Работа с пользовательскими правилами TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и отключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Сравнительная характеристика	Пользовательские правила TAA (IOA)	Правила TAA (IOA) "Лаборатории Касперского"
Наличие рекомендаций по реагированию на событие	Нет	Есть Вы можете посмотреть рекомендации в информации об обнаружении
Соответствие технике в базе MITRE ATT&CK База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.	Нет	Есть Вы можете посмотреть описание техники по классификации MITRE в информации об обнаружении
Отображение в таблице правил TAA (IOA)	Да	Нет
Способ отключить проверку базы по этому правилу	Отключить правило	Добавить правило в исключения TAA
Возможность удалить или добавить правило	Вы можете удалить или добавить правило в веб-интерфейсе программы	Правила обновляются вместе с базами программы и не могут быть удалены пользователем
Поиск обнаружений и событий, в которых сработали правила TAA (IOA)	По ссылкам Обнаружения и События в окне с информацией о правиле TAA (IOA)	По ссылкам Обнаружения и События в окне с информацией об обнаружении

В зависимости от режима работы программы и сервера, на котором создаются правила TAA (IOA), пользовательские правила TAA (IOA) могут быть одного из следующих типов:

• Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

  Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.

  Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

• Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

В этом разделе справки Просмотр таблицы правил TAA (IOA) Просмотр информации о пользовательском правиле TAA (IOA) Поиск обнаружений и событий, в которых сработали правила TAA (IOA) Фильтрация и поиск правил TAA (IOA) Cброс фильтра правил TAA (IOA) Создание пользовательского правила TAA (IOA) на основе условий поиска событий Импорт пользовательского правила TAA (IOA) Включение и отключение использования правил TAA (IOA) Изменение пользовательского правила TAA (IOA) Удаление пользовательских правил TAA (IOA)

В начало