Kaspersky Anti Targeted Attack (KATA) Platform

Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз

14 мая 2024

ID 247420

Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).

Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

Индикатор IOA – это правило (далее также "правило TAA (IOA)"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и отмечает события, которые совпадают с поведением, описанным в правилах TAA (IOA). При проверке используется технология потоковой проверки, при которой объекты, загружаемые из сети, проверяются непрерывно в режиме реального времени.

Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", используются в работе технологии TAA (Targeted Attack Analyzer) и обновляются вместе с базами приложения. Они не отображаются в интерфейсе приложения и не могут быть отредактированы.

Вы можете добавлять пользовательские правила IOC и TAA (IOA), используя IOC-файлы открытого стандарта описания OpenIOC, а также создавать правила TAA (IOA) на основе условий поиска по базе событий.

Сравнительные характеристики индикаторов компрометации (IOC) и атаки (IOA) приведены в таблице ниже.

Сравнительные характеристики индикаторов IOC и IOA

Сравнительная характеристика

Индикаторы IOC в пользовательских правилах IOC

Индикаторы IOA в пользовательских правилах TAA (IOA)

Индикаторы IOA в правилах TAA (IOA), сформированных специалистами "Лаборатории Касперского"

Область проверки

Компьютеры с компонентом Endpoint Agent

База событий приложения

База событий приложения

Механизм проверки

Периодическая проверка

Потоковая проверка

Потоковая проверка

Возможность добавить в исключения из проверки

Нет.

Не требуется.

Пользователи с ролью Старший сотрудник службы безопасности могут изменить текст индикатора в пользовательских правилах TAA (IOA) согласно требуемым условиям.

Есть.

Если вы используете режим распределенного решения и мультитенантности, в разделе отображаются данные по выбранному вами тенанту.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!