IOA-правила (правила для индикаторов атак) позволяют выявлять подозрительные события в инфраструктуре организации и автоматически создавать обнаружения. Пользовательские правила также можно создавать с помощью запросов в разделе Поиск угроз.
В Kaspersky Endpoint Detection and Response Expert есть два типа правил: пользовательские IOA-правила и правила "Лаборатории Касперского". Пользовательские IOA-правила создают специалисты вашей организации. Правила "Лаборатории Касперского" – это стандартные правила, загруженные автоматически. Если вы хотите исключить событие, вызывающее срабатывание правила "Лаборатории Касперского", из списка подозрительных событий, можно добавить исключение из правил "Лаборатории Касперского".
В следующей таблице показаны различия между пользовательскими IOA-правилами и IOA-правилами "Лаборатории Касперского".
Таблица сравнения пользовательских правил и правил "Лаборатории Касперского"
Функция |
Пользовательские IOA-правила |
IOA-правила "Лаборатории Касперского" |
Наличие рекомендаций по реагированию на событие |
Нет. |
Есть. Вы можете посмотреть рекомендации в деталях обнаружения. |
Соответствие техникам в базе MITRE ATT&CK |
Нет. |
Есть. Вы можете посмотреть описание техники по классификации MITRE в деталях обнаружения. |
Отображение в списке пользовательских правил |
Да. |
Нет. |
Способ отключить проверку базы по этому правилу |
Отключение правила. |
Добавление правила в исключения. |
Возможность удалить или добавить правило |
Можно удалять и добавлять правила. |
Правила обновляются вместе с базами программы, эти правила нельзя удалить. |