Просмотр информации об IOA-правиле

Чтобы просмотреть информацию об IOА-правиле, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел IOC/IOA-анализ, подраздел IOA-анализ.

   Откроется таблица IOA-правил.

2. Выберите IOА-правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об IOА-правиле.

Окно содержит следующую информацию:

• События. По ссылке открывается раздел Поиск угроз с условием поиска, содержащим выбранное вами IOА-правило.
• Обнаружения. По ссылке открывается раздел Обнаружения с условием фильтрации, содержащим выбранное вами IOА-правило.
• IOA ID По ссылке открывается идентификатор, присваиваемый программой каждому правилу.

  Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.

• Состояние – использование правила при проверке базы событий.

На закладке Сведения отображается следующая информация:

• Имя – имя правила, которое вы указали при добавлении правила.
• Описание – любая дополнительная информация о правиле, которую вы указали.
• Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
• Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
• Тип – тип правила в зависимости от роли сервера, на котором оно создано:
  • Глобальный – созданные на сервере PCN. По этим IOA-правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

    Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.

    Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

  • Локальный – созданные на сервере SCN. По этим IOA-правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).
• Область применения – имена серверов с компонентом Central Node, на которых применяется правило.

На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке с текстом запроса вы можете перейти в раздел Поиск угроз и просмотреть все события по заданным критериям поиска.

См. также Просмотр таблицы IOA-правил Включение и отключение использования IOA-правила Добавление IOA-правила Изменение IOA-правила Удаление IOA-правила Просмотр белого списка IOA Просмотр информации об IOA-правиле в белом списке Добавление IOA-правила в белый список Удаление IOA-правила из белого списка Поиск результатов IOA-анализа Фильтрация и поиск IOA-правил Сброс фильтра IOA-правил

В начало