Kaspersky Anti Targeted Attack (KATA) Platform

Создание правила TAA (IOA) на основе условий поиска событий

14 мая 2024

ID 247643_1

Чтобы создать правило TAA (IOA) на основе условий поиска событий:

  1. В окне веб-интерфейса приложения выберите раздел Поиск угроз.

    Откроется форма поиска событий.

  2. Выполните поиск событий в режиме конструктора или режиме исходного кода.
  3. Нажмите на кнопку Сохранить как правило TAA (IOA).

    Откроется окно Новое правило TAA (IOA).

  4. В поле Имя введите имя правила.
  5. Нажмите на кнопку Сохранить.

Условие поиска событий будет сохранено. В таблице правил TAA (IOA) раздела Пользовательские правила, в подразделе TAA веб-интерфейса отобразится новое правило с заданным именем.

Не рекомендуется в условиях поиска событий, сохраняемых как пользовательское правило TAA (IOA), использовать следующие поля:

  • IOAId.
  • IOATag.
  • IOATechnique.
  • IOATactics.
  • IOAImportance.
  • IOAConfidence.

На момент сохранения пользовательского правила TAA (IOA) в приложении может не быть событий, содержащих данные для этих полей. Когда события с этими данными появятся, пользовательское правило TAA (IOA), созданное ранее, не сможет разметить события по этим полям.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания правила TAA (IOA) на основе условий поиска событий недоступна.

См. также

Работа с пользовательскими правилами TAA (IOA)

Просмотр таблицы правил TAA (IOA)

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Сброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!