Работа с пользовательскими правилами

Вы можете настроить дополнительную защиту IT-инфраструктуры организации с помощью пользовательских правил TAA, IDS, IOC и YARA.

Пользователи с ролью Старший сотрудник службы безопасности могут работать с пользовательскими правилами TAA, IDS, IOC и YARA: загружать и удалять файлы правил, просматривать списки правил, редактировать выбранные правила.

Пользователи с ролью Аудитор могут просматривать списки пользовательских правил TAA, IDS, IOC и YARA и свойства выбранных правил без возможности редактирования.

Пользователи с ролью Сотрудник службы безопасности могут просматривать списки пользовательских правил TAA, IOC и YARA и свойства выбранных правил без возможности редактирования.

Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз

Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).

Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации

Индикатор IOA – это правило (далее также "правило TAA (IOA)"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и отмечает события, которые совпадают с поведением, описанным в правилах TAA (IOA). При проверке используется технология потоковой проверки, при которой события, получаемые с защищаемых устройств, проверяются непрерывно в режиме реального времени.

Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", используются в работе технологии TAA (Targeted Attack Analyzer) и обновляются вместе с базами приложения. Они не отображаются в интерфейсе приложения и не могут быть отредактированы.

Вы можете добавлять пользовательские правила IOC и TAA (IOA), используя IOC-файлы открытого стандарта описания OpenIOC, а также создавать правила TAA (IOA) на основе условий поиска по базе событий.

Сравнительные характеристики индикаторов компрометации (IOC) и атаки (IOA) приведены в таблице ниже.

Сравнительные характеристики индикаторов IOC и IOA

Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Работа с пользовательскими правилами TAA (IOA)

Пользовательские правила TAA (IOA) создаются на основе условий поиска по базе событий. Например, если вы хотите, чтобы Kaspersky Anti Targeted Attack Platform формировало обнаружения по событиям запуска приложения, которое вы считаете небезопасным, на компьютерах с компонентом Endpoint Agent, вы можете выполнить следующие действия:

1. Сформировать поисковый запрос по базе событий вручную или загрузить IOC-файл с индикаторами компрометации для обнаружения этого приложения.

   При создании IOC-файла ознакомьтесь со списком IOC-терминов, которые можно использовать для поиска событий в разделе Поиск угроз. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файл по ссылке ниже.

   IOC-термины для поиска событий в разделе Поиск угроз

2. Создать правило TAA (IOA) на основе условий поиска событий.

   При поступлении на сервер Central Node событий, соответствующих созданному правилу TAA (IOA), Kaspersky Anti Targeted Attack Platform сформирует обнаружения.

Вы также можете создать правило TAA (IOA) на основе условий из уже загруженного IOC-файла. Для этого вам требуется выполнить следующие действия:

1. Найти события, соответствующие условиям выбранного файла.
2. Создать на основе одного или нескольких условий поиска событий из выбранного IOC-файла правило TAA (IOA).

В режиме распределенного решения и мультитенантности правила TAA (IOA) могут быть одного из следующих типов:

• Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
• Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и выключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

Просмотр таблицы правил TAA (IOA)

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса приложения.

В таблице содержится следующая информация:

1.  – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).

   Степень важности может иметь одно из следующих значений:

   •  – Низкая.
   •  – Средняя.
   •  – Высокая.
2. Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно создано:
   • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
   • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
3. Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
   • Высокая.
   • Средняя.
   • Низкая.

   Чем выше надежность, тем меньше вероятность ложных срабатываний

4. Имя – название правила.
5. Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

   Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

6. Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
   • Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
   • Выключено – не отображается в таблице обнаружений.
7. Состояние – состояние использования правила при проверке событий:
   • Включено – правило используется.
   • Выключено – правило не используется.

Создание правила TAA (IOA) на основе условий поиска событий

Чтобы создать правило TAA (IOA) на основе условий поиска событий:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
3. Нажмите на кнопку Сохранить как правило TAA (IOA).

   Откроется окно Новое правило TAA (IOA).

4. В поле Имя введите имя правила.
5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Пользовательские правила, в подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

• IOAId.
• IOATag.
• IOATechnique.
• IOATactics.
• IOAImportance.
• IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в приложении может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила TAA (IOA) на основе условий поиска событий недоступна.

Импорт правила TAA (IOA)

Вы можете импортировать файл формата IOC и использовать его для проверки событий и создания обнаружений Targeted Attack Analyzer.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила TAA (IOA) могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

Чтобы импортировать правило TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

   Откроется окно Новое правило TAA (IOA).

4. Переместите переключатель Состояние в положение Включено, если вы хотите включить использование правила при проверке базы событий.
5. На закладке Сведения в поле Имя введите имя правила.
6. В поле Описание введите любую дополнительную информацию о правиле.
7. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
   • Низкая.
   • Средняя.
   • Высокая.
8. В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
   • Низкая.
   • Средняя.
   • Высокая.
9. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
10. На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
11. Нажмите на кнопку Сохранить.

Пользовательское правило TAA (IOA) будет импортировано в приложение.

Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.

Просмотр информации о правиле TAA (IOA)

Чтобы просмотреть информацию о правиле TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

• Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
• События – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила.
• Запрос – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила. В условиях поиска событий указаны данные из правила TAA (IOA), с которым вы работаете. Например, EventType=Запущен процесс AND FileName CONTAINS <имя правила, с которым вы работаете>. Вы можете отредактировать запрос на поиск событий.
• IOA ID – по ссылке открывается идентификатор, присваиваемый приложением каждому правилу.

  Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.

• Состояние – использование правила при проверке базы событий.

На закладке Сведения отображается следующая информация:

• Имя – имя правила, которое вы указали при добавлении правила.
• Описание – любая дополнительная информация о правиле, которую вы указали.
• Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
• Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
• Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке Запрос в верхней части окна вы можете перейти в раздел Поиск угроз и выполнить запрос на поиск событий.

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Чтобы найти и просмотреть обнаружения и события, при создании которых сработало пользовательское правило TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, результат срабатывания которого вы хотите просмотреть.

   Откроется окно с информацией о правиле.

3. Выполните одно из следующих действий:
   • Если вы хотите просмотреть обнаружения, при создании которых сработало правило TAA (IOA), по ссылке Обнаружения перейдите в базу обнаружений.

     Откроется новая вкладка браузера с таблицей найденных обнаружений.

   • Если вы хотите просмотреть события, при создании которых сработало правило TAA (IOA), по ссылке События перейдите в базу событий.

     Откроется новая вкладка браузера с таблицей найденных событий.

Чтобы найти и просмотреть обнаружения и события, при создании которых сработало правило TAA (IOA) "Лаборатории Касперского", выполните следующие действия:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
3. В раскрывающемся списке слева выберите Содержит.
4. В раскрывающемся списке справа выберите технологию (TAA) Targeted Attack Analyzer.
5. Нажмите на кнопку Применить.

   В таблице отобразятся обнаружения, выполненные технологией TAA на основе правил TAA (IOA).

6. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила.

   Откроется окно с информацией об обнаружении.

7. В блоке Результаты проверки по ссылке с названием правила откройте окно с информацией о правиле.
8. Выполните одно из следующих действий:
   • Если вы хотите просмотреть обнаружения, при создании которых сработало правило TAA (IOA), по ссылке Обнаружения перейдите в базу обнаружений.

     Откроется новая вкладка браузера с таблицей найденных обнаружений.

   • Если вы хотите просмотреть события, при создании которых сработало правило TAA (IOA), по ссылке События перейдите в базу событий.

     Откроется новая вкладка браузера с таблицей найденных событий.

Фильтрация и поиск правил TAA (IOA)

Чтобы отфильтровать или найти правила TAA (IOA) по требуемым критериям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выполните следующие действия в зависимости от критерия фильтрации:
   • По степени важности
     1. По значку откройте окно настройки фильтрации IOА-правил.
     2. Установите флажки напротив тех степеней важности, которые вы хотите включить в критерии фильтрации:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По типу правила
     1. По ссылке Тип откройте окно настройки фильтрации.
     2. Выберите один из следующих элементов:
        • Все – все правила.
        • Глобальный – правила, созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
        • Локальный – правила, созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
   • По уровню надежности
     1. По ссылке Надежность откройте окно настройки фильтрации.
     2. Установите флажки напротив тех уровней надежности, которые вы хотите включить в критерии фильтрации:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По имени правила
     1. По ссылке Тег IOA откройте окно настройки фильтрации.
     2. Введите один или несколько символов названия IOА-правила.
     3. Нажмите на кнопку Применить.
   • По имени сервера
     1. По ссылке Серверы откройте окно настройки фильтрации.
     2. Установите флажки напротив тех тенантов или серверов внутри тенантов, которые вы хотите включить в критерии фильтрации.
     3. Нажмите на кнопку Применить.
   • По созданию обнаружений на основе правила
     1. По ссылке Обнаружения раскройте список настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Выключено.
   • По состоянию правила
     1. По ссылке Состояние раскройте список настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Выключено.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра правил TAA (IOA)

Чтобы сбросить фильтр правил TAA (IOA) по одному или нескольким условиям фильтрации, выполните следующие действия:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Нажмите на кнопку справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

Включение и отключение использования правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут включить или отключить использование одного или нескольких правил, а также всех правил сразу.

Чтобы включить или отключить использование правила TAA (IOA) при проверке событий:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. В строке с нужным правилом в столбце Состояние включите или выключите переключатель.

Использование правила при проверке событий будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил TAA (IOA) при проверке событий:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование всех правил.

Использование выбранных правил при проверке событий будет включено или отключено.

В режиме распределенного решения и мультитенантности на сервере PCN доступно управление только глобальными правилами TAA (IOA). Управление локальными правилами TAA (IOA) доступно на серверах SCN тех тенантов, к которым у вас есть доступ.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности включение и отключение правил TAA (IOA) недоступно.

Изменение правила TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут изменять пользовательские правила TAA (IOA). Изменение правил "Лаборатории Касперского" недоступно.

При работе в режиме распределенного решения и мультитенантности вы можете изменять только те правила TAA (IOA), которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно изменение только правил, созданных на PCN. В веб-интерфейсе SCN доступно изменение только правил, созданных на SCN.

Чтобы изменить правило TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, которое вы хотите изменить.

   Откроется окно с информацией об этом правиле.

3. Внесите необходимые изменения.
4. Нажмите на кнопку Сохранить.

Параметры правила будут изменены.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения правила TAA (IOA) на основе условий поиска событий недоступна.

Удаление правил TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут удалить одно или несколько пользовательских правил TAA (IOA), а также все правила сразу.

При работе в режиме распределенного решения и мультитенантности вы можете удалять только те правила TAA (IOA), которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно удаление только правил, созданных на PCN. В веб-интерфейсе SCN доступно удаление только правил, созданных на SCN.

Чтобы удалить пользовательское правило TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Выберите правило, которое вы хотите удалить.

   Откроется окно с информацией об этом правиле.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько пользовательских правил TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Установите флажки слева от правил, которые вы хотите удалить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Выбранные правила будут удалены.

Вы не можете удалять правила TAA (IOA) "Лаборатории Касперского". Если вы не хотите использовать при проверке правило TAA (IOA) "Лаборатории Касперского", вам требуется добавить его в исключения.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изменения правила TAA (IOA) на основе условий поиска событий недоступна.

Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с компонентом Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносного приложения, вы можете выполнить следующие действия:

1. Создать IOC-файл с индикаторами компрометации для вредоносного приложения и загрузить его в веб-интерфейс Kaspersky Anti Targeted Attack Platform.
2. Найти события, соответствующие условиям выбранного IOC-файла.

   Вы можете просмотреть эти события и, если вы хотите, чтобы приложение Kaspersky Anti Targeted Attack Platform формировало обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.
4. Если в результате проверки компьютеров компонент Endpoint Agent обнаружит индикаторы компрометации, приложение Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

   Вы можете найти эти обнаружения в таблице обнаружений с помощью фильтра по названию технологии.

5. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с компонентом Endpoint Agent.

В режиме распределенного решения и мультитенантности IOC-файлы могут быть следующих типов:

• Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
• Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

IOC-файл представляет собой текстовый файл, сохраненный с расширением .ioc. При создании IOC-файла ознакомьтесь со списком IOC-терминов, поддерживаемых приложением, которое вы используете в роли компонента Endpoint Agent. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файлы по ссылкам ниже.

Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows

Kaspersky Endpoint Security 12 для Linux

Kaspersky Endpoint Security 11.4 для Linux и Kaspersky Endpoint Security для Mac не поддерживают работу с IOC-файлами.

Пример IOC-файла для поиска файла по его хеш-сумме

Один IOC-файл может содержать только одно правило. Правило может быть любой сложности.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.

Просмотр таблицы IOC-файлов

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица IOC-файлов содержит информацию об IOC-файлах, используемых для проверки на компьютерах с компонентом Endpoint Agent, и находится в разделе Пользовательские правила, подразделе IOC окна веб-интерфейса приложения.

В таблице IOC-файлов содержится следующая информация:

1.  – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

   Степень важности может иметь одно из следующих значений:

   •  – низкая важность.
   •  – средняя важность.
   •  – высокая важность.
2. Тип – тип IOC-файла в зависимости от режима работы приложения и сервера, на который загружен IOC-файл:
   • Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с компонентом Endpoint Agent, подключенных к этому серверу SCN.
   • Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с компонентом Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.
3. Имя – имя IOC-файла.
4. Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

   Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

5. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с компонентом Endpoint Agent.

   Проверка хостов с использованием этого IOC-файла может находиться в одном из следующих состояний:

   • Включено.
   • Выключено.

Просмотр информации об IOC-файле

Чтобы просмотреть информацию об IOC-файле:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об IOC-файле.

Окно содержит следующую информацию:

• Найти обнаружения – по ссылке открывается раздел Обнаружения с условием фильтрации, содержащим имя выбранного вами IOC-файла.
• Найти события – по ссылке открывается раздел Поиск угроз с условием поиска, содержащим индикаторы компрометации выбранного вами IOC-файла.
• Скачать – по ссылке открывается окно скачивания IOC-файла.
• Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с компонентом Endpoint Agent.
• Имя – имя IOC-файла.
• Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

  Степень важности может иметь одно из следующих значений:

  •  – низкая важность.
  •  – средняя важность.
  •  – высокая важность.
• Область применения – отображает название тенанта и имена серверов, к которым относятся события, проверяемые по этому IOC-файлу (в режиме распределенного решения и мультитенантности).
• XML – отображает содержимое IOC-файла в формате XML.

Загрузка IOC-файла

IOC-файлы со свойствами UserItem для доменных пользователей не поддерживаются.

Чтобы загрузить IOC-файл:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
4. Укажите следующие параметры:
   1. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с компонентом Endpoint Agent:
      • Включено.
      • Выключено.
   2. Имя – имя IOC-файла.
   3. Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла:
      • Низкая.
      • Средняя.
      • Высокая.
   4. Область применения – название тенанта и имена серверов, которые вы хотите проверять с помощью этого IOC-файла (в режиме распределенного решения и мультитенантности).
5. Нажмите на кнопку Сохранить.

IOC-файл будет загружен в формате XML.

Скачивание IOC-файла на компьютер

Вы можете скачать ранее загруженный IOC-файл на компьютер.

Чтобы скачать IOC-файл на компьютер:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите скачать.

   Откроется окно с информацией об IOC-файле.

3. В зависимости от параметров вашего браузера, по ссылке Скачать сохраните файл в папку по умолчанию или укажите папку для сохранения файла.

IOC-файл будет сохранен на компьютер в папку загрузки браузера.

Включение и отключение автоматического использования IOC-файла при проверке хостов

Вы можете включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с компонентом Endpoint Agent.

Чтобы включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с компонентом Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. В строке с IOC-файлом, использование которого вы хотите включить или отключить, в столбце Состояние переведите переключатель в одно из следующих положений:
   • Включено.
   • Выключено.

Автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с компонентом Endpoint Agent будет включено или отключено.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция включения или отключения автоматического использования IOC-файла недоступна.

Удаление IOC-файла

Чтобы удалить IOC-файл:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите удалить.

   Откроется окно с информацией об IOC-файле.

3. Нажмите на кнопку Удалить.

IOC-файл будет удален.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления IOC-файла недоступна.

Поиск обнаружений по результатам IOC-проверки

Чтобы найти и просмотреть результаты проверки по выбранному IOC-файлу:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, для которого вы хотите просмотреть результаты проверки.

   Откроется окно с информацией об IOC-файле.

3. Перейдите в базу обнаружений по ссылке Найти обнаружения.

   Откроется новая вкладка браузера с таблицей найденных обнаружений.

Вы также можете просмотреть результаты проверки по всем IOC-файлам, отфильтровав обнаружения по названию технологии.

Поиск событий по IOC-файлу

Чтобы просмотреть события, найденные с помощью IOC-файла:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите использовать для поиска событий по базе событий.

   Откроется окно с информацией об IOC-файле.

3. Перейдите в базу событий по ссылке Найти события.

   Откроется новая вкладка браузера с таблицей найденных событий.

Фильтрация и поиск IOC-файлов

Чтобы отфильтровать или найти IOC-файлы по требуемым критериям:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов. Выполните следующие действия в зависимости от критерия фильтрации:
   • По степени важности
     1. По значку откройте окно настройки фильтрации IOC-файлов.
     2. Выберите одну или несколько из следующих степеней важности:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По имени файла
     1. По ссылке Имя откройте окно настройки фильтрации IOC-файлов.
     2. Введите один или несколько символов имени IOC-файла.
     3. Нажмите на кнопку Применить.
   • По состоянию автоматической проверки (включена / выключена)
     1. По ссылке Автоматическая проверка откройте окно настройки фильтрации IOC-файлов.
     2. Выберите один из следующих вариантов:
        • Включено.
        • Выключено.

В таблице IOC-файлов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра IOC-файлов

Чтобы сбросить фильтр IOC-файлов по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов.Нажмите на кнопку справа от того заголовка столбца таблицы IOC-файлов, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице IOC-файлов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Настройка расписания IOC-проверки

Вы можете настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с компонентом Endpoint Agent.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности недоступна функция настройки расписания поиска индикаторов компрометации с помощью IOC-файлов.

Чтобы настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с компонентом Endpoint Agent:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents, блок параметров Расписание IOC-проверки.
2. В раскрывающихся списках Время запуска выберите время начала поиска индикаторов компрометации.
3. В раскрывающемся списке Максимальное время проверки выберите ограничение по времени выполнения поиска индикаторов компрометации.
4. Нажмите на кнопку Применить.

Новое расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с компонентом Endpoint Agent начнет действовать сразу после сохранения изменений. Результаты поиска индикаторов компрометации отобразятся в таблице обнаружений.

Управление поиском индикаторов компрометации с помощью IOC-файлов ограничено возможностями, доступными в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Других способов управления поиском индикаторов компрометации не предусмотрено.

Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Windows, убедитесь, что IOC-файлы соответствуют требованиям. Также вам нужно учитывать, что при добавлении типа данных RegistryItem в область поиска IOC приложение анализирует только некоторые разделы реестра.

Подробнее о требованиях к IOC-файлам и проверяемых разделах реестра см. в справке Kaspersky Endpoint Security для Windows:

• Область поиска IOC в реестре (RegistryItem).
• Требования к IOC-файлам.

Работа с пользовательскими правилами IDS

В режиме распределенного решения и мультитенантности пользовательские правила IDS могут быть одного из следующих типов:

• Созданные на сервере PCN. По этим правилам производится проверка трафика на сервере PCN.
• Созданные на сервере SCN. По этим правилам производится проверка трафика на сервере SCN.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, заменять и удалять пользовательские правила IDS, а также добавлять правила IDS "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Старший сотрудник службы безопасности и Аудитор могут использовать правила IDS для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе обнаружений, а также просматривать информацию о правиле IDS.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Импорт пользовательского правила IDS

Вы можете импортировать файл формата Snort или Suricata и использовать его для проверки событий и создания обнаружений Intrision Detection System.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

Например, загрузка пользовательских правил может привести к следующим ошибкам:

• приложение может создавать слишком много IDS-обнаружений;
• если приложение не будет успевать записывать IDS-обнаружения, некоторые объекты сетевого трафика могут остаться непроверенными;
• регулярные выражения в составе пользовательских правил могут привести к ухудшению производительности или сбоям в работе приложения;
• даже формально корректные пользовательские правила могут привести к ухудшению производительности или сбоям в работе приложения.

При загрузке идентификаторы и атрибуты пользовательских правил могут быть изменены. Действия правил Reject и Drop будут заменены на Alert, правила с действием Pass будут удалены

Чтобы импортировать пользовательское правило IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.

   Откроется окно пользовательского правила IDS.

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

Пользовательское правило IDS будет импортировано в приложение.

Просмотр информации о пользовательском правиле IDS

Чтобы просмотреть информацию о пользовательском правиле IDS,

в окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.

В веб-интерфейсе отображается следующая информация о правиле IDS:

• Состояние – состояние использования правила при проверке событий.
• Размер файла – размер файла правила.
• Последнее обновление – время импорта правила.
• Автор – имя пользователя, под учетной записью которого было импортировано правило.
• Важность – степень важности, которая будет присвоена обнаружению, выполненному по этому правилу IDS.

Включение и отключение использования правила IDS при проверке событий

Чтобы включить или отключить использование правила IDS при проверке событий:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS.
3. Переведите переключатель Состояние в одно из следующих положений:
   • Включено.
   • Выключено.

Использование правила IDS при проверке событий будет включено или отключено.

Для пользователей с ролью Аудитор функция включения и отключения правил IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Чтобы настроить степень важности, которая будет присвоена обнаружению, выполненному по правилу IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу IDS:
   • Низкая.
   • Средняя.
   • Высокая.
3. При необходимости с помощью переключателя Состояние включите использование этого правила IDS.

Важность обнаружений, выполненных по этому правилу IDS, будет настроена.

Для пользователей с ролью Аудитор функция настройки правил IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Замена пользовательского правила IDS

Вы можете заменить ранее импортированный файл формата Snort или Suricata и использовать его для проверки событий и создания обнаружений Intrusion Detection System.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

При загрузке идентификаторы и атрибуты пользовательских правил могут быть изменены. Действия правил Reject и Drop будут заменены на Alert, правила с действием Pass будут удалены

Чтобы заменить пользовательское правило IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS. Под информацией о правиле нажмите на кнопку Заменить.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

Пользовательское правило IDS будет импортировано в приложение и заменит ранее импортированное правило.

Для пользователей с ролью Аудитор функция замены пользовательского правила IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Экспорт файла пользовательского правила IDS на компьютер

Вы можете экспортировать ранее импортированный файл правила IDS.

Чтобы экспортировать файл пользовательского правила IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.

   Откроется окно пользовательского правила IDS.

2. Под информацией о правиле нажмите на кнопку Скачать.

Файл будет сохранен на ваш локальный компьютер в папку загрузки браузера.

Удаление пользовательского правила IDS

При работе в режиме распределенного решения пользователи с ролью Старший сотрудник службы безопасности могут удалять только то пользовательское правило IDS, которое было импортировано на текущий сервер. Это значит, что в веб-интерфейсе PCN доступно удаление только правила, созданного на PCN. В веб-интерфейсе SCN доступно удаление только правила, созданного на SCN.

Чтобы удалить пользовательское правило IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

3. Нажмите на кнопку Да.

Правило будет удалено.

Вы не можете удалять правила IDS "Лаборатории Касперского". Если вы не хотите использовать при проверке правило IDS "Лаборатории Касперского", вам требуется добавить его в исключения.

Для пользователей с ролью Аудитор функция удаления пользовательского правила IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Работа с пользовательскими правилами YARA

Вы можете использовать правила YARA в качестве баз модуля YARA для проверки файлов и объектов, поступающих на Central Node, и для проверки хостов с компонентом Endpoint Agent.

В режиме распределенного решения и мультитенантности пользовательские правила YARA могут быть одного из следующих типов:

• Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.

При работе в веб-интерфейсе приложения пользователи с ролью Старший сотрудник службы безопасности могут импортировать файл правил YARA в Kaspersky Anti Targeted Attack Platform через веб-интерфейс приложения.

Пользователи с ролями Аудитор и Сотрудник службы безопасности могут только просматривать правила YARA.

Просмотр таблицы правил YARA

Таблица пользовательских правил YARA содержит информацию о правилах YARA, используемых для проверки файлов, объектов и создания обнаружений, и отображается в разделе Пользовательские правила, подразделе YARA окна веб-интерфейса приложения.

В таблице содержится следующая информация:

• Создано – время создания правила.
•  – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

  По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

• Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно было создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Имя – название правила.
• Файл – название файла, из которого было импортировано правило.
• Автор – имя пользователя, под учетной записью которого было импортировано правило.
• Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

  Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

• Проверка трафика – состояние использования правила при потоковой проверке файлов и объектов, поступающих на Central Node:
  • Включено – правило используется.
  • Выключено – правило не используется.

Настройка отображения таблицы правил YARA

Вы можете настроить отображение столбцов, а также порядок их следования в таблице.

Чтобы настроить отображение таблицы:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. В заголовочной части таблицы нажмите на кнопку .

   Отобразится окно Настройка таблицы.

3. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

4. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
5. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
6. Нажмите на кнопку Применить.

Отображение таблицы будет настроено.

Импорт правил YARA

Чтобы импортировать правила YARA:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
2. Нажмите на кнопку Загрузить.

   Откроется окно выбора файлов.

3. Выберите файл правил YARA, который вы хотите загрузить, и нажмите на кнопку Открыть.

   Окно выбора файлов закроется, откроется окно Импорт правил YARA.

   Максимальный допустимый размер загружаемого файла – 20 МБ.

   В нижней части окна отображается отчет. В отчете содержится следующая информация:

   • Количество правил, которые могут быть успешно импортированы.
   • Количество правил, которые не будут импортированы (если такие есть).

     Для каждого правила, которое не может быть импортировано, указывается его название.

4. Установите флажок Проверка трафика, если вы хотите использовать импортированные правила при потоковой проверке объектов и данных, поступающих на Central Node.
5. При необходимости в поле Описание введите любую дополнительную информацию.

   Поле Важность недоступно для редактирования. По умолчанию обнаружениям, выполненным по загруженным правилам YARA, будет присвоена высокая степень важности.

6. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правила.

   Поле отображается только когда вы используете режим распределенного решения и мультитенантности.

7. Нажмите на кнопку Сохранить.

Импортированные правила отобразятся в таблице YARA-правил.

Просмотр информации о правиле YARA

Чтобы просмотреть информацию о правиле YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

• Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
• Запустить YARA-проверку – по ссылке открывается окно создания задачи.
• Скачать – по ссылке скачивается файл с правилами YARA.
• Правило – имя правила, указанное в файле.
• Проверка трафика – использование правила при потоковой проверке файлов и объектов, поступающих на Central Node.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер PCN и все серверы SCN, подключенные к этому серверу PCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка файлов и объектов, поступивших на сервер SCN. Проверяемые файлы и объекты относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Важность – степень важности, которая присваивается обнаружению, выполненному по этому правилу.

  По умолчанию обнаружениям, выполненным по загруженным правилам YARA, присваивается высокая степень важности.

• Описание – любая дополнительная информация о правиле, которую вы указали.
• Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

Фильтрация и поиск правил YARA

Чтобы отфильтровать или найти правила YARA по требуемым критериям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выполните следующие действия в зависимости от критерия фильтрации:
   • По времени создания
     1. По ссылке Создано откройте окно настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • За все время, если вы хотите, чтобы приложение отображало в таблице правила, созданные за все время.
        • Прошедший час, если вы хотите, чтобы приложение отображало в таблице правила, созданные за предыдущий час.
        • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице правила, созданные за предыдущий день.
        • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице правила, созданные за указанный вами период.
     3. Если вы выбрали Пользовательский диапазон, выберите даты начала и конца периода и нажмите на кнопку Применить.
   • По имени правила
     1. По ссылке Правило откройте меню фильтрации.
     2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
     3. В поле ввода введите название правила или несколько символов из названия правила.
     4. Нажмите на кнопку Применить.
   • По имени файла
     1. По ссылке Файл откройте меню фильтрации.
     2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
     3. В поле ввода введите название файла или несколько символов из названия файла.
     4. Нажмите на кнопку Применить.
   • По имени пользователя, загрузившего файл с правилами
     1. По ссылке Автор откройте меню фильтрации.
     2. В раскрывающемся списке выберите один из следующих операторов фильтрации:
        • Содержит.
        • Не содержит.
     3. В поле ввода введите имя пользователя или несколько символов из имени пользователя.
     4. Нажмите на кнопку Применить.
   • По состоянию правила
     1. По ссылке Проверка трафика раскройте список настройки фильтрации.
     2. Выберите один из следующих вариантов:
        • Все.
        • Включено.
        • Выключено.

В таблице отобразятся только правила, соответствующие заданным условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра правил YARA

Чтобы сбросить фильтрацию правил YARA по одному или нескольким условиям:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Нажмите на кнопку справа от того заголовка столбца таблицы правил, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу для каждого из условий.

Выбранные фильтры будут сброшены.

В таблице отобразятся только правила, соответствующие заданным условиям.

Включение и отключение использования правил YARA

Пользователи с ролью Старший сотрудник службы безопасности могут включить или отключить использование одного или нескольких правил, а также всех правил сразу.

При работе в режиме распределенного решения и мультитенантности вы можете включить или отключить использование правил YARA, которые были созданы на текущем сервере. Это значит, что в веб-интерфейсе PCN доступно включение и отключение использования только правил, созданных на сервере PCN. В веб-интерфейсе SCN доступно включение и отключение использования только правил, созданных на сервере SCN.

Если на серверах PCN и SCN включено использование правил YARA с одинаковыми именами, при проверке файлов и объектов, поступающих на SCN, применяется правило, созданное на PCN.

Чтобы включить или отключить использование правила YARA при потоковой проверке файлов и объектов, поступающих на Central Node:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. В строке с нужным правилом в столбце Проверка трафика включите или отключите переключатель.

Использование правила при потоковой проверке файлов и объектов, поступающих на Central Node, будет включено или отключено.

Чтобы включить или отключить использование всех или нескольких правил YARA при потоковой проверке файлов и объектов, поступающих на Central Node:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел YARA.
2. Установите флажки слева от правил, использование которых вы хотите включить или отключить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Включить или Отключить, чтобы включить или отключить использование всех правил.

Использование выбранных правил при потоковой проверке файлов и объектов, поступающих на Central Node, будет включено или отключено.

Удаление правил YARA

Чтобы удалить правило YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Выберите правило, которое вы хотите удалить.

   Откроется окно с информацией об этом правиле.

3. Нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Правило будет удалено.

Чтобы удалить все или несколько правил YARA:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел YARA.

   Откроется таблица правил YARA.

2. Установите флажки слева от правил, которые вы хотите удалить.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

   В нижней части окна отобразится панель управления.

3. Нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения действия нажмите на кнопку Да.

Выбранные правила будут удалены.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления правила YARA недоступна.