Работа с пользовательскими правилами TAA (IOA)

Пользовательские правила TAA (IOA) создаются на основе условий поиска по базе событий. Например, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform сформировала обнаружения по событиям запуска программы, которую вы считаете небезопасной, на компьютерах с программой Kaspersky Endpoint Agent, вы можете выполнить следующие действия:

1. Сформировать поисковый запрос по базе событий.
2. Создать правило TAA (IOA) на основе условий поиска событий.

   При поступлении на сервер Central Node событий, соответствующих созданному правилу TAA (IOA), программа Kaspersky Anti Targeted Attack Platform сформирует обнаружения.

Вы также можете создать правило TAA (IOA) на основе одного или нескольких условий поиска событий из выбранного IOC-файла. Для этого вам требуется выполнить следующие действия:

1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносной программы.
2. Найти события, соответствующие условиям выбранного IOC-файла.
3. Создать на основе одного или нескольких условий поиска событий из выбранного IOC-файла правило TAA (IOA).

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
• Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и выключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

Просмотр таблицы правил TAA (IOA)

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса программы.

В таблице содержится следующая информация:

1.  – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).

   Степень важности может иметь одно из следующих значений:

   •  – Низкая.
   •  – Средняя.
   •  – Высокая.
2. Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно создано:
   • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
   • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
3. Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
   • Высокая.
   • Средняя.
   • Низкая.

   Чем выше надежность, тем меньше вероятность ложных срабатываний

4. Имя – название правила.
5. Серверы – имя сервера с компонентом Central Node, на котором применяется правило.
6. Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
   • Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
   • Отключено – не отображается в таблице обнаружений.
7. Состояние – состояние использования правила при проверке событий:
   • Включено – правило используется.
   • Отключено – правило не используется.

Создание правила TAA (IOA) на основе условий поиска событий

Чтобы создать правило TAA (IOA) на основе условий поиска событий:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
3. Нажмите на кнопку Сохранить как правило TAA (IOA).

   Откроется окно Новое правило TAA (IOA).

4. В поле Имя введите имя правила.
5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Пользовательские правила, в подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

• IOAId.
• IOATag.
• IOATechnique.
• IOATactics.
• IOAImportance.
• IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в программе может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила TAA (IOA) на основе условий поиска событий недоступна.

Импорт правила TAA (IOA)

Вы можете импортировать файл формата IOC и использовать его для проверки событий и создания обнаружений Targeted Attack Analyzer.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила TAA (IOA) могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

Чтобы импортировать правило TAA (IOA):

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

   Откроется окно Новое правило TAA (IOA).

4. Переместите переключатель Состояние в положение Включено, если вы хотите включить использование правила при проверке базы событий.
5. На закладке Сведения в поле Имя введите имя правила.
6. В поле Описание введите любую дополнительную информацию о правиле.
7. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
   • Низкая.
   • Средняя.
   • Высокая.
8. В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
   • Низкая.
   • Средняя.
   • Высокая.
9. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
10. На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
11. Нажмите на кнопку Сохранить.

Пользовательское правило TAA (IOA) будет импортировано в программу.

Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.

Просмотр информации о правиле TAA (IOA)

Чтобы просмотреть информацию о правиле TAA (IOA):

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

• Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
• События – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила.
• Запрос – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила. В условиях поиска событий указаны данные из правила TAA (IOA), с которым вы работаете. Например, EventType=Запущен процесс AND FileName CONTAINS <имя правила, с которым вы работаете>. Вы можете отредактировать запрос на поиск событий.
• IOA ID – по ссылке открывается идентификатор, присваиваемый программой каждому правилу.

  Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.

• Состояние – использование правила при проверке базы событий.

На закладке Сведения отображается следующая информация:

• Имя – имя правила, которое вы указали при добавлении правила.
• Описание – любая дополнительная информация о правиле, которую вы указали.
• Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
• Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
• Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке Запрос в верхней части окна вы можете перейти в раздел Поиск угроз и выполнить запрос на поиск событий.

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Чтобы найти и просмотреть обнаружения и события, при создании которых сработало пользовательское правило TAA (IOA):

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, результат срабатывания которого вы хотите просмотреть.

   Откроется окно с информацией о правиле.

3. Выполните одно из следующих действий:
   • Если вы хотите просмотреть обнаружения, при создании которых сработало правило TAA (IOA), по ссылке Обнаружения перейдите в базу обнаружений.

     Откроется новая вкладка браузера с таблицей найденных обнаружений.

   • Если вы хотите просмотреть события, при создании которых сработало правило TAA (IOA), по ссылке События перейдите в базу событий.

     Откроется новая вкладка браузера с таблицей найденных событий.

Чтобы найти и просмотреть обнаружения и события, при создании которых сработало правило TAA (IOA) "Лаборатории Касперского", выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
3. В раскрывающемся списке слева выберите Содержит.
4. В раскрывающемся списке справа выберите технологию (TAA) Targeted Attack Analyzer.
5. Нажмите на кнопку Применить.

   В таблице отобразятся обнаружения, выполненные технологией TAA на основе правил TAA (IOA).

6. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила.

   Откроется окно с информацией об обнаружении.

7. В блоке Результаты проверки по ссылке с названием правила откройте окно с информацией о правиле.
8. Выполните одно из следующих действий:
   • Если вы хотите просмотреть обнаружения, при создании которых сработало правило TAA (IOA), по ссылке Обнаружения перейдите в базу обнаружений.

     Откроется новая вкладка браузера с таблицей найденных обнаружений.

   • Если вы хотите просмотреть события, при создании которых сработало правило TAA (IOA), по ссылке События перейдите в базу событий.

     Откроется новая вкладка браузера с таблицей найденных событий.

Фильтрация и поиск правил TAA (IOA)

Чтобы отфильтровать или найти правила TAA (IOA) по требуемым критериям:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выполните следующие действия в зависимости от критерия фильтрации:
   • По степени важности
     1. По значку откройте окно настройки фильтрации IOА-правил.
     2. Установите флажки напротив тех степеней важности, которые вы хотите включить в критерии фильтрации:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По типу правила
     1. По ссылке Тип откройте окно настройки фильтрации.
     2. Выберите один из следующих элементов:
        • Все – все правила.
        • Глобальный – правила, созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
        • Локальный – правила, созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
   • По уровню надежности
     1. По ссылке Надежность откройте окно настройки фильтрации.
     2. Установите флажки напротив тех уровней надежности, которые вы хотите включить в критерии фильтрации:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По имени правила
     1. По ссылке Тег IOA откройте окно настройки фильтрации.
     2. Введите один или несколько символов названия IOА-правила.
     3. Нажмите на кнопку Применить.
   • По имени сервера По ссылке Серверы откройте окно настройки фильтрации.
   • По созданию обнаружений на основе правила
     1. По ссылке Обнаружения раскройте список настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Отключено.
   • По состоянию правила
     1. По ссылке Состояние раскройте список настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Отключено.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

Cброс фильтра правил TAA (IOA)

Чтобы сбросить фильтр правил TAA (IOA) по одному или нескольким условиям фильтрации, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Нажмите на кнопку справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

Включение и отключение использования правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут включить или отключить использование одного или нескольких правил, а также всех правил сразу.

Чтобы включить или отключить использование правила TAA (IOA) при проверке событий:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. В строке с нужным правилом в столбце Состояние включите или выключите переключатель.

Использование правила при проверке событий будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил TAA (IOA) при проверке событий:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование всех правил.

Использование выбранных правил при проверке событий будет включено или отключено.

В режиме распределенного решения и мультитенантности на сервере PCN доступно управление только глобальными правилами TAA (IOA). Управление локальными правилами TAA (IOA) доступно на серверах SCN тех тенантов, к которым у вас есть доступ.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности включение и отключение правил TAA (IOA) недоступно.

Изменение правила TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут изменять пользовательские правила TAA (IOA). Изменение правил "Лаборатории Касперского" недоступно.

При работе в режиме распределенного решения и мультитенантности вы можете изменять только те правила TAA (IOA), которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно изменение только правил, созданных на PCN. В веб-интерфейсе SCN доступно изменение только правил, созданных на SCN.

Чтобы изменить правило TAA (IOA):

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, которое вы хотите изменить.

   Откроется окно с информацией об этом правиле.

3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Параметры правила будут изменены.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения правила TAA (IOA) на основе условий поиска событий недоступна.

Удаление правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут удалить одно или несколько пользовательских правил TAA (IOA), а также все правила сразу.

При работе в режиме распределенного решения и мультитенантности вы можете удалять только те правила TAA (IOA), которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно удаление только правил, созданных на PCN. В веб-интерфейсе SCN доступно удаление только правил, созданных на SCN.

Чтобы удалить пользовательское правило TAA (IOA):

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, которое вы хотите удалить.

   Откроется окно с информацией об этом правиле.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько пользовательских правил TAA (IOA):

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Установите флажки слева от правил, которые вы хотите удалить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Выбранные правила будут удалены.

Вы не можете удалять правила TAA (IOA) "Лаборатории Касперского". Если вы не хотите использовать при проверке правило TAA (IOA) "Лаборатории Касперского", вам требуется добавить его в исключения.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения правила TAA (IOA) на основе условий поиска событий недоступна.