Kaspersky Anti Targeted Attack (KATA) Platform

Работа с пользовательскими правилами TAA (IOA)

14 мая 2024

ID 247428

Пользовательские правила TAA (IOA) создаются на основе условий поиска по базе событий. Например, если вы хотите, чтобы Kaspersky Anti Targeted Attack Platform формировала обнаружения по событиям запуска приложения, которое вы считаете небезопасным, на компьютерах с компонентом Endpoint Agent, вы можете выполнить следующие действия:

  1. Сформировать поисковый запрос по базе событий.
  2. Создать правило TAA (IOA) на основе условий поиска событий.

    При поступлении на сервер Central Node событий, соответствующих созданному правилу TAA (IOA), Kaspersky Anti Targeted Attack Platform сформирует обнаружения.

Вы также можете создать правило TAA (IOA) на основе одного или нескольких условий поиска событий из выбранного IOC-файла. Для этого вам требуется выполнить следующие действия:

  1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносного приложения.
  2. Найти события, соответствующие условиям выбранного IOC-файла.
  3. Создать на основе одного или нескольких условий поиска событий из выбранного IOC-файла правило TAA (IOA).

В режиме распределенного решения и мультитенантности правила TAA (IOA) могут быть одного из следующих типов:

  • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
  • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Сравнительная характеристика

Пользовательские правила TAA (IOA)

Правила TAA (IOA) "Лаборатории Касперского"

Наличие рекомендаций по реагированию на событие

Нет

Есть

Вы можете посмотреть рекомендации в
информации об обнаружении

Соответствие технике в базе MITRE ATT&CK

Нет

Есть

Вы можете посмотреть описание техники по
классификации MITRE в информации об обнаружении

Отображение в таблице правил TAA (IOA)

Да

Нет

Способ отключить проверку базы по этому правилу

Отключить правило

Добавить правило в исключения TAA

Возможность удалить или добавить правило

Вы можете удалить или добавить правило в веб-интерфейсе приложения

Правила обновляются вместе с базами приложения
и не могут быть удалены пользователем

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

По ссылкам Обнаружения и События в окне с информацией о правиле TAA (IOA)

По ссылкам Обнаружения и События в окне с информацией об обнаружении

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и выключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

В этом разделе

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Сброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!