Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).
Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми программа считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.
Индикатор IOA – это правило (далее также "правило TAA (IOA)"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий программы и отмечает события, которые совпадают с поведением, описанным в правилах TAA (IOA). При проверке используется технология потокового сканирования, при которой объекты, загружаемые из сети, проверяются непрерывно в режиме реального времени.
Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", используются в работе технологии TAA (Targeted Attack Analyzer) и обновляются вместе с базами программы. Они не отображаются в интерфейсе программы и не могут быть отредактированы.
Вы можете добавлять пользовательские правила IOC и TAA (IOA), используя IOC-файлы открытого стандарта описания OpenIOC, а также создавать правила TAA (IOA) на основе условий поиска по базе событий.
Сравнительные характеристики индикаторов компрометации (IOC) и атаки (IOA) приведены в таблице ниже.
Сравнительные характеристики индикаторов IOC и IOA
Сравнительная характеристика |
Индикаторы IOC в пользовательских правилах IOC |
Индикаторы IOA в пользовательских правилах TAA (IOA) |
Индикаторы IOA в правилах TAA (IOA), сформированных специалистами "Лаборатории Касперского" |
---|---|---|---|
Область проверки |
Компьютеры с программой Kaspersky Endpoint Agent |
База событий программы |
База событий программы |
Механизм проверки |
Периодическое сканирование |
Потоковое сканирование |
Потоковое сканирование |
Возможность добавить в исключения из проверки |
Нет. |
Не требуется. Пользователи с ролью Старший сотрудник службы безопасности могут изменить текст индикатора в пользовательских правилах TAA (IOA) согласно требуемым условиям. |
Есть. |
Если вы используете режим распределенного решения и multitenancy, в разделе отображаются данные по выбранной вами организации.
В начало