定義済みタスクルールの設定

Windows イベントログ監視タスクに対して定義済みのルールを設定するには、次の処理を実行します：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してアプリケーションを設定するには、［ポリシー］タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
   • 単一の保護対象デバイスに対してアプリケーションを設定するには、［デバイス］タブを選択して、［アプリケーションの設定］ウィンドウを開きます。

     Kaspersky Security Center のアクティブポリシーがデバイスに適用され、アプリケーションの設定の変更がブロックされている場合、［アプリケーションの設定］ウィンドウでこれらの設定を編集することはできません。

4. ［システム監査］セクションで、［Windows イベントログ監視］サブセクションの［設定］をクリックします。

   ［Windows イベントログ監視］ウィンドウが開きます。

5. ［定義済みのルール］タブを選択します。
6. ［Windows イベントログ監視に定義済みのルールを適用する］をオンまたはオフにします。
   

   このチェックボックスをオンにすると、保護対象デバイス上の異常な動作を検知するため、ヒューリスティックアナライザーが使用されます。

   このチェックボックスをオフにすると、ヒューリスティックアナライザーは使用されず、異常な動作を検知するため、定義済みまたはカスタムルールが適用されます。

   既定では、このチェックボックスはオフです。

   タスクを実行するには、少なくとも 1 つの Windows イベントログ監視のルールを選択する必要があります。

7. 定義済みのルールのリストから、適用するルールを選択します：
   • システムにブルートフォース攻撃の可能性があるパターンがあります
   • Windows イベントログ悪用の可能性があるパターンがあります
   • インストールされた新しいサービスによる異常処理が検出されました
   • 明示的な資格証明を使用する異常ログオンが検出されました
   • システムに Kerberos 偽造 PAC（MS14-068）攻撃の可能性があるパターンがあります
   • 組み込みの特権グループ Administrators に向けた異常なアクションが検出されました
   • ネットワークログオンセッション時に異常な活動が検出されました
8. 選択したルールを設定するには、［詳細設定］をクリックします。

   ［Windows イベントログ監視］ウィンドウが開きます。

9. ［ブルートフォース攻撃の検知］セクションで、ヒューリスティックアナライザーの適用基準として使用する、試行の数と期間を設定します。
10. ［ネットワークログオンの検出］セクションで、Kaspersky Embedded Systems Security がサインインの試行を異常な動作として扱う時間帯の開始と終了を指定します。
11. ［除外リスト］タブを選択します。
12. 信頼するユーザーを追加するため、次の処理を実行します：
    1. ［参照］をクリックします。
    2. ユーザーを選択します。
    3. ［OK］をクリックします。

       選択したユーザーが、信頼するユーザーのリストに追加されます。

13. 信頼する IP アドレスを追加するため、次の処理を実行します：
    1. IP アドレスを入力します。
    2. ［追加］をクリックします。
14. 入力した IP アドレスが、信頼する IP アドレスのリストに追加されます。
15. ［タスク管理］タブで、タスクの開始スケジュールを設定します。
16. ［Windows イベントログ監視］ウィンドウで［OK］をクリックします。

Windows イベントログ監視のタスク設定が保存されます。