Kaspersky Anti Targeted Attack (KATA) Platform

Рекомендации по обработке IOC-обнаружений

21 мая 2024

ID 247619

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
  • В разделе Оценка выберите Найти похожие обнаружения по IOC. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Обнаружено - имени IOC-файла из обнаружения, над которым вы работаете.
  • В разделе Сдерживание выберите Изолировать <имя хоста>. Откроется окно создания правила сетевой изоляции.

Чтобы создать правило сетевой изоляции хоста, настройте следующие параметры:

  1. В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
  2. В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
    • Входящее/Исходящее.
    • Входящее.
    • Исходящее.
  3. В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.

    Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.

  4. Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
  5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
  6. Нажмите на кнопку Сохранить.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке YARA-обнаружений

Рекомендации по обработке IDS-обнаружений

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!