Инструкция по эффективной настройке анализа журналов ОС Windows в Kaspersky Industrial CyberSecurity for Nodes 4.5 Введение Журналы событий Windows — один из самых ценных источников данных для обнаружения атак и расследования инцидентов. Каждое действие в системе — от входа пользователя до изменения политик безопасности — оставляет след в виде событий с уникальными идентификаторами (Event ID). Однако поток событий на промышленном узле может быть огромным, и задача специалиста по информационной безопасности — настроить мониторинг так, чтобы вовремя замечать критические аномалии, не утопая в информационном шуме. Компонент  Анализ журналов  в Kaspersky Industrial CyberSecurity for Nodes 4.5 предоставляет встроенные механизмы для решения этой задачи. В этой статье мы разберём, как эффективно настроить этот компонент, на какие события ОС Windows обращать внимание в первую очередь и как интерпретировать их последовательности для выявления атак. 1. Что такое «Анализ журналов» в KICS for Nodes 4.5 Компонент  Анализ журналов  контролирует целостность защищаемой среды на основе журналов событий Windows. При обнаружении признаков нетипичного поведения в системе приложение информирует администратора, так как это поведение может указывать на попытки кибератак. KICS for Nodes анализирует журналы событий Windows и выявляет нарушения в соответствии с правилами двух типов: Предустановленные правила  — используют эвристический анализ для обнаружения аномалий. Пользовательские правила  — позволяют задать собственные критерии срабатывания на основе идентификаторов событий (Event ID) и источников журналов. При срабатывании любого правила приложение создаёт событие со статусом  «Критическое» , что обеспечивает чёткую видимость угроз в общем потоке событий. 2. Предустановленные правила: что контролировать по умолчанию В KICS for Nodes 4.5 доступно  семь предустановленных правил . Их нельзя удалить, но можно включать, выключать и настраивать пороговые значения. Правило Что обнаруживает Обнаружена возможная попытка взлома пароля с помощью подбора Многократные неудачные попытки входа (брутфорс, подбор пароля) Обнаружена подозрительная активность во время сетевого сеанса входа Входы в нерабочее время или с необычных адресов Обнаружены признаки компрометации журналов Windows Очистка или изменение журналов аудита Обнаружена подозрительная активность со стороны новой установленной службы Появление новых служб — признак сохранения доступа (persistence) Обнаружена подозрительная аутентификация с явным указанием учетных данных Использование явных учётных данных (например, в скриптах) Обнаружены признаки атаки Kerberos forged PAC (MS14-068) Попытка эскалации привилегий через уязвимость Kerberos Обнаружены подозрительные изменения привилегированной группы Администраторы Несанкционированное добавление пользователей в группу Administrators Ключевые настраиваемые параметры Для правила «Обнаружена возможная попытка взлома пароля с помощью подбора»  можно задать: Количество попыток  (по умолчанию — 10) Промежуток времени  (по умолчанию — 300 секунд) Это позволяет адаптировать правило под конкретную среду: например, для серверов с высокой интенсивностью ошибочных вводов можно увеличить порог, чтобы снизить число ложных срабатываний. Для правила «Обнаружена подозрительная активность во время сетевого сеанса входа»  можно: Задать  временной интервал , в течение которого все попытки входа считаются аномальными (например, с 00:00 до 06:00) Сформировать  списки доверенных пользователей и IP-адресов  (IPv4 и IPv6), для которых правило не срабатывает 3. Пользовательские правила: гибкость под ваши задачи Если предустановленных правил недостаточно, вы можете  добавить собственные правила  на основе конкретных Event ID. Для создания пользовательского правила необходимо указать: Имя правила  — понятное описание того, что оно отслеживает. Имя журнала  — доступны стандартные журналы:  Application ,  Security ,  System , а также журналы сторонних приложений (например,  Windows PowerShell ). Идентификаторы событий  — один или несколько Event ID, при появлении которых правило срабатывает. Важно:  Приложение не проверяет фактическое наличие заданного журнала. Если название журнала введено с ошибкой, правило не будет работать. 4. Критические события Windows: что мониторить в первую очередь Принимая во внимание особенности работы промышленных систем, можно выделить следующие категории событий, которые имеют наибольшую ценность для обнаружения атак. 4.1. Аутентификация и вход в систему Event ID Описание Почему важно 4624 Успешный вход в систему Позволяет отслеживать необычные входы (время, источник, учётная запись) 4625 Неудачная попытка входа Основной индикатор брутфорса и подбора паролей 4648 Вход с явными учётными данными Может указывать на использование украденных или скомпрометированных учётных данных 4672 Вход с правами администратора Повышение привилегий — критическое событие 4740 Блокировка учётной записи Может свидетельствовать о целенаправленной атаке или сбое в автоматизации 4.2. Управление учётными записями и группами Event ID Описание Почему важно 4720 Создание учётной записи пользователя Несанкционированное создание учётных записей — признак сохранения доступа 4728  /  4732 Добавление пользователя в группу с правами администратора Эскалация привилегий — один из ключевых этапов атаки 4735 Изменение локальной группы Может указывать на модификацию политик безопасности 4756 Добавление пользователя в группу с правами администратора Аналогично 4728/4732 4.3. Изменения политик и системные события Event ID Описание Почему важно 1102 Очистка журнала аудита Попытка скрыть следы атаки 4719 Изменение политики аудита Может использоваться для отключения аудита критических событий 4616 Изменение системного времени Используется для «размытия» временных меток событий 4.4. Доступ к объектам и привилегированные операции Event ID Описание Почему важно 4660 Удаление объекта Удаление критических файлов или ключей реестра 4674 Попытка операции с привилегированным объектом Может указывать на попытку получения несанкционированного доступа 4.5. Процессы и скрипты Event ID Описание Почему важно 4104 Ведение журнала блоков скриптов PowerShell Позволяет обнаруживать выполнение вредоносных скриптов 4.6. Дополнительные события для мониторинга сохранения доступа (Persistence) Event ID Описание 4698 Создание запланированной задачи 4699 Удаление запланированной задачи 4700 Включение запланированной задачи 4701 Выключение запланированной задачи 4702 Обновление запланированной задачи Эти события часто сопутствуют закреплению злоумышленника в системе после первоначального проникновения. 5. Рекомендации по настройке политик аудита Windows Для корректной работы Анализа журналов  необходимо, чтобы политика аудита безопасности была настроена и система регистрировала нужные события . Рекомендуемый минимальный набор категорий аудита: Категория аудита Подкатегория Рекомендация Audit Account Logon Audit Kerberos Authentication Service Успех и неудача Audit Account Management Audit User Account Management, Audit Security Group Management Успех и неудача Audit Logon Audit Logon Успех и неудача Audit Object Access Audit File System, Audit Registry Успех и неудача (для критических объектов) Audit Policy Change Audit Policy Change Успех Audit Privilege Use Audit Sensitive Privilege Use Успех и неудача Audit System Audit Security State Change, Audit System Integrity Успех Подробные инструкции по настройке аудита доступны в  документации Microsoft . 7. Интеграция с SIEM и централизованное хранение KICS for Nodes 4.5 поддерживает  отправку событий в SIEM-системы . Это позволяет: Централизованно хранить события со всех промышленных узлов. Коррелировать события из разных источников. Использовать возможности SIEM для углублённого анализа. Для настройки отправки в SIEM: В политике KICS for Nodes перейдите в раздел  Журналы и уведомления → Интеграция с SIEM . Укажите адрес SIEM-сервера, порт и протокол. При необходимости настройте фильтрацию событий, чтобы в SIEM передавались только критически важные события. Заключение Эффективная настройка анализа журналов в Kaspersky Industrial CyberSecurity for Nodes 4.5 — это не разовое действие, а непрерывный процесс, требующий понимания как возможностей самого продукта, так и природы угроз для промышленных систем. Промышленные системы требуют особого внимания к балансу между безопасностью и стабильностью технологического процесса. Настройка анализа журналов должна быть соразмерна рискам: слишком строгие правила могут породить шум, слишком слабые — пропустить атаку. Начните с предустановленных правил, постепенно уточняйте их и добавляйте пользовательские — и вы получите эффективный инструмент раннего обнаружения угроз в вашей промышленной сети.