Kaspersky Anti Targeted Attack Platform

Содержание

Работа с пользовательскими правилами

Вы можете настроить дополнительную защиту IT-инфраструктуры организации с помощью пользовательских правил TAA, IDS, IOC и YARA.

Пользователи с ролью Старший сотрудник службы безопасности могут работать с пользовательскими правилами TAA, IDS, IOC и YARA: загружать и удалять файлы правил, просматривать списки правил, редактировать выбранные правила.

Пользователи с ролью Аудитор могут просматривать списки пользовательских правил TAA, IDS, IOC и YARA и свойства выбранных правил без возможности редактирования.

Пользователи с ролью Сотрудник службы безопасности могут просматривать списки пользовательских правил TAA, IOC и YARA и свойства выбранных правил без возможности редактирования.

В этом разделе

Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз

Работа с пользовательскими правилами IOC

Работа с пользовательскими правилами TAA (IOA)

Работа с пользовательскими правилами IDS

Работа с пользовательскими правилами YARA

В начало
[Topic 195584]

Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз

Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).

Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации

. IOC-файлы содержат набор индикаторов, при совпадении с которыми программа считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

Индикатор IOA – это правило (далее также "правило TAA (IOA)"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий программы и отмечает события, которые совпадают с поведением, описанным в правилах TAA (IOA). При проверке используется технология потоковой проверки, при которой объекты, загружаемые из сети, проверяются непрерывно в режиме реального времени.

Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", используются в работе технологии TAA (Targeted Attack Analyzer) и обновляются вместе с базами программы. Они не отображаются в интерфейсе программы и не могут быть отредактированы.

Вы можете добавлять пользовательские правила IOC и TAA (IOA), используя IOC-файлы открытого стандарта описания OpenIOC, а также создавать правила TAA (IOA) на основе условий поиска по базе событий.

Сравнительные характеристики индикаторов компрометации (IOC) и атаки (IOA) приведены в таблице ниже.

Сравнительные характеристики индикаторов IOC и IOA

Сравнительная характеристика

Индикаторы IOC в пользовательских правилах IOC

Индикаторы IOA в пользовательских правилах TAA (IOA)

Индикаторы IOA в правилах TAA (IOA), сформированных специалистами "Лаборатории Касперского"

Область проверки

Компьютеры с программой Kaspersky Endpoint Agent

База событий программы

База событий программы

Механизм проверки

Периодическая проверка

Потоковая проверка

Потоковая проверка

Возможность добавить в исключения из проверки

Нет.

Не требуется.

Пользователи с ролью Старший сотрудник службы безопасности могут изменить текст индикатора в пользовательских правилах TAA (IOA) согласно требуемым условиям.

Есть.

Если вы используете

и , в разделе отображаются данные по выбранному вами тенанту.

В начало
[Topic 194907]

Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с установленной программой Kaspersky Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносной программы, вы можете выполнить следующие действия:

  1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносной программы.
  2. Найти события, соответствующие условиям выбранного IOC-файла.

    Вы можете просмотреть эти события и, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform формировала обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

  3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с программой Kaspersky Endpoint Agent.

    Если в результате проверки компьютеров программа Kaspersky Anti Targeted Attack Platform обнаружит индикаторы компрометации, программа Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

  4. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с программой Kaspersky Endpoint Agent.

В режиме распределенного решения и мультитенантности IOC-файлы могут быть следующих типов:

  • Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
  • Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

Вы можете ознакомиться со списком поддерживаемых индикаторов компрометации открытого стандарта OpenIOC, скачав файл.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с установленной программой Kaspersky Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.

В этом разделе

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 194908]

Просмотр таблицы IOC-файлов

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица IOC-файлов содержит информацию об IOC-файлах, используемых для проверки на компьютерах с программой Kaspersky Endpoint Agent, и находится в разделе Пользовательские правила, подразделе IOC окна веб-интерфейса программы.

В таблице IOC-файлов содержится следующая информация:

  1. Apt_icon_Importance_new – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

    Степень важности может иметь одно из следующих значений:

    • Apt_icon_importance_low – низкая важность.
    • Apt_icon_importance_medium – средняя важность.
    • Apt_icon_importance_high – высокая важность.
  2. Тип – тип IOC-файла в зависимости от режима работы программы и сервера, на который загружен IOC-файл:
    • Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
    • Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.
  3. Имя – имя IOC-файла.
  4. Серверы – имя сервера с компонентом Central Node.
  5. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с программой Kaspersky Endpoint Agent.

    Проверка хостов с использованием этого IOC-файла может находиться в одном из следующих состояний:

    • Включено.
    • Отключено.

См. также

Работа с пользовательскими правилами IOC

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 194910]

Просмотр информации об IOC-файле

Чтобы просмотреть информацию об IOC-файле:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

    Откроется таблица IOC-файлов.

  2. Выберите IOC-файл, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об IOC-файле.

Окно содержит следующую информацию:

  • Найти обнаружения – по ссылке открывается раздел Обнаружения с условием фильтрации, содержащим имя выбранного вами IOC-файла.
  • Найти события – по ссылке открывается раздел Поиск угроз с условием поиска, содержащим индикаторы компрометации выбранного вами IOC-файла.
  • Скачать – по ссылке открывается окно скачивания IOC-файла.
  • Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с программой Kaspersky Endpoint Agent.
  • Имя – имя IOC-файла.
  • Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

    Степень важности может иметь одно из следующих значений:

    • Apt_icon_importance_low – низкая важность.
    • Apt_icon_importance_medium – средняя важность.
    • Apt_icon_importance_high – высокая важность.
  • Область применения – отображает название тенанта и имена серверов, к которым относятся события, проверяемые по этому IOC-файлу (в режиме распределенного решения и мультитенантности).
  • XML – отображает содержимое IOC-файла в формате XML.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196138]

Загрузка IOC-файла

IOC-файлы со свойствами UserItem для доменных пользователей не поддерживаются.

Чтобы загрузить IOC-файл:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

    Откроется таблица IOC-файлов.

  2. Нажмите на кнопку Загрузить.

    Откроется окно выбора файла на вашем локальном компьютере.

  3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
  4. Укажите следующие параметры:
    1. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с программой Kaspersky Endpoint Agent:
      • Включено.
      • Отключено.
    2. Имя – имя IOC-файла.
    3. Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла:
      • Низкая.
      • Средняя.
      • Высокая.
    4. Область применения – название тенанта и имена серверов, которые вы хотите проверять с помощью этого IOC-файла (в режиме распределенного решения и мультитенантности).
  5. Нажмите на кнопку Сохранить.

IOC-файл будет загружен в формате XML.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196139]

Скачивание IOC-файла на компьютер

Вы можете скачать ранее загруженный IOC-файл на компьютер.

Чтобы скачать IOC-файл на компьютер:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
  2. Откроется таблица IOC-файлов.Выберите IOC-файл, который вы хотите скачать.

    Откроется окно с информацией об IOC-файле.

  3. В зависимости от параметров вашего браузера, по ссылке Скачать сохраните файл в папку по умолчанию или укажите папку для сохранения файла.

IOC-файл будет сохранен на компьютер в папку загрузки браузера.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196140]

Включение и отключение автоматического использования IOC-файла при проверке хостов

Вы можете включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent.

Чтобы включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

    Откроется таблица IOC-файлов.

  2. В строке с IOC-файлом, использование которого вы хотите включить или отключить, в столбце Состояние переведите переключатель в одно из следующих положений:
    • Включено.
    • Отключено.

Автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent будет включено или отключено.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция включения или отключения автоматического использования IOC-файла при проверке событий недоступна.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196141]

Удаление IOC-файла

Чтобы удалить IOC-файл:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
  2. Откроется таблица IOC-файлов.Выберите IOC-файл, который вы хотите удалить.

    Откроется окно с информацией об IOC-файле.

  3. Нажмите на кнопку Удалить.

IOC-файл будет удален.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления IOC-файла недоступна.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196142]

Поиск обнаружений по результатам IOC-проверки

Чтобы найти и просмотреть результаты проверки по выбранному IOC-файлу:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

    Откроется таблица IOC-файлов.

  2. Выберите IOC-файл, для которого вы хотите просмотреть результаты проверки.

    Откроется окно с информацией об IOC-файле.

  3. Перейдите в базу обнаружений по ссылке Найти обнаружения.

    Откроется новая вкладка браузера с таблицей найденных обнаружений.

Вы также можете просмотреть результаты проверки по всем IOC-файлам, отфильтровав обнаружения по названию технологии.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196137]

Поиск событий по IOC-файлу

Чтобы просмотреть события, найденные с помощью IOC-файла:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

    Откроется таблица IOC-файлов.

  2. Выберите IOC-файл, который вы хотите использовать для поиска событий по базе событий.

    Откроется окно с информацией об IOC-файле.

  3. Перейдите в базу событий по ссылке Найти события.

    Откроется новая вкладка браузера с таблицей найденных событий.

В начало
[Topic 211279]

Фильтрация и поиск IOC-файлов

Чтобы отфильтровать или найти IOC-файлы по требуемым критериям:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
  2. Откроется таблица IOC-файлов.Выполните следующие действия в зависимости от критерия фильтрации:
    • По степени важности
      1. По значку Apt_icon_Importance_new откройте окно настройки фильтрации IOC-файлов.
      2. Выберите одну или несколько из следующих степеней важности:
        • Низкая.
        • Средняя.
        • Высокая.
      3. Нажмите на кнопку Применить.
    • По имени файла
      1. По ссылке Имя откройте окно настройки фильтрации IOC-файлов.
      2. Введите один или несколько символов имени IOC-файла.
      3. Нажмите на кнопку Применить.
    • По состоянию автоматической проверки (включена / выключена)
      1. По ссылке Автоматическая проверка откройте окно настройки фильтрации IOC-файлов.
      2. Выберите один из следующих вариантов:
        • Включено.
        • Отключено.

В таблице IOC-фалов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196143]

Сброс фильтра IOC-файлов

Чтобы сбросить фильтр IOC-файлов по одному или нескольким условиям фильтрации:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
  2. Откроется таблица IOC-файлов.Нажмите на кнопку Apt_icon_alerts_delete_filter справа от того заголовка столбца таблицы IOC-файлов, условия фильтрации по которому вы хотите сбросить.

    Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице IOC-фалов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Настройка расписания IOC-проверки

В начало
[Topic 196144]

Настройка расписания IOC-проверки

Вы можете настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent.

Чтобы настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent:

  1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Endpoint Agents, раздел Расписание IOC-проверки.
  2. В раскрывающихся списках Время запуска выберите время начала поиска индикаторов компрометации.
  3. В раскрывающемся списке Максимальное время проверки выберите ограничение по времени выполнения поиска индикаторов компрометации.
  4. Нажмите на кнопку Применить.

Новое расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent начнет действовать сразу после сохранения изменений. Результаты поиска индикаторов компрометации отобразятся в таблице обнаружений.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности недоступна функция настройки расписания поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent.

См. также

Работа с пользовательскими правилами IOC

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

В начало
[Topic 194911]

Работа с пользовательскими правилами TAA (IOA)

Пользовательские правила TAA (IOA) создаются на основе условий поиска по базе событий. Например, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform сформировала обнаружения по событиям запуска программы, которую вы считаете небезопасной, на компьютерах с программой Kaspersky Endpoint Agent, вы можете выполнить следующие действия:

  1. Сформировать поисковый запрос по базе событий.
  2. Создать правило TAA (IOA) на основе условий поиска событий.

    При поступлении на сервер Central Node событий, соответствующих созданному правилу TAA (IOA), программа Kaspersky Anti Targeted Attack Platform сформирует обнаружения.

Вы также можете создать правило TAA (IOA) на основе одного или нескольких условий поиска событий из выбранного IOC-файла. Для этого вам требуется выполнить следующие действия:

  1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносной программы.
  2. Найти события, соответствующие условиям выбранного IOC-файла.
  3. Создать на основе одного или нескольких условий поиска событий из выбранного IOC-файла правило TAA (IOA).

В режиме распределенного решения и мультитенантности правила TAA (IOA) могут быть одного из следующих типов:

  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Сравнительная характеристика

Пользовательские правила TAA (IOA)

Правила TAA (IOA) "Лаборатории Касперского"

Наличие рекомендаций по реагированию на событие

Нет

Есть

Вы можете посмотреть рекомендации в
информации об обнаружении

Соответствие технике

Нет

Есть

Вы можете посмотреть описание техники по
классификации MITRE в информации об обнаружении

Отображение в таблице правил TAA (IOA)

Да

Нет

Способ отключить проверку базы по этому правилу

Отключить правило

Добавить правило в исключения TAA

Возможность удалить или добавить правило

Вы можете удалить или добавить правило в веб-интерфейсе программы

Правила обновляются вместе с базами программы
и не могут быть удалены пользователем

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

По ссылкам Обнаружения и События в окне с информацией о правиле TAA (IOA)

По ссылкам Обнаружения и События в окне с информацией об обнаружении

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и выключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

В этом разделе

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195589]

Просмотр таблицы правил TAA (IOA)

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса программы.

В таблице содержится следующая информация:

  1. Apt_icon_Importance_new – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).

    Степень важности может иметь одно из следующих значений:

    • Apt_icon_importance_low – Низкая.
    • Apt_icon_importance_medium – Средняя.
    • Apt_icon_importance_high – Высокая.
  2. Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  3. Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
    • Высокая.
    • Средняя.
    • Низкая.

    Чем выше надежность, тем меньше вероятность ложных срабатываний

  4. Имя – название правила.
  5. Серверы – имя сервера с компонентом Central Node, на котором применяется правило.
  6. Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
    • Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
    • Отключено – не отображается в таблице обнаружений.
  7. Состояние – состояние использования правила при проверке событий:
    • Включено – правило используется.
    • Отключено – правило не используется.

См. также

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195590]

Создание правила TAA (IOA) на основе условий поиска событий

Чтобы создать правило TAA (IOA) на основе условий поиска событий:

  1. В окне веб-интерфейса программы выберите раздел Поиск угроз.

    Откроется форма поиска событий.

  2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
  3. Нажмите на кнопку Сохранить как правило TAA (IOA).

    Откроется окно Новое правило TAA (IOA).

  4. В поле Имя введите имя правила.
  5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Пользовательские правила, в подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

  • IOAId.
  • IOATag.
  • IOATechnique.
  • IOATactics.
  • IOAImportance.
  • IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в программе может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила TAA (IOA) на основе условий поиска событий недоступна.

См. также

Работа с пользовательскими правилами TAA (IOA)

Просмотр таблицы правил TAA (IOA)

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195032_1]

Импорт правила TAA (IOA)

Вы можете импортировать файл формата IOC и использовать его для проверки событий и создания обнаружений Targeted Attack Analyzer.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила TAA (IOA) могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

Чтобы импортировать правило TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Нажмите на кнопку Импортировать.

    Откроется окно выбора файла на вашем локальном компьютере.

  3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

    Откроется окно Новое правило TAA (IOA).

  4. Переместите переключатель Состояние в положение Включено, если вы хотите включить использование правила при проверке базы событий.
  5. На закладке Сведения в поле Имя введите имя правила.
  6. В поле Описание введите любую дополнительную информацию о правиле.
  7. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
    • Низкая.
    • Средняя.
    • Высокая.
  8. В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
    • Низкая.
    • Средняя.
    • Высокая.
  9. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
  10. На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
  11. Нажмите на кнопку Сохранить.

Пользовательское правило TAA (IOA) будет импортировано в программу.

Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195593]

Просмотр информации о правиле TAA (IOA)

Чтобы просмотреть информацию о правиле TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

  • Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
  • События – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила.
  • Запрос – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила. В условиях поиска событий указаны данные из правила TAA (IOA), с которым вы работаете. Например, EventType=Запущен процесс AND FileName CONTAINS <имя правила, с которым вы работаете>. Вы можете отредактировать запрос на поиск событий.
  • IOA ID – по ссылке открывается идентификатор, присваиваемый программой каждому правилу.

    Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.

  • Состояние – использование правила при проверке базы событий.

На закладке Сведения отображается следующая информация:

  • Имя – имя правила, которое вы указали при добавлении правила.
  • Описание – любая дополнительная информация о правиле, которую вы указали.
  • Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
  • Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
  • Тип – тип правила в зависимости от роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке Запрос в верхней части окна вы можете перейти в раздел Поиск угроз и выполнить запрос на поиск событий.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195591]

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Чтобы найти и просмотреть обнаружения и события, при создании которых сработало пользовательское правило TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выберите правило, результат срабатывания которого вы хотите просмотреть.

    Откроется окно с информацией о правиле.

  3. Выполните одно из следующих действий:
    • Если вы хотите просмотреть обнаружения, при создании которых сработало правило TAA (IOA), по ссылке Обнаружения перейдите в базу обнаружений.

      Откроется новая вкладка браузера с таблицей найденных обнаружений.

    • Если вы хотите просмотреть события, при создании которых сработало правило TAA (IOA), по ссылке События перейдите в базу событий.

      Откроется новая вкладка браузера с таблицей найденных событий.

Чтобы найти и просмотреть обнаружения и события, при создании которых сработало правило TAA (IOA) "Лаборатории Касперского", выполните следующие действия:

  1. В окне веб-интерфейса программы выберите раздел Обнаружения.

    Откроется таблица обнаружений.

  2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
  3. В раскрывающемся списке слева выберите Содержит.
  4. В раскрывающемся списке справа выберите технологию (TAA) Targeted Attack Analyzer.
  5. Нажмите на кнопку Применить.

    В таблице отобразятся обнаружения, выполненные технологией TAA на основе правил TAA (IOA).

  6. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила.

    Откроется окно с информацией об обнаружении.

  7. В блоке Результаты проверки по ссылке с названием правила откройте окно с информацией о правиле.
  8. Выполните одно из следующих действий:
    • Если вы хотите просмотреть обнаружения, при создании которых сработало правило TAA (IOA), по ссылке Обнаружения перейдите в базу обнаружений.

      Откроется новая вкладка браузера с таблицей найденных обнаружений.

    • Если вы хотите просмотреть события, при создании которых сработало правило TAA (IOA), по ссылке События перейдите в базу событий.

      Откроется новая вкладка браузера с таблицей найденных событий.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195600]

Фильтрация и поиск правил TAA (IOA)

Чтобы отфильтровать или найти правила TAA (IOA) по требуемым критериям:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выполните следующие действия в зависимости от критерия фильтрации:
    • По степени важности
      1. По значку Apt_icon_Importance_new откройте окно настройки фильтрации IOА-правил.
      2. Установите флажки напротив тех степеней важности, которые вы хотите включить в критерии фильтрации:
        • Низкая.
        • Средняя.
        • Высокая.
      3. Нажмите на кнопку Применить.
    • По типу правила
      1. По ссылке Тип откройте окно настройки фильтрации.
      2. Выберите один из следующих элементов:
        • Все – все правила.
        • Глобальный – правила, созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
        • Локальный – правила, созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
    • По уровню надежности
      1. По ссылке Надежность откройте окно настройки фильтрации.
      2. Установите флажки напротив тех уровней надежности, которые вы хотите включить в критерии фильтрации:
        • Низкая.
        • Средняя.
        • Высокая.
      3. Нажмите на кнопку Применить.
    • По имени правила
      1. По ссылке Тег IOA откройте окно настройки фильтрации.
      2. Введите один или несколько символов названия IOА-правила.
      3. Нажмите на кнопку Применить.
    • По имени сервера
    • По созданию обнаружений на основе правила
      1. По ссылке Обнаружения раскройте список настройки фильтрации.
      2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Отключено.
    • По состоянию правила
      1. По ссылке Состояние раскройте список настройки фильтрации.
      2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Отключено.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195601]

Cброс фильтра правил TAA (IOA)

Чтобы сбросить фильтр правил TAA (IOA) по одному или нескольким условиям фильтрации, выполните следующие действия:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Нажмите на кнопку Apt_icon_alerts_delete_filter справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

    Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

См. также

Работа с пользовательскими правилами TAA (IOA)

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195602]

Включение и отключение использования правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут включить или отключить использование одного или нескольких правил, а также всех правил сразу.

Чтобы включить или отключить использование правила TAA (IOA) при проверке событий:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. В строке с нужным правилом в столбце Состояние включите или выключите переключатель.

Использование правила при проверке событий будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил TAA (IOA) при проверке событий:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

    Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

    В нижней части окна отобразится панель управления.

  3. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование всех правил.

Использование выбранных правил при проверке событий будет включено или отключено.

В режиме распределенного решения и мультитенантности на сервере PCN доступно управление только глобальными правилами TAA (IOA). Управление локальными правилами TAA (IOA) доступно на серверах SCN тех тенантов, к которым у вас есть доступ.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности включение и отключение правил TAA (IOA) недоступно.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195592]

Изменение правила TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут изменять пользовательские правила TAA (IOA). Изменение правил "Лаборатории Касперского" недоступно.

При работе в режиме распределенного решения и мультитенантности вы можете изменять только те правила TAA (IOA), которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно изменение только правил, созданных на PCN. В веб-интерфейсе SCN доступно изменение только правил, созданных на SCN.

Чтобы изменить правило TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выберите правило, которое вы хотите изменить.

    Откроется окно с информацией об этом правиле.

  3. Внесите необходимые изменения.
  4. Нажмите на кнопку Сохранить.

Параметры правила будут изменены.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения правила TAA (IOA) на основе условий поиска событий недоступна.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Удаление правил TAA (IOA)

В начало
[Topic 195595]

Удаление правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут удалить одно или несколько пользовательских правил TAA (IOA), а также все правила сразу.

При работе в режиме распределенного решения и мультитенантности вы можете удалять только те правила TAA (IOA), которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно удаление только правил, созданных на PCN. В веб-интерфейсе SCN доступно удаление только правил, созданных на SCN.

Чтобы удалить пользовательское правило TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выберите правило, которое вы хотите удалить.

    Откроется окно с информацией об этом правиле.

  3. Нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  4. Нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько пользовательских правил TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Установите флажки слева от правил, которые вы хотите удалить.

    Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

    В нижней части окна отобразится панель управления.

  3. Нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  4. Нажмите на кнопку Да.

Выбранные правила будут удалены.

Вы не можете удалять правила TAA (IOA) "Лаборатории Касперского". Если вы не хотите использовать при проверке правило TAA (IOA) "Лаборатории Касперского", вам требуется добавить его в исключения.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения правила TAA (IOA) на основе условий поиска событий недоступна.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

В начало
[Topic 195594]

Работа с пользовательскими правилами IDS

В режиме распределенного решения и мультитенантности пользовательские правила IDS могут быть одного из следующих типов:

  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, настраивать, заменять и удалять пользовательские правила IDS, а также добавлять правила IDS "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Старший сотрудник службы безопасности и Аудитор могут использовать правила IDS для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе обнаружений, а также просматривать информацию о правиле IDS.

У пользователей с ролью Сотрудник службы безопасности нет доступа к к пользовательским правилам IDS.

В этом разделе

Импорт пользовательского правила IDS

Просмотр информации о пользовательском правиле IDS

Включение и отключение использования правила IDS при проверке событий

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Замена пользовательского правила IDS

Скачивание файла пользовательского правила IDS на компьютер

Удаление пользовательского правила IDS

В начало
[Topic 196821]

Импорт пользовательского правила IDS

Вы можете импортировать файл формата Snort или Suricata и использовать его для проверки событий и создания обнаружений Intrision Detection System.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

Например, загрузка пользовательских правил может привести к следующим ошибкам:

  • программа может создавать слишком много IDS-обнаружений;
  • если программа не будет успевать записывать IDS-обнаружения, некоторые объекты сетевого трафика могут остаться непроверенными;
  • регулярные выражения в составе пользовательских правил могут привести к ухудшению производительности или сбоям в работе программы;
  • даже формально корректные пользовательские правила могут привести к ухудшению производительности или сбоям в работе программы.

При загрузке идентификаторы и атрибуты пользовательских правил могут быть изменены. Действия правил Reject и Drop будут заменены на Alert, правила с действием Pass будут удалены

Чтобы импортировать пользовательское правило IDS:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.
  2. Откроется окно пользовательского правила IDS. Нажмите на кнопку Импортировать.

    Откроется окно выбора файла на вашем локальном компьютере.

  3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

Пользовательское правило IDS будет импортировано в программу.

См. также

Работа с пользовательскими правилами IDS

Просмотр информации о пользовательском правиле IDS

Включение и отключение использования правила IDS при проверке событий

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Замена пользовательского правила IDS

Скачивание файла пользовательского правила IDS на компьютер

Удаление пользовательского правила IDS

В начало
[Topic 197080]

Просмотр информации о пользовательском правиле IDS

Чтобы просмотреть информацию о пользовательском правиле IDS,

в окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.

В веб-интерфейсе отображается следующая информация о правиле IDS:

  • Состояние – состояние использования правила при проверке событий.
  • Размер файла – размер файла правила.
  • Последнее обновление – время импорта правила.
  • Автор – имя пользователя, под учетной записью которого было импортировано правило.
  • Важность – степень важности, которая будет присвоена обнаружению, выполненному по этому правилу IDS.

См. также

Работа с пользовательскими правилами IDS

Импорт пользовательского правила IDS

Включение и отключение использования правила IDS при проверке событий

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Замена пользовательского правила IDS

Скачивание файла пользовательского правила IDS на компьютер

Удаление пользовательского правила IDS

В начало
[Topic 197085]

Включение и отключение использования правила IDS при проверке событий

Чтобы включить или отключить использование правила IDS при проверке событий:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.
  2. Откроется окно пользовательского правила IDS.
  3. Переведите переключатель Состояние в одно из следующих положений:
    • Включено.
    • Отключено.

Использование правила IDS при проверке событий будет включено или отключено.

Для пользователей с ролью Аудитор функция включения и отключения правил IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

См. также

Работа с пользовательскими правилами IDS

Импорт пользовательского правила IDS

Просмотр информации о пользовательском правиле IDS

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Замена пользовательского правила IDS

Скачивание файла пользовательского правила IDS на компьютер

Удаление пользовательского правила IDS

В начало
[Topic 197087]

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Чтобы настроить степень важности, которая будет присвоена обнаружению, выполненному по правилу IDS:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.
  2. Откроется окно пользовательского правила IDS. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу IDS:
    • Низкая.
    • Средняя.
    • Высокая.
  3. При необходимости с помощью переключателя Состояние включите использование этого правила IDS.

Важность обнаружений, выполненных по этому правилу IDS, будет настроена.

Для пользователей с ролью Аудитор функция настройки правил IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к к пользовательским правилам IDS.

См. также

Работа с пользовательскими правилами IDS

Импорт пользовательского правила IDS

Просмотр информации о пользовательском правиле IDS

Включение и отключение использования правила IDS при проверке событий

Замена пользовательского правила IDS

Скачивание файла пользовательского правила IDS на компьютер

Удаление пользовательского правила IDS

В начало
[Topic 197086]

Замена пользовательского правила IDS

Вы можете заменить ранее импортированный файл формата Snort или Suricata и использовать его для проверки событий и создания обнаружений Intrusion Detection System.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

При загрузке идентификаторы и атрибуты пользовательских правил могут быть изменены. Действия правил Reject и Drop будут заменены на Alert, правила с действием Pass будут удалены

Чтобы заменить пользовательское правило IDS:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.
  2. Откроется окно пользовательского правила IDS. Под информацией о правиле нажмите на кнопку Заменить.

    Откроется окно выбора файла на вашем локальном компьютере.

  3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

Пользовательское правило IDS будет импортировано в программу и заменит ранее импортированное правило.

Для пользователей с ролью Аудитор функция замены пользовательского правила IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к к пользовательским правилам IDS.

См. также

Работа с пользовательскими правилами IDS

Импорт пользовательского правила IDS

Просмотр информации о пользовательском правиле IDS

Включение и отключение использования правила IDS при проверке событий

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Скачивание файла пользовательского правила IDS на компьютер

Удаление пользовательского правила IDS

В начало
[Topic 197084]

Скачивание файла пользовательского правила IDS на компьютер

Вы можете скачать ранее импортированный файл правила IDS на компьютер.

Чтобы скачать файл пользовательского правила IDS на компьютер:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.
  2. Откроется окно пользовательского правила IDS. Под информацией о правиле нажмите на кнопку Скачать.

Файл будет сохранен на ваш локальный компьютер в папку загрузки браузера.

См. также

Работа с пользовательскими правилами IDS

Импорт пользовательского правила IDS

Просмотр информации о пользовательском правиле IDS

Включение и отключение использования правила IDS при проверке событий

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Замена пользовательского правила IDS

Удаление пользовательского правила IDS

В начало
[Topic 197083]

Удаление пользовательского правила IDS

При работе в режиме распределенного решения пользователи с ролью Старший сотрудник службы безопасности могут удалять только то пользовательское правило IDS, которое было импортировано на текущий сервер. Это значит, что в веб-интерфейсе PCN доступно удаление только правила, созданного на PCN. В веб-интерфейсе SCN доступно удаление только правила, созданного на SCN.

Чтобы удалить пользовательское правило IDS:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IDS.
  2. Откроется окно пользовательского правила IDS. Нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  3. Нажмите на кнопку Да.

Правило будет удалено.

Вы не можете удалять правила IDS "Лаборатории Касперского". Если вы не хотите использовать при проверке правило IDS "Лаборатории Касперского", вам требуется добавить его в исключения.

Для пользователей с ролью Аудитор функция удаления пользовательского правила IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

См. также

Импорт пользовательского правила IDS

Просмотр информации о пользовательском правиле IDS

Включение и отключение использования правила IDS при проверке событий

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Замена пользовательского правила IDS

Скачивание файла пользовательского правила IDS на компьютер

В начало
[Topic 197088]

Работа с пользовательскими правилами YARA

Вы можете использовать правила YARA в качестве баз модуля YARA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с Kaspersky Endpoint Agent для Windows.

В режиме распределенного решения и мультитенантности пользовательские правила YARA могут быть одного из следующих типов:

  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности могут импортировать файл правил YARA в Kaspersky Anti Targeted Attack Platform через веб-интерфейс программы.

Пользователи с ролями Аудитор и Сотрудник службы безопасности могут только просматривать правила YARA.

В этом разделе

Просмотр таблицы правил YARA

Импорт правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Фильтрация и поиск правил YARA

Cброс фильтра правил YARA

Включение и отключение использования правил YARA

Удаление правил YARA

В начало
[Topic 195572]

Просмотр таблицы правил YARA

Таблица пользовательских правил YARA содержит информацию о правилах YARA, используемых для проверки событий и создания обнаружений, и отображается в разделе Пользовательские правила, подразделе YARA окна веб-интерфейса программы.

В таблице содержится следующая информация:

  • Создано – время создания правила.
  • Apt_icon_Importance_new – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

    По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

  • Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно было создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Имя – название правила.
  • Файл – название файла, из которого было импортировано правило.
  • Автор – имя пользователя, под учетной записью которого было импортировано правило.
  • Серверы – имя сервера с компонентом Central Node, на котором применяется правило.
  • Проверка трафика – состояние использования правила при потоковой проверке файлов и объектов, поступающих на Central Node:
    • Включено – правило используется.
    • Отключено – правило не используется.

См. также

Импорт правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Фильтрация и поиск правил YARA

Cброс фильтра правил YARA

Включение и отключение использования правил YARA

Удаление правил YARA

В начало
[Topic 224954]

Импорт правил YARA

Чтобы импортировать правила YARA:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
  2. Нажмите на кнопку Загрузить.

    Откроется окно выбора файлов.

  3. Выберите файл правил YARA, который вы хотите загрузить, и нажмите на кнопку Открыть.

    Окно выбора файлов закроется, откроется окно Импорт правил YARA.

    Максимальный допустимый размер загружаемого файла – 20 МБ.

    В нижней части окна отображается отчет. В отчете содержится следующая информация:

    • Количество правил, которые могут быть успешно импортированы.
    • Количество правил, которые не будут импортированы (если такие есть).

      Для каждого правила, которое не может быть импортировано, указывается его название.

  4. Установите флажок Проверка трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node.
  5. При необходимости в поле Описание введите любую дополнительную информацию.

    Поле Важность недоступно для редактирования. По умолчанию обнаружениям, выполненным по загруженным правилам YARA, будет присвоена высокая степень важности.

  6. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правила.

    Поле отображается только когда вы используете режим распределенного решения и мультитенантности.

  7. Нажмите на кнопку Сохранить.

Импортированные правила отобразятся в таблице YARA-правил.

См. также

Работа с пользовательскими правилами YARA

Просмотр таблицы правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Фильтрация и поиск правил YARA

Cброс фильтра правил YARA

Включение и отключение использования правил YARA

Удаление правил YARA

В начало
[Topic 195566]

Настройка отображения таблицы правил YARA

Вы можете настроить отображение столбцов, а также порядок их следования в таблице.

Чтобы настроить отображение таблицы:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. В заголовочной части таблицы нажмите на кнопку APT_icon_customize_table.

    Отобразится окно Настройка таблицы.

  3. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

    Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

    Должен быть установлен хотя бы один флажок.

  4. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку APT_icon_customize_columnes_order и переместите строку с параметром в нужное место.
  5. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
  6. Нажмите на кнопку Применить.

Отображение таблицы будет настроено.

В начало
[Topic 224957]

Просмотр информации о правиле YARA

Чтобы просмотреть информацию о правиле YARA:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

  • Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
  • Запустить YARA-проверку – по ссылке открывается окно создания задачи.
  • Скачать – по ссылке скачивается файл с правилами YARA.
  • Правило – имя правила, указанное в файле.
  • Проверка трафика – использование правила при потоковой проверке файлов и объектов, поступающих на Central Node.
  • Тип – тип правила в зависимости от роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Важность – степень важности, которая присваивается обнаружению, выполненному по этому правилу.

    По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

  • Описание – любая дополнительная информация о правиле, которую вы указали.
  • Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

См. также

Просмотр таблицы правил YARA

Импорт правил YARA

Настройка отображения таблицы правил YARA

Фильтрация и поиск правил YARA

Cброс фильтра правил YARA

Включение и отключение использования правил YARA

Удаление правил YARA

В начало
[Topic 224967]

Фильтрация и поиск правил YARA

Чтобы отфильтровать или найти правила YARA по требуемым критериям:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. Выполните следующие действия в зависимости от критерия фильтрации:
    • По времени создания
      1. По ссылке Создано откройте окно настройки фильтрации.
      2. Выберите один из следующих вариантов:
        • За все время, если вы хотите, чтобы программа отображала в таблице правила, созданные за все время.
        • Прошедший час, если вы хотите, чтобы программа отображала в таблице правила, созданные за предыдущий час.
        • Прошедшие сутки, если вы хотите, чтобы программа отображала в таблице правила, созданные за предыдущий день.
        • Пользовательский диапазон, если вы хотите, чтобы программа отображала в таблице правила, созданные за указанный вами период.
    • По имени правила
      1. По ссылке Правило откройте меню фильтрации.
      2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
      3. В поле ввода введите название правила или несколько символов из названия правила.
      4. Нажмите на кнопку Применить.
    • По имени файла
      1. По ссылке Файл откройте меню фильтрации.
      2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
      3. В поле ввода введите название файла или несколько символов из названия файла.
      4. Нажмите на кнопку Применить.
    • По имени пользователя, загрузившего файл с правилами
      1. По ссылке Автор откройте меню фильтрации.
      2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
      3. В поле ввода введите имя пользователя или несколько символов из имени пользователя.
      4. Нажмите на кнопку Применить.
    • По состоянию правила
      1. По ссылке Проверка трафика раскройте список настройки фильтрации.
      2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Отключено.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

См. также

Просмотр таблицы правил YARA

Импорт правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Cброс фильтра правил YARA

Включение и отключение использования правил YARA

Удаление правил YARA

В начало
[Topic 225009]

Cброс фильтра правил YARA

Чтобы сбросить фильтрацию правил YARA по одному или нескольким условиям:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. Нажмите на кнопку Apt_icon_alerts_delete_filter справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

    Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу для каждого из условий.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

См. также

Работа с пользовательскими правилами YARA

Просмотр таблицы правил YARA

Импорт правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Фильтрация и поиск правил YARA

Включение и отключение использования правил YARA

Удаление правил YARA

В начало
[Topic 225010]

Включение и отключение использования правил YARA

Пользователи с ролью Старший сотрудник службы безопасности могут включить или отключить использование одного или нескольких правил, а также всех правил сразу.

При работе в режиме распределенного решения и мультитенантности вы можете включить или отключить использование правил YARA, которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно включение и отключение использования только правил, созданных на сервере PCN. В веб-интерфейсе SCN доступно включение и отключение использования только правил, созданных на сервере SCN.

Если на серверах PCN и SCN включено использование правил YARA с одинаковыми именами, при проверке файлов и объектов, поступающих на SCN, применяется правило, созданное на PCN.

Чтобы включить или отключить использование правила YARA при потоковой проверке файлов и объектов, поступающих на Central Node:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. В строке с нужным правилом в столбце Проверка трафика включите или отключите переключатель.

Использование правила при потоковой проверке файлов и объектов, поступающих на Central Node, будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил YARA при потоковой проверке файлов и объектов, поступающих на Central Node:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
  2. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

    Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

    В нижней части окна отобразится панель управления.

  3. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование всех правил.

Использование выбранных правил при потоковой проверке файлов и объектов, поступающих на Central Node, будет включено или отключено.

См. также

Просмотр таблицы правил YARA

Импорт правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Фильтрация и поиск правил YARA

Cброс фильтра правил YARA

Удаление правил YARA

В начало
[Topic 224963]

Удаление правил YARA

Чтобы удалить правило YARA:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. Выберите правило, которое вы хотите удалить.

    Откроется окно с информацией об этом правиле.

  3. Нажмите на кнопку Удалить.
  4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько правил YARA:

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.

    Откроется таблица правил YARA.

  2. Установите флажки слева от правил, которые вы хотите удалить.

    Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

    В нижней части окна отобразится панель управления.

  3. Нажмите на кнопку Удалить.
  4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Выбранные правила будут удалены.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления правила YARA недоступна.

См. также

Работа с пользовательскими правилами YARA

Просмотр таблицы правил YARA

Импорт правил YARA

Настройка отображения таблицы правил YARA

Просмотр информации о правиле YARA

Фильтрация и поиск правил YARA

Cброс фильтра правил YARA

Включение и отключение использования правил YARA

В начало
[Topic 195570]