Windows イベントログ監視タスクについて

Windows イベントログ監視タスクの実行時に、Windows イベントログの監査結果に基づいて保護環境の整合性を監視します。サイバー攻撃の試行を示す可能性のある異常な動作が検知されると、管理者に通知されます。

Kaspersky Embedded Systems Security では、Windows イベントログ監視タスクによって使用される、ユーザー指定のルールまたはヒューリスティックアナライザーの設定で指定されたルールに基づいて、Windows イベントログの分析と侵入工作の特定が行われます。

定義済みのルールとヒューリスティック分析

既存のヒューリスティックに基づき、定義済みのルールを適用することにより、Windows イベントログ監視タスクを使用して保護対象システムの状態を監視できます。ヒューリスティックアナライザーは、攻撃の試行を示す可能性のある異常な活動を保護対象デバイス上で特定します。異常な動作を特定するテンプレートは、定義済みのルール設定で使用可能なルールに含まれています。

Windows イベントログ監視タスク用のルールリストには、7 つのルールが含まれています。各ルールを有効または無効にできます。既存のルールを削除したり、新しいルールを作成したりすることはできません。

以下の操作に対して、イベントを監視するルールの有効化の条件を設定できます：

• ブルートフォース攻撃の検知
• ネットワークログイン検知

タスク設定内で除外を設定することもできます。信頼するユーザーまたは信頼する IP アドレスからのログイン実施時は、ヒューリスティックアナライザーは起動しません。

Kaspersky Embedded Systems Security では、ヒューリスティックアナライザーがタスクで使用されない場合、Windows ログの監視にヒューリスティックを使用しません。ヒューリスティックアナライザーは既定で有効化されています。

ルールが適用されると、Windows イベントログ監視タスクのログに緊急イベントが記録されます。

Windows イベントログ監視タスクのルールのカスタマイズ

ルール設定を使用して、指定した Windows ログ内で選択したイベントを検知する際のルール有効化条件を指定および変更できます。Windows イベントログ監視のルールのリストには、既定で 4 つのルールがあります。これらのルールの有効化および無効化、ルールの削除、およびルール設定の編集が行えます。

各ルールに対して、次のルール有効化の条件を設定できます：

• Windows イベントログ内の記録 ID のリスト

  ルールで指定されたイベント ID がイベントプロパティに含まれる場合、Windows イベントログ内で新しいレコードが作成された際にルールが有効化されます。各指定ルールに対する ID の追加と削除もできます。

• イベントソース

  各ルールに対して、Windows イベントログ内のログを指定できます。このログのみで、指定されたイベント ID を含む記録が検索されます。標準ログ（アプリケーション、セキュリティ、システム）のいずれかを選択するか、ソース選択フィールドに名前を入力してカスタムのログを指定できます。

  指定されたログが実際に Windows イベントログに存在するかは検証されません。

ルールが適用されると、Windows イベントログ監視タスクのログに緊急イベントが記録されます。

既定では、Windows イベントログ監視タスクでカスタムルールが適用されます。

Windows イベントログ監視タスクを開始する前に、システム監査ポリシーが正しく設定されていることを確認してください。詳細は、Microsoft の記事を参照してください。