Импорт правила TAA (IOA)
12 августа 2024
ID 247702
Вы можете импортировать файл формата IOC и использовать его для проверки событий и создания обнаружений Targeted Attack Analyzer.
Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила TAA (IOA) могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется
Чтобы импортировать правило TAA (IOA):
- В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.
Откроется таблица правил TAA (IOA).
- Нажмите на кнопку Импортировать.
Откроется окно выбора файла на вашем локальном компьютере.
- Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
Откроется окно Новое правило TAA (IOA).
- Переместите переключатель Состояние в положение Включено, если вы хотите включить использование правила при проверке базы событий.
- На закладке Сведения в поле Имя введите имя правила.
- В поле Описание введите любую дополнительную информацию о правиле.
- В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
- Низкая.
- Средняя.
- Высокая.
- В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
- Низкая.
- Средняя.
- Высокая.
- В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
- На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
- Нажмите на кнопку Сохранить.
Пользовательское правило TAA (IOA) будет импортировано в приложение.
Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.