Kaspersky Anti Targeted Attack (KATA) Platform

Просмотр информации о правиле TAA (IOA)

14 мая 2024

ID 247703

Чтобы просмотреть информацию о правиле TAA (IOA):

  1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

    Откроется таблица правил TAA (IOA).

  2. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

  • Обнаружения – по ссылке в новой вкладке браузера откроется таблица обнаружений, отфильтрованных по технологии Targeted Attack Analyzer и имени правила TAA (IOA), с которым вы работаете.
  • События – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила.
  • Запрос – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила. В условиях поиска событий указаны данные из правила TAA (IOA), с которым вы работаете. Например, EventType=Запущен процесс AND FileName CONTAINS <имя правила, с которым вы работаете>. Вы можете отредактировать запрос на поиск событий.
  • IOA ID – по ссылке открывается идентификатор, присваиваемый приложением каждому правилу.

    Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.

  • Состояние – использование правила при проверке базы событий.

На закладке Сведения отображается следующая информация:

  • Имя – имя правила, которое вы указали при добавлении правила.
  • Описание – любая дополнительная информация о правиле, которую вы указали.
  • Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
  • Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
  • Тип – тип правила в зависимости от роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  • Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке Запрос в верхней части окна вы можете перейти в раздел Поиск угроз и выполнить запрос на поиск событий.

См. также

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Сброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!