定義済みタスクルールの設定

ヒューリスティックアナライザーを Windows イベントログ監視タスクに対して設定する次の処理を行います：

1. アプリケーションコンソールツリーで、［システム監査］フォルダーを展開します。
2. ［Windows イベントログ監視］サブフォルダーを選択します。
3. ［Windows イベントログ監視］フォルダーの結果ペインで、［プロパティ］をクリックします。

   ［タスクの設定］ウィンドウが表示されます。

4. ［定義済みのルール］タブを選択します。
5. ［Windows イベントログ監視に定義済みのルールを適用する］をオンまたはオフにします。
   

   このチェックボックスをオンにすると、保護対象デバイス上の異常な動作を検知するため、ヒューリスティックアナライザーが使用されます。

   このチェックボックスをオフにすると、ヒューリスティックアナライザーは使用されず、異常な動作を検知するため、定義済みまたはカスタムルールが適用されます。

   既定では、このチェックボックスはオフです。

   タスクを実行するには、少なくとも 1 つの Windows イベントログ監視のルールを選択する必要があります。

6. 定義済みのルールのリストから、適用するルールを選択します：
   • システムにブルートフォース攻撃の可能性があるパターンがあります
   • Windows イベントログ悪用の可能性があるパターンがあります
   • インストールされた新しいサービスによる異常処理が検出されました
   • 明示的な資格証明を使用する異常ログオンが検出されました
   • システムに Kerberos 偽造 PAC（MS14-068）攻撃の可能性があるパターンがあります
   • 組み込みの特権グループ Administrators に向けた異常なアクションが検出されました
   • ネットワークログオンセッション時に異常な活動が検出されました
7. 選択したルールを設定するには、［拡張］タブに移動します。
8. ［ブルートフォース攻撃の検知］セクションで、ヒューリスティックアナライザーの適用基準として使用する、試行の数と期間を設定します。
9. ［ネットワークログオン］セクションで、Kaspersky Embedded Systems Security がサインインの試行を異常な動作として扱う時間帯の開始と終了を指定します。
10. ［除外リスト］タブを選択します。
11. 信頼するユーザーを追加するため、次の処理を実行します：
    1. ［参照］をクリックします。
    2. ユーザーを選択します。
    3. ［OK］をクリックします。

       選択したユーザーが、信頼するユーザーのリストに追加されます。

12. 信頼する IP アドレスを追加するため、次の処理を実行します：
    1. IP アドレスを入力します。
    2. ［追加］をクリックします。

       入力した IP アドレスが、信頼する IP アドレスのリストに追加されます。

13. ［スケジュール］タブと［詳細設定］タブを選択し、タスクの開始スケジュールを設定します。
14. ［タスクの設定］ウィンドウで［OK］をクリックします。

    Windows イベントログ監視のタスク設定が保存されます。