IOA-анализ событий

Программа анализирует события с помощью IOA-правил. Специалисты "Лаборатории Касперского" предоставляют набор IOA-правил, содержащих примеры наиболее частых подозрительных действий в системе пользователя. Кроме того, пользователи могут создавать свои IOA-правила.

При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности могут управлять IOA-правилами: добавлять, удалять, включать и отключать правила, а также добавлять IOA-правила "Лаборатории Касперского" в белый список. Пользователи с ролями Старший сотрудник службы безопасности или Сотрудник службы безопасности могут использовать IOА-правила для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу IOA-правил и информацию об IOA-правилах.

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики IOA-правил

Сравнительная характеристика

Пользовательские правила

Правила "Лаборатории Касперского"

Наличие рекомендаций по реагированию на событие

Нет

Есть

Вы можете посмотреть рекомендации в информации об обнаружении

Соответствие технике в базе MITRE ATT&CK

Нет

Есть

Вы можете посмотреть описание техники по классификации MITRE в информации об обнаружении

Отображение в таблице IOA-правил

Да

Нет

Способ отключить проверку базы по этому правилу

Отключить правило

Добавить правило в белый список

Возможность удалить или добавить правило

Вы можете удалить или добавить правило в веб-интерфейсе программы

Правила обновляются вместе с базами программы и не могут быть удалены пользователем

Поиск результатов IOA-анализа

По ссылкам Обнаружения и События в окне с информацией об IOA-правиле

По ссылкам Обнаружения и События в окне с информацией об обнаружении

В зависимости от режима работы программы и сервера, на котором создаются IOA-правила, пользовательские IOA-правила могут быть одного из следующих типов:

В этом разделе справки

Просмотр таблицы IOA-правил

Просмотр информации об IOA-правиле

Включение и отключение использования IOA-правила

Добавление IOA-правила

Изменение IOA-правила

Удаление IOA-правила

Просмотр белого списка IOA

Просмотр информации об IOA-правиле в белом списке

Добавление IOA-правила в белый список

Удаление IOA-правила из белого списка

Поиск результатов IOA-анализа

Фильтрация и поиск IOA-правил

Сброс фильтра IOA-правил

В начало