О пользовательских правилах
07 сентября 2023
ID 221346
IOA-правила (правила для индикаторов атак) позволяют выявлять подозрительные события в инфраструктуре организации и автоматически создавать обнаружения. Пользовательские правила также можно создавать с помощью запросов в разделе Поиск угроз.
В Kaspersky Endpoint Detection and Response Expert есть два типа правил: пользовательские IOA-правила и правила "Лаборатории Касперского". Пользовательские IOA-правила создают специалисты вашей организации. Правила "Лаборатории Касперского" – это стандартные правила, загруженные автоматически. Если вы хотите исключить событие, вызывающее срабатывание правила "Лаборатории Касперского", из списка подозрительных событий, можно добавить исключение из правил "Лаборатории Касперского".
В следующей таблице показаны различия между пользовательскими IOA-правилами и IOA-правилами "Лаборатории Касперского".
Таблица сравнения пользовательских правил и правил "Лаборатории Касперского"
Функция | Пользовательские IOA-правила | IOA-правила "Лаборатории Касперского" |
Наличие рекомендаций по реагированию на событие | Нет. | Есть. Вы можете посмотреть рекомендации в деталях обнаружения. |
Соответствие техникам в базе MITRE ATT&CK | Нет. | Есть. Вы можете посмотреть описание техники по классификации MITRE в деталях обнаружения. |
Отображение в списке пользовательских правил | Да. | Нет. |
Способ отключить проверку базы по этому правилу | Отключение правила. | Добавление правила в исключения. |
Возможность удалить или добавить правило | Можно удалять и добавлять правила. | Правила обновляются вместе с базами программы, эти правила нельзя удалить. |