Все обнаружения делятся на следующие типы:
Обнаружения этого типа регистрируется в результате выполнения задачи Поиск IOC на защищенном устройстве. Если при срабатывании правила IOC определяется, что событие является обнаружением, Kaspersky EDR Expert создает новое обнаружение IOC. Созданные обнаружения IOC представляют текущее состояние устройства на момент запуска задачи Поиск IOC. Вы можете создавать собственные правила IOC.
Обнаружение IOC всегда соответствует одному правилу IOC, сработавшему в ИТ-инфраструктуре. Если в результате выполнения задачи Поиск IOC срабатывает несколько правил IOC, Kaspersky EDR Expert создает отдельное обнаружение IOC для каждого сработавшего правила IOC.
Обнаружение IOC всегда соответствует одному устройству. Если одно и то же правило IOC сработало на нескольких устройствах, Kaspersky EDR Expert создает отдельное обнаружение IOC для каждого устройства.
Обнаружения данного типа регистрируются в результате анализа потока данных телеметрии с защищаемых устройств. Если при срабатывании правила IOA определяется, что событие является обнаружением, Kaspersky EDR Expert создает новое обнаружение IOA. Поскольку выполняется постоянный анализ потока данных телеметрии, созданные обнаружения IOA представляют текущую активность на защищенных устройствах. Правила IOA задаются специалистами "Лаборатории Касперского". Кроме того, вы можете создавать собственные правила IOA.
Обнаружение IOA всегда соответствует одному устройству. Если одно и то же правило IOA сработало на нескольких устройствах, Kaspersky EDR Expert создает отдельное обнаружение IOA для каждого устройства.
Kaspersky EDR Expert анализирует события с интервалом в 15 минут. Если в течение 15-минутного интервала срабатывает хотя бы одно правило IOA, Kaspersky EDR Expert создает обнаружение IOA. Если в течение 15-минутного интервала на одном устройстве срабатывает несколько правил IOA (как стандартных, так и пользовательских), созданное обнаружение IOA объединяет все события обнаружений и сработавшие правила.
Kaspersky EDR Expert не создает обнаружение IOA, если идентичное обнаружение уже было зарегистрировано на том же устройстве в течение последних 24 часов. Два обнаружения IOA считаются идентичными, если для них совпадают следующие свойства: