Работа с TAA-исключениями

Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", содержат признаки подозрительного поведения объекта в IT-инфраструктуре организации. Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и создает обнаружения для событий, которые совпадают с поведением, описанным в правилах TAA (IOA). Если вы хотите, чтобы приложение не создавало обнаружения для событий, сформированных в результате нормальной для вашей организации активности хоста, вы можете добавить правило TAA (IOA) в исключения.

В приложении предусмотрены следующие режимы работы правил TAA (IOA), добавленных в исключения:

• Правило исключается всегда.

  В этом случае Kaspersky Anti Targeted Attack Platform не отмечает события как соответствующие правилу TAA (IOA) и не создает обнаружения по этому правилу.

• Правило дополняется условием.

  В этом случае правило TAA (IOA) дополняется условиями в виде поискового запроса. Kaspersky Anti Targeted Attack Platform не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, приложение отмечает события и создает обнаружения.

Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Локальный – созданные на сервере SCN. Действие исключений распространяется только на хосты, подключенные к этому серверу SCN. Исключения относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
• Глобальный – созданные на сервере PCN. Действие исключений распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Исключения относятся к тенанту, в рамках которой пользователь работает в веб-интерфейсе приложения.

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять исключения в рамках тех тенантов, к данным которых у них есть доступ.

Пользователи с ролью Аудитор и Сотрудник службы безопасности могут только просматривать список исключений TAA и свойства выбранного исключения.

Для каждого правила TAA (IOA) можно создать только одно локальное или глобальное исключение.

Если для одного правила TAA (IOA) созданы исключения на сервере SCN и PCN, Kaspersky Anti Targeted Attack Platform обрабатывает события в соответствии с параметрами, заданными для исключения на сервере PCN.

Просмотр таблицы правил TAA (IOA), добавленных в исключения

Чтобы просмотреть таблицу правил TAA (IOA), добавленных в исключения:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
2. Перейдите закладку TAA (IOA).

Отобразится таблица правил TAA (IOA), добавленных в исключения. Вы можете фильтровать правила по ссылкам в названии столбцов.

В таблице содержится следующая информация:

•  – степень важности, присвоенная обнаружению, выполненному по этому правилу TAA (IOA).

  Степень важности может иметь одно из следующих значений:

  •  – Низкая.
  •  – Средняя.
  •  – Высокая.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Локальный – созданные на сервере SCN. Действие исключений распространяется только на хосты, подключенные к этому серверу SCN. Исключения относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
  • Глобальный – созданные на сервере PCN. Действие исключений распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Исключения относятся к тенанту, в рамках которой пользователь работает в веб-интерфейсе приложения.
• Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
  • Высокая.
  • Средняя.
  • Низкая.

  Чем выше уровень надежности, тем меньше вероятность ложных срабатываний.

• Исключать правило – режим работы правила, добавленного в исключения.
  • Всегда – правило исключается всегда. В этом случае Kaspersky Anti Targeted Attack Platform не отмечает события как соответствующие правилу TAA (IOA) и не создает обнаружения по этому правилу.
  • При условии – правило исключается при добавлении условия. В этом случае правило TAA (IOA) дополняется условиями в виде поискового запроса. Kaspersky Anti Targeted Attack Platform не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, программа отмечает события и создает обнаружения.
• Имя – имя правила.

Добавление правила TAA (IOA) в исключения

Вы можете добавить в исключения только правила TAA (IOA) "Лаборатории Касперского". Если вы не хотите применять при проверке событий пользовательское правило TAA (IOA), вы можете отключить это правило или удалить его.

Чтобы добавить правило TAA (IOA) в исключения из раздела Обнаружения:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
3. В раскрывающемся списке слева выберите Содержит.
4. В раскрывающемся списке справа выберите технологию (TAA) Targeted Attack Analyzer.
5. Нажмите на кнопку Применить.

   В таблице отобразятся обнаружения, выполненные технологией TAA на основе правил TAA (IOA).

6. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила.

   Откроется окно с информацией об обнаружении.

7. В блоке Результаты проверки по ссылке с названием правила откройте окно с информацией о правиле.
8. Справа от названия параметра Исключение TAA (IOA) нажмите на кнопку Добавить в исключения.

   Откроется окно добавления правила TAA (IOA) в исключения.

9. В поле Исключать правило выберите режим работы исключения:
   • Всегда, если вы хотите, чтобы приложение не создавало обнаружения для событий, соответствующих выбранному правилу TAA (IOA).
   • При условии, если вы хотите, чтобы приложение не создавало обнаружения только для событий, подходящих под заданные условия. Для событий, которые соответствуют правилу TAA (IOA) при заданных условиях исключения, приложение создаст обнаружения.

     Если вы выбрали При условии, выполните следующие действия:

     1. По ссылке Настройка дополнительных условий откройте форму поиска событий.
     2. Если вы используете режим распределенного решения и мультитенантности и хотите включить отображение событий по всем тенантам, включите переключатель Искать по всем тенантам.
     3. Выполните поиск событий в режиме конструктора.

        Отобразится таблица событий, соответствующих правилу TAA (IOA) при заданных условиях исключения.

        Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

     4. Нажмите на имя того сервера, события которого вы хотите просмотреть.

        Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

        При необходимости вы можете изменить условия поиска событий.

     5. Нажмите на кнопку Добавить исключение.
10. Если вы используете режим распределенного решения и мультитенантности, в поле Применить к серверам* установите флажки напротив тенантов и серверов, к которым будет применяться правило.
11. Нажмите на кнопку Добавить.

Правило TAA (IOA) будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке TAA (IOA). Это правило не будет применяться при создании обнаружений.

Чтобы добавить правило TAA (IOA) в исключения из раздела Поиск угроз:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз.

   Откроется форма поиска событий.

2. Задайте условия поиска и нажмите на кнопку Найти. Например, вы можете выбрать критерии для поиска событий в группе Свойства TAA в режиме конструктора.

   Отобразится таблица событий, удовлетворяющих условиям поиска.

3. Выберите событие.
4. Справа от названия параметра Теги IOA нажмите на имя правила.

   Откроется окно с информацией о правиле.

5. Справа от названия параметра Исключение TAA (IOA) нажмите на кнопку Добавить в исключения.

   Откроется окно добавления правила TAA (IOA) в исключения.

6. В поле Исключать правило выберите режим работы исключения:
   • Всегда, если вы хотите, чтобы приложение не создавало обнаружения для событий, соответствующих выбранному правилу TAA (IOA).
   • При условии, если вы хотите, чтобы приложение не создавало обнаружения только для событий, подходящих под заданные условия. Для событий, которые соответствуют правилу TAA (IOA) при заданных условиях исключения, приложение создаст обнаружения.

     Если вы выбрали При условии, выполните следующие действия:

     1. По ссылке Настройка дополнительных условий откройте форму поиска событий.
     2. Если вы используете режим распределенного решения и мультитенантности и хотите включить отображение событий по всем тенантам, включите переключатель Искать по всем тенантам.
     3. Выполните поиск событий в режиме конструктора.

        Отобразится таблица событий, соответствующих правилу TAA (IOA) при заданных условиях исключения.

        Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

     4. Нажмите на имя того сервера, события которого вы хотите просмотреть.

        Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

        При необходимости вы можете изменить условия поиска событий.

     5. Нажмите на кнопку Добавить исключение.
7. Нажмите на кнопку Добавить.

Правило TAA (IOA) будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке TAA (IOA). Это правило не будет применяться при проверке событий.

При создании поискового запроса, сохраняемого как условия исключения, не рекомендуется использовать следующие поля:

• IOAId.
• IOATag.
• IOATechnique.
• IOATactics.
• IOAImportance.
• IOAConfidence.

Перечисленные поля отображаются только после того, как Kaspersky Anti Targeted Attack Platform отмечает события как подходящие под правила TAA (IOA).

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция добавления правила TAA (IOA) в исключения недоступна.

Просмотр правила TAA (IOA), добавленного в исключения

Чтобы просмотреть правило TAA (IOA), добавленное в исключения:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения и перейдите на закладку TAA (IOA).

   Отобразится таблица правил TAA (IOA), добавленных в исключения.

2. Выберите правило, которое вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

• Правило TAA (IOA) – по ссылке открывается окно с описанием техники MITRE, соответствующей этому правилу, рекомендациями по реагированию на событие и данными о вероятности ложных срабатываний.
• ID – идентификатор, присваиваемый приложением каждому правилу.
• Имя – имя правила, которое вы указали при добавлении правила.
• Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, по оценке специалистов "Лаборатории Касперского".
• Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, по оценке специалистов "Лаборатории Касперского".
• Исключать правило – режим работы правила, добавленного в исключения.
  • Всегда – правило исключается всегда. В этом случае Kaspersky Anti Targeted Attack Platform не отмечает события как соответствующие правилу TAA (IOA) и не создает обнаружения по этому правилу.
  • При условии – правило исключается при добавлении условия. В этом случае правило TAA (IOA) дополняется условиями в виде поискового запроса. Kaspersky Anti Targeted Attack Platform не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, программа отмечает события и создает обнаружения.
• Настройка дополнительных условий – по ссылке открывается форма поиска событий с условиями поискового запроса.

  Поле отображается, если при добавлении правила TAA (IOA) в исключения вы выбрали режим работы правила При условии и задали условия поискового запроса.

• Условия поискового запроса в формате <IOA ID> AND NOT <условия поискового запроса>.

  Условия поискового запроса отображаются, если при добавлении правила TAA (IOA) в исключения вы выбрали режим работы правила При условии и задали условия поискового запроса.

• Применить к серверам* – хосты, к которым применяется исключение.

  Поле отображается в режиме распределенного решения и мультитенантности.

Удаление правил TAA (IOA) из исключений

Вы можете удалить из исключений одно или несколько правил TAA (IOA), а также все правила сразу.

Чтобы удалить правило TAA (IOA) из исключений, выполните следующие действия:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения и перейдите на закладку TAA (IOA).

   Отобразится таблица правил TAA (IOA), добавленных в исключения.

2. Выберите правило, которое вы хотите удалить из исключений.

   Откроется окно с информацией о правиле.

3. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

4. Нажмите на кнопку Да.

Правило будет удалено из исключений. Правило будет применяться при создании обнаружений и при проверке событий.

Чтобы удалить все или несколько правил TAA (IOA) из исключений, выполните следующие действия:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения и перейдите на закладку TAA (IOA).
2. Отобразится таблица правил TAA (IOA), добавленных в исключения.
3. Установите флажки напротив правил, которые вы хотите удалить из исключений.

   Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

4. В панели управления в нижней части окна нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да.

Выбранные правила будут удалены из исключений. Правила будут применяться при создании обнаружений и при проверке событий.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления из исключений правил TAA (IOA) недоступна.