Работа с пользовательскими правилами TAA (IOA)

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и отключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Сравнительная характеристика

Пользовательские правила TAA (IOA)

Правила TAA (IOA) "Лаборатории Касперского"

Наличие рекомендаций по реагированию на событие

Нет

Есть

Вы можете посмотреть рекомендации в
информации об обнаружении

Соответствие технике в базе MITRE ATT&CK

Нет

Есть

Вы можете посмотреть описание техники по
классификации MITRE в информации об обнаружении

Отображение в таблице правил TAA (IOA)

Да

Нет

Способ отключить проверку базы по этому правилу

Отключить правило

Добавить правило в исключения TAA

Возможность удалить или добавить правило

Вы можете удалить или добавить правило в веб-интерфейсе программы

Правила обновляются вместе с базами программы
и не могут быть удалены пользователем

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

По ссылкам Обнаружения и События в окне с информацией о правиле TAA (IOA)

По ссылкам Обнаружения и События в окне с информацией об обнаружении

В зависимости от режима работы программы и сервера, на котором создаются правила TAA (IOA), пользовательские правила TAA (IOA) могут быть одного из следующих типов:

В этом разделе справки

Просмотр таблицы правил TAA (IOA)

Просмотр информации о пользовательском правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Cброс фильтра правил TAA (IOA)

Создание пользовательского правила TAA (IOA) на основе условий поиска событий

Импорт пользовательского правила TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение пользовательского правила TAA (IOA)

Удаление пользовательских правил TAA (IOA)

В начало