Программа анализирует события с помощью IOA-правил. Специалисты "Лаборатории Касперского" предоставляют набор IOA-правил, содержащих примеры наиболее частых подозрительных действий в системе пользователя. Кроме того, пользователи могут создавать свои IOA-правила.
При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности могут управлять IOA-правилами: добавлять, удалять, включать и отключать правила, а также добавлять IOA-правила "Лаборатории Касперского" в белый список. Пользователи с ролями Старший сотрудник службы безопасности или Сотрудник службы безопасности могут использовать IOА-правила для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу IOA-правил и информацию об IOA-правилах.
Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.
Сравнительные характеристики IOA-правил
Сравнительная характеристика |
Пользовательские правила |
Правила "Лаборатории Касперского" |
---|---|---|
Наличие рекомендаций по реагированию на событие |
Нет |
Есть Вы можете посмотреть рекомендации в информации об обнаружении |
Соответствие технике в базе MITRE ATT&CK |
Нет |
Есть Вы можете посмотреть описание техники по классификации MITRE в информации об обнаружении |
Отображение в таблице IOA-правил |
Да |
Нет |
Способ отключить проверку базы по этому правилу |
||
Возможность удалить или добавить правило |
Вы можете удалить или добавить правило в веб-интерфейсе программы |
Правила обновляются вместе с базами программы и не могут быть удалены пользователем |
По ссылкам Обнаружения и События в окне с информацией об IOA-правиле |
По ссылкам Обнаружения и События в окне с информацией об обнаружении |
В зависимости от режима работы программы и сервера, на котором создаются IOA-правила, пользовательские IOA-правила могут быть одного из следующих типов: