Вы можете импортировать файл формата IOC и использовать его для проверки событий и создания обнаружений Targeted Attack Analyzer.
Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила TAA (IOA) могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется
Чтобы импортировать правило TAA (IOA), выполните следующие действия:
В окне веб-интерфейса программы выберите раздел Правила пользователей, подраздел TAA.
Откроется таблица правил TAA (IOA).
Нажмите на кнопку Импортировать.
Откроется окно выбора файла на вашем локальном компьютере.
Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
Откроется окно Новое правило TAA (IOA).
Включите или выключите переключатель Состояние, если вы хотите изменить состояние использования правила при проверке базы событий.
На закладке Сведения В поле Имя введите имя правила.
В поле Описание введите любую дополнительную информацию о правиле.
В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
Низкая.
Средняя.
Высокая.
В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
Низкая.
Средняя.
Высокая.
В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
Нажмите на кнопку Сохранить.
Пользовательское правило TAA (IOA) будет импортировано в программу.
Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.