Kaspersky Anti Targeted Attack Platform
5.0
Русский

Содержание

Просмотр информации о правиле TAA (IOA)

Чтобы просмотреть информацию о правиле TAA (IOA):

  1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

  • Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
  • События – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила.
  • Запрос – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила. В условиях поиска событий указаны данные из правила TAA (IOA), с которым вы работаете. Например, EventType=Запущен процесс AND FileName CONTAINS <имя правила, с которым вы работаете>. Вы можете отредактировать запрос на поиск событий.
  • IOA ID – по ссылке открывается идентификатор, присваиваемый программой каждому правилу.

    Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.

  • Состояние – использование правила при проверке базы событий.

На закладке Сведения отображается следующая информация:

  • Имя – имя правила, которое вы указали при добавлении правила.
  • Описание – любая дополнительная информация о правиле, которую вы указали.
  • Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
  • Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
  • Тип – тип правила в зависимости от роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке Запрос в верхней части окна вы можете перейти в раздел Поиск угроз и выполнить запрос на поиск событий.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)
В начало
[Topic 195591]