです。Windows イベントログ監視のルールトリガー条件を独自に設定することができます。そのためには、イベント ID を入力してイベントソースを選択する必要があります。 [Application]、[Security]または[System]のいずれかの標準ログからイベントソースを選択できます。また、サードパーティ製のアプリケーションのログを指定することもできます。 |