Kaspersky Anti Targeted Attack (KATA) Platform

Просмотр таблицы правил TAA (IOA)

14 мая 2024

ID 247701

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса приложения.

В таблице содержится следующая информация:

  1. Apt_icon_Importance_new – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).

    Степень важности может иметь одно из следующих значений:

    • Apt_icon_importance_low – Низкая.
    • Apt_icon_importance_medium – Средняя.
    • Apt_icon_importance_high – Высокая.
  2. Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  3. Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
    • Высокая.
    • Средняя.
    • Низкая.

    Чем выше надежность, тем меньше вероятность ложных срабатываний

  4. Имя – название правила.
  5. Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

    Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

  6. Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
    • Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
    • Выключено – не отображается в таблице обнаружений.
  7. Состояние – состояние использования правила при проверке событий:
    • Включено – правило используется.
    • Выключено – правило не используется.

См. также

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Сброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!