Sobre a tarefa de Inspeção do Log

Quando a tarefa de Inspeção do Log é executada, o Kaspersky Embedded Systems Security, monitora a integridade do ambiente protegido com base nos resultados de uma inspeção dos logs de eventos do Windows. O aplicativo notifica o administrador ao detectar um comportamento anormal que pode indicar tentativas de ataques cibernéticos.

O Kaspersky Embedded Systems Security analisa os logs de eventos do Windows e identifica violações com base nas regras especificadas pelo usuário ou pelas configurações do analisador heurístico, que a tarefa usa para inspecionar logs.

Regras predefinidas e análise heurística

É possível utilizar a tarefa de Inspeção do Log para monitorar o estado do sistema protegido aplicando regras predefinidas com base na heurística existente. O analisador heurístico identifica atividade anormal no dispositivo protegido, o que pode ser uma evidência de tentativa de ataque. Modelos para identificar comportamento anormal estão incluídos nas regras disponíveis nas configurações de regras predefinidas.

Sete regras estão incluídas na lista de regras da tarefa de Inspeção do Log. É possível ativar ou desativar qualquer uma dessas regras. Não é possível excluir regras existentes ou criar novas regras.

É possível configurar critérios para acionamento de regras que monitoram eventos para as seguintes operações:

• Detecção de ataque de força bruta de senha
• Detecção de login na rede

Também é possível configurar exclusões nas configurações da tarefa. O analisador heurístico não é ativado quando um login é realizado por um usuário confiável ou a partir de um endereço IP confiável.

O Kaspersky Embedded Systems Security não usa a heurística para inspecionar os logs do Windows se o analisador heurístico não for usado pela tarefa. Por padrão, o analisador heurístico fica ativo.

Quando as regras são aplicadas, o aplicativo registra um Evento crítico no log de tarefas de Inspeção do Log.

Regras personalizadas para a tarefa de Inspeção do Log

É possível usar configurações de regra para especificar e alterar os critérios para as regras de acionamento após a detecção de eventos selecionados no log especificado do Windows. Por padrão, a lista das regras de Inspeção do Log contém quatro regras. É possível ativar e desativar essas regras, removê-las e editar suas configurações.

Você pode configurar os seguintes critérios para acionamento de regras para cada uma delas:

• Lista de identificadores no Log de Eventos do Windows.

  A regra é acionada quando um novo registro é criado no Log de Eventos do Windows, se as propriedades de eventos incluírem um identificador de evento especificado na regra. Também é possível adicionar e remover identificadores para cada regra especificada.

• Fonte de evento.

  Para cada regra, é possível especificar um log dentro do Log de Eventos do Windows. O aplicativo procurará registros com os identificadores de evento especificados apenas nesse log. É possível selecionar um dos logs padrão (Aplicativo, Segurança ou Sistema), ou especificar um log personalizado digitando o nome no campo de seleção de fonte.

  O aplicativo não verifica se o log especificado realmente existe no Log de Eventos do Windows.

Quando a regra é acionada, o Kaspersky Embedded Systems Security registra um Evento crítico no log de tarefas de Inspeção do Log.

Por padrão, a tarefa de Inspeção do Log aplica regras personalizadas.

Antes de iniciar a tarefa de Inspeção do Log certifique-se de que a política de auditoria do sistema esteja configurada corretamente. Consulte o artigo da Microsoft para obter detalhes.