Чтобы просмотреть информацию об IOА-правиле, выполните следующие действия:
В окне веб-интерфейса программы выберите раздел IOC/IOA-анализ, подраздел IOA-анализ.
Откроется таблица IOA-правил.
Выберите IOА-правило, информацию о котором вы хотите просмотреть.
Откроется окно с информацией об IOА-правиле.
Окно содержит следующую информацию:
События. По ссылке открывается раздел Поиск угроз с условием поиска, содержащим выбранное вами IOА-правило.
Обнаружения. По ссылке открывается раздел Обнаружения с условием фильтрации, содержащим выбранное вами IOА-правило.
IOA ID По ссылке открывается идентификатор, присваиваемый программой каждому правилу.
Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.
Состояние – использование правила при проверке базы событий.
На закладке Сведения отображается следующая информация:
Имя – имя правила, которое вы указали при добавлении правила.
Описание – любая дополнительная информация о правиле, которую вы указали.
Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
Тип – тип правила в зависимости от роли сервера, на котором оно создано:
Глобальный – созданные на сервере PCN. По этим IOA-правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).
Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.
Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления –Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
Область применения – имена серверов с компонентом Central Node, на которых применяется правило.
На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке с текстом запроса вы можете перейти в раздел Поиск угроз и просмотреть все события по заданным критериям поиска.