Инструкция по эффективной настройке анализа журналов ОС Windows в Kaspersky Industrial CyberSecurity for Nodes 4.5

Введение

Журналы событий Windows — один из самых ценных источников данных для обнаружения атак и расследования инцидентов. Каждое действие в системе — от входа пользователя до изменения политик безопасности — оставляет след в виде событий с уникальными идентификаторами (Event ID). Однако поток событий на промышленном узле может быть огромным, и задача специалиста по информационной безопасности — настроить мониторинг так, чтобы вовремя замечать критические аномалии, не утопая в информационном шуме.

Компонент Анализ журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 предоставляет встроенные механизмы для решения этой задачи. В этой статье мы разберём, как эффективно настроить этот компонент, на какие события ОС Windows обращать внимание в первую очередь и как интерпретировать их последовательности для выявления атак.


1. Что такое «Анализ журналов» в KICS for Nodes 4.5

Компонент Анализ журналов контролирует целостность защищаемой среды на основе журналов событий Windows. При обнаружении признаков нетипичного поведения в системе приложение информирует администратора, так как это поведение может указывать на попытки кибератак.

KICS for Nodes анализирует журналы событий Windows и выявляет нарушения в соответствии с правилами двух типов:

При срабатывании любого правила приложение создаёт событие со статусом «Критическое», что обеспечивает чёткую видимость угроз в общем потоке событий.


2. Предустановленные правила: что контролировать по умолчанию

В KICS for Nodes 4.5 доступно семь предустановленных правил. Их нельзя удалить, но можно включать, выключать и настраивать пороговые значения.

Правило

Что обнаруживает

Обнаружена возможная попытка взлома пароля с помощью подбора

Многократные неудачные попытки входа (брутфорс, подбор пароля)

Обнаружена подозрительная активность во время сетевого сеанса входа

Входы в нерабочее время или с необычных адресов

Обнаружены признаки компрометации журналов Windows

Очистка или изменение журналов аудита

Обнаружена подозрительная активность со стороны новой установленной службы

Появление новых служб — признак сохранения доступа (persistence)

Обнаружена подозрительная аутентификация с явным указанием учетных данных

Использование явных учётных данных (например, в скриптах)

Обнаружены признаки атаки Kerberos forged PAC (MS14-068)

Попытка эскалации привилегий через уязвимость Kerberos

Обнаружены подозрительные изменения привилегированной группы Администраторы

Несанкционированное добавление пользователей в группу Administrators

Ключевые настраиваемые параметры

Для правила «Обнаружена возможная попытка взлома пароля с помощью подбора» можно задать:

Это позволяет адаптировать правило под конкретную среду: например, для серверов с высокой интенсивностью ошибочных вводов можно увеличить порог, чтобы снизить число ложных срабатываний.

Для правила «Обнаружена подозрительная активность во время сетевого сеанса входа» можно:


3. Пользовательские правила: гибкость под ваши задачи

Если предустановленных правил недостаточно, вы можете добавить собственные правила на основе конкретных Event ID.

Для создания пользовательского правила необходимо указать:

  1. Имя правила — понятное описание того, что оно отслеживает.
  2. Имя журнала — доступны стандартные журналы: ApplicationSecuritySystem, а также журналы сторонних приложений (например, Windows PowerShell).
  3. Идентификаторы событий — один или несколько Event ID, при появлении которых правило срабатывает.

Важно: Приложение не проверяет фактическое наличие заданного журнала. Если название журнала введено с ошибкой, правило не будет работать.


4. Критические события Windows: что мониторить в первую очередь

Принимая во внимание особенности работы промышленных систем, можно выделить следующие категории событий, которые имеют наибольшую ценность для обнаружения атак.

4.1. Аутентификация и вход в систему

Event ID

Описание

Почему важно

4624

Успешный вход в систему

Позволяет отслеживать необычные входы (время, источник, учётная запись)

4625

Неудачная попытка входа

Основной индикатор брутфорса и подбора паролей

4648

Вход с явными учётными данными

Может указывать на использование украденных или скомпрометированных учётных данных

4672

Вход с правами администратора

Повышение привилегий — критическое событие

4740

Блокировка учётной записи

Может свидетельствовать о целенаправленной атаке или сбое в автоматизации

4.2. Управление учётными записями и группами

Event ID

Описание

Почему важно

4720

Создание учётной записи пользователя

Несанкционированное создание учётных записей — признак сохранения доступа

4728 / 4732

Добавление пользователя в группу с правами администратора

Эскалация привилегий — один из ключевых этапов атаки

4735

Изменение локальной группы

Может указывать на модификацию политик безопасности

4756

Добавление пользователя в группу с правами администратора

Аналогично 4728/4732

4.3. Изменения политик и системные события

Event ID

Описание

Почему важно

1102

Очистка журнала аудита

Попытка скрыть следы атаки

4719

Изменение политики аудита

Может использоваться для отключения аудита критических событий

4616

Изменение системного времени

Используется для «размытия» временных меток событий

4.4. Доступ к объектам и привилегированные операции

Event ID

Описание

Почему важно

4660

Удаление объекта

Удаление критических файлов или ключей реестра

4674

Попытка операции с привилегированным объектом

Может указывать на попытку получения несанкционированного доступа

4.5. Процессы и скрипты

Event ID

Описание

Почему важно

4104

Ведение журнала блоков скриптов PowerShell

Позволяет обнаруживать выполнение вредоносных скриптов

4.6. Дополнительные события для мониторинга сохранения доступа (Persistence)

Event ID

Описание

4698

Создание запланированной задачи

4699

Удаление запланированной задачи

4700

Включение запланированной задачи

4701

Выключение запланированной задачи

4702

Обновление запланированной задачи

Эти события часто сопутствуют закреплению злоумышленника в системе после первоначального проникновения.


5. Рекомендации по настройке политик аудита Windows

Для корректной работы Анализа журналов необходимо, чтобы политика аудита безопасности была настроена и система регистрировала нужные события.

Рекомендуемый минимальный набор категорий аудита:

Категория аудита

Подкатегория

Рекомендация

Audit Account Logon

Audit Kerberos Authentication Service

Успех и неудача

Audit Account Management

Audit User Account Management, Audit Security Group Management

Успех и неудача

Audit Logon

Audit Logon

Успех и неудача

Audit Object Access

Audit File System, Audit Registry

Успех и неудача (для критических объектов)

Audit Policy Change

Audit Policy Change

Успех

Audit Privilege Use

Audit Sensitive Privilege Use

Успех и неудача

Audit System

Audit Security State Change, Audit System Integrity

Успех

Подробные инструкции по настройке аудита доступны в документации Microsoft.


7. Интеграция с SIEM и централизованное хранение

KICS for Nodes 4.5 поддерживает отправку событий в SIEM-системы. Это позволяет:

Для настройки отправки в SIEM:

  1. В политике KICS for Nodes перейдите в раздел Журналы и уведомления → Интеграция с SIEM.
  2. Укажите адрес SIEM-сервера, порт и протокол.
  3. При необходимости настройте фильтрацию событий, чтобы в SIEM передавались только критически важные события.

Заключение

Эффективная настройка анализа журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 — это не разовое действие, а непрерывный процесс, требующий понимания как возможностей самого продукта, так и природы угроз для промышленных систем.

Промышленные системы требуют особого внимания к балансу между безопасностью и стабильностью технологического процесса. Настройка анализа журналов должна быть соразмерна рискам: слишком строгие правила могут породить шум, слишком слабые — пропустить атаку. Начните с предустановленных правил, постепенно уточняйте их и добавляйте пользовательские — и вы получите эффективный инструмент раннего обнаружения угроз в вашей промышленной сети.


Revision #3
Created 1 July 2026 04:02:15 by Alexey Panyukhin
Updated 1 July 2026 04:08:53 by Alexey Panyukhin