Просмотр правила TAA (IOA), добавленного в исключения

Справка Kaspersky Anti Targeted Attack Platform
Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Ограничения текущей версии программы
О предоставлении данных
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами программы
- Данные программы Kaspersky Endpoint Agent
Лицензирование программы
- О Лицензионном соглашении
- О лицензии
- О лицензионном сертификате
- О ключе
- О файле ключа
- Просмотр информации о лицензии и добавленных ключах
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в программе
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения на компьютере с Kaspersky Endpoint Agent
- Добавление ключа
- Замена ключа
- Удаление ключа
- Режимы работы программы в соответствии с лицензией
Архитектура программы
- Компонент Sensor
- Компонент Central Node
- Компонент Sandbox
- Компонент Kaspersky Endpoint Agent
Принцип работы программы
Распределенное решение и режим multitenancy
- Сценарий перехода в режим распределенного решения и multitenancy
- Изменения в параметрах программы при переходе в режим распределенного решения и multitenancy
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Обработка запросов на подключение SCN к PCN
- Просмотр информации об организациях, серверах PCN и SCN
- Добавление организации на сервере PCN
- Удаление организации на сервере PCN
- Изменение названия организации на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах программы при отключении SCN от PCN
- Вывод сервера SCN из эксплуатации
Руководство по масштабированию
- Типовые схемы развертывания и установки компонентов программы
- Калькулятор масштабирования
Установка и первоначальная настройка решения
- Подготовка к установке компонентов программы
- Порядок установки и настройки компонентов программы
- Установка компонента Sandbox
- Установка и настройка компонентов Central Node и Sensor на одном сервере
- Установка и настройка компонента Sensor на отдельном сервере
Настройка интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent
- Настройка доверенного соединения Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Включение проверки TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание крипто-контейнера
- Загрузка самостоятельно подготовленного TLS-сертификата Kaspersky Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка крипто-контейнера в Kaspersky Endpoint Agent
- Настройка перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor
  - Включение и отключение перенаправления трафика от Kaspersky Endpoint Agent на сервер Sensor
  - Авторизация компонента Sensor на сервере Central Node
- Генерация TLS-сертификата сервера Sensor в меню администратора сервера Sensor
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Sensor через меню администратора сервера Sensor
- Скачивание TLS-сертификата сервера Sensor на компьютер
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
Начало работы с программой
- Начало работы в веб-интерфейсе программы
- Начало работы в меню администратора программы
- Начало работы с программой в режиме Technical Support Mode
Управление учетными записями администраторов и пользователей программы
- Создание учетной записи администратора веб-интерфейса программы
- Создание учетной записи пользователя веб-интерфейса программы
- Изменение прав доступа учетной записи пользователя веб-интерфейса программы
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса программы
- Изменение пароля учетной записи администратора или пользователя программы
- Изменение пароля своей учетной записи
Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Просмотр Положения о KSN и настройка участия в KSN
- Включение использования KPSN
- Настройка подключения к локальной репутационной базе KPSN
- Настройка сохранения информации в локальную репутационную базу KPSN
- Отказ от участия в KSN и использования KPSN
Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
  - Создание запроса на подключение к Sandbox в меню администратора Central Node
  - Обработка запросов на подключение от серверов Central Node в веб-интерфейсе Sandbox
- Настройка сетевых интерфейсов компонента Sandbox
- Обновление системы Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и программ для работы компонента Sandbox
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
Администратору: работа в веб-интерфейсе программы
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы программы
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса программы
- Управление компонентом Sensor
- Работа с информацией о хостах с Kaspersky Endpoint Agent
- Настройка интеграции с компонентом Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с SIEM-системой
- Настройка параметров сервера для отправки уведомлений
- Обновление баз программы
  - Выбор источника обновления баз
  - Запуск обновления баз вручную
- Создание списка паролей для архивов
Сотруднику службы безопасности: работа в веб-интерфейсе программы
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор организации для работы в веб-интерфейсе программы
- Мониторинг работы программы
  - О графиках и схемах расположения графиков
  - Добавление графика на текущую схему расположения графиков
  - Перемещение графика на текущей схеме расположения графиков
  - Удаление графика с текущей схемы расположения графиков
  - Сохранение схемы расположения графиков в PDF
  - Настройка периода отображения данных на графиках
  - Настройка масштаба отображения графиков
  - Основные принципы работы с графиками типа "Обнаружения"
  - Просмотр состояния работоспособности модулей и компонентов программы
- Таблица обнаружений
- Фильтрация, сортировка и поиск обнаружений
  - Фильтрация обнаружений по наличию статуса VIP
  - Фильтрация и поиск обнаружений по времени
  - Фильтрация обнаружений по степени важности
  - Фильтрация и поиск обнаружений по категориям обнаруженных объектов
  - Фильтрация и поиск обнаружений по полученной информации
  - Фильтрация и поиск обнаружений по адресу источника
  - Фильтрация и поиск обнаружений по адресу назначения
  - Фильтрация и поиск обнаружений по имени сервера
  - Фильтрация и поиск обнаружений по названию технологии
  - Фильтрация и поиск обнаружений по состоянию их обработки пользователем
  - Сортировка обнаружений в таблице
  - Быстрое создание фильтра обнаружений
  - Сброс фильтра обнаружений
- Просмотр обнаружений
  - Просмотр информации об обнаружении
  - Общая информация об обнаружении любого типа
  - Информация в блоке Информация об объекте
  - Информация в блоке Информация об обнаружении
  - Информация в блоке Результаты проверки
  - Информация в блоке Правило IDS
  - Информация в блоке Сетевое событие
  - Результаты проверки в Sandbox
  - Результаты IOC-проверки
  - Информация в блоке Хосты
  - Информация в блоке Журнал изменений
  - Отправка данных об обнаружении
- Рекомендации по обработке обнаружений
  - Рекомендации по обработке AM-обнаружений
  - Рекомендации по обработке SB-обнаружений
  - Рекомендации по обработке YARA-обнаружений
  - Рекомендации по обработке IOC-обнаружений
  - Рекомендации по обработке IDS-обнаружений
- Действия пользователей над обнаружениями
  - Назначение нескольких обнаружений определенному пользователю
  - Назначение обнаружений себе или другому пользователю
  - Отметка о завершении обработки одного обнаружения
  - Отметка о завершении обработки обнаружений
  - Изменение статуса VIP обнаружений
  - Добавление комментария к обнаружению
- Поиск угроз по базе событий
  - Поиск событий в режиме конструктора
  - Поиск событий в режиме исходного кода
  - Изменение условий поиска событий
  - Поиск событий по результатам их обработки в программах EPP
  - Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле
  - Создание пользовательского правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
  - Просмотр таблицы событий
  - Просмотр информации о событии
  - Информация о событиях в дереве событий
  - Рекомендации по обработке событий
  - Информация о событии Запущен процесс
  - Информация о событии Загружен модуль
  - Информация о событии Удаленное соединение
  - Информация о событии Правило запрета
  - Информация о событии Заблокирован документ
  - Информация о событии Создан файл
  - Информация о событии Событие в журнале Windows
  - Информация о событии Изменение в реестре
  - Информация о событии Прослушан порт
  - Информация о событии Загружен драйвер
  - Информация о событии Обнаружение
  - Информация о событии Результат обработки обнаружения
  - Информация о событии Интерпретированный запуск файла
  - Информация о событии Интерактивный ввод команд в консоли
- Работа с информацией о хостах с Kaspersky Endpoint Agent
  - Просмотр таблицы хостов с Kaspersky Endpoint Agent на отдельном сервере Central Node
  - Просмотр таблицы хостов с Kaspersky Endpoint Agent в режиме распределенного решения и multitenancy
  - Просмотр информации о хосте
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по имени хоста
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent, изолированных от сети
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по именам серверов PCN и SCN
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по IP-адресу компьютера
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии операционной системы на компьютере
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по версии Kaspersky Endpoint Agent
  - Фильтрация и поиск хостов с Kaspersky Endpoint Agent по их активности
  - Быстрое создание фильтра хостов с Kaspersky Endpoint Agent
  - Сброс фильтра хостов с Kaspersky Endpoint Agent
  - Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с Kaspersky Endpoint Agent
  - Создание правила сетевой изоляции
  - Добавление исключения из правила сетевой изоляции
  - Удаление правила сетевой изоляции
  - Ограничения, действующие при сетевой изоляции
- Работа с задачами
  - Просмотр таблицы задач
  - Просмотр информации о задаче
  - Создание задачи завершения процесса
  - Создание задачи выполнения программы
  - Создание задачи получения файла
  - Создание задачи удаления файла
  - Создание задачи помещения файла на карантин
  - Создание задачи восстановления файла из Карантина
  - Создание копии задачи
  - Удаление задач
  - Фильтрация задач по времени создания
  - Фильтрация задач по типу
  - Фильтрация задач по имени
  - Фильтрация задач по имени и пути к файлу
  - Фильтрация задач по описанию
  - Фильтрация задач по имени сервера
  - Фильтрация задач по имени пользователя, создавшего задачу
  - Фильтрация задач по состоянию обработки
  - Сброс фильтра задач
- Работа с политиками (правилами запрета)
  - Просмотр таблицы правил запрета
  - Просмотр правила запрета
  - Создание правила запрета
  - Включение и отключение правила запрета
  - Удаление правил запрета
  - Фильтрация правил запрета по имени
  - Фильтрация правил запрета по типу
  - Фильтрация правил запрета по хешу файла
  - Фильтрация правил запрета по имени сервера
  - Сброс фильтра правил запрета
- Работа с пользовательскими правилами
  - Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
  - Работа с пользовательскими правилами IOC
  - Работа с пользовательскими правилами TAA (IOA)
  - Работа с пользовательскими правилами IDS
  - Работа с правилами YARA
- Работа с объектами в Хранилище и на карантине
  - Просмотр таблицы объектов, помещенных в Хранилище
  - Просмотр информации об объекте, загруженном в Хранилище вручную
  - Просмотр информации об объекте, помещенном в Хранилище по задаче
  - Скачивание объектов из Хранилища
  - Загрузка объектов в Хранилище
  - Отправка объектов из Хранилища на проверку
  - Удаление объектов из Хранилища
  - Фильтрация объектов в Хранилище по типу объекта
  - Фильтрация объектов в Хранилище по описанию объекта
  - Фильтрация объектов в Хранилище по результатам проверки
  - Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
  - Фильтрация объектов в Хранилище по источнику объекта
  - Фильтрация объектов по времени помещения в Хранилище
  - Сброс фильтра объектов в Хранилище
  - Просмотр таблицы объектов, помещенных на карантин на компьютерах с Kaspersky Endpoint Agent
  - Просмотр информации об объекте на карантине
  - Восстановление объекта из карантина
  - Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
  - Удаление информации об объекте, помещенном на карантин, из таблицы
  - Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
  - Фильтрация информации об объектах, помещенных на карантин, по имени хоста
  - Фильтрация информации об объектах, помещенных на карантин, по времени
  - Сброс фильтра информации об объектах на карантине
- Работа с отчетами
  - Создание шаблона
  - Создание отчета по шаблону
  - Просмотр таблицы шаблонов и отчетов
  - Просмотр отчета
  - Скачивание отчета на локальный компьютер
  - Изменение шаблона
  - Фильтрация шаблонов по имени
  - Фильтрация шаблонов по имени пользователя, создавшего шаблон
  - Фильтрация шаблонов по времени создания
  - Сброс фильтра шаблонов
  - Удаление шаблона
  - Фильтрация отчетов по времени создания
  - Фильтрация отчетов по имени
  - Фильтрация отчетов по имени сервера с компонентом Central Node
  - Фильтрация отчетов по имени пользователя, создавшего отчет
  - Сброс фильтра отчетов
  - Удаление отчета
- Отправка уведомлений
  - Просмотр таблицы правил для отправки уведомлений
  - Создание правила для отправки уведомлений об обнаружениях
  - Создание правила для отправки уведомлений о работе компонентов программы
  - Включение и отключение правила для отправки уведомлений
  - Изменение правила для отправки уведомлений
  - Удаление правила для отправки уведомлений
  - Фильтрация и поиск правил отправки уведомлений по типу правила
  - Фильтрация и поиск правил отправки уведомлений по теме уведомлений
  - Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
  - Фильтрация и поиск правил отправки уведомлений по их состоянию
  - Сброс фильтра правил отправки уведомлений
- Работа с правилами присвоения обнаружениям статуса VIP
  - Добавление правила присвоения статуса VIP
  - Удаление правила присвоения статуса VIP
  - Изменение правила присвоения статуса VIP
  - Импорт списка правил присвоения статуса VIP
  - Экспорт списка правил присвоения статуса VIP
  - Фильтрация и поиск по типу правила присвоения статуса VIP
  - Фильтрация и поиск по значению правила присвоения статуса VIP
  - Фильтрация и поиск по описанию правила присвоения статуса VIP
  - Сброс фильтра правил присвоения статуса VIP
- Работа с белым списком объектов
  - Добавление записи в белый список
  - Удаление записи из белого списка
  - Изменение записи в белом списке
  - Экспорт белого списка
  - Фильтрация и поиск записей в белом списке по критерию
  - Фильтрация и поиск записей в белом списке по значению
  - Сброс фильтра записей в белом списке
- Работа с IDS-исключениями
  - Просмотр списка правил IDS, добавленных в исключения
  - Добавление правила IDS в исключения
  - Редактирование описания правила IDS, добавленного в исключения
  - Удаление правил IDS из исключений
- Работа с TAA-исключениями
  - Просмотр списка правил TAA (IOA), добавленных в исключения
  - Просмотр правила TAA (IOA), добавленного в исключения
  - Удаление правил TAA (IOA) из исключений
  - Добавление правила TAA (IOA) в исключения
- Создание списка паролей для архивов
Управление программой Kaspersky Endpoint Agent
- Установка и удаление Kaspersky Endpoint Agent
- Активация Kaspersky Endpoint Agent
- Управление Kaspersky Endpoint Agent в Консоли администрирования Kaspersky Security Center
- Управление Kaspersky Endpoint Agent через интерфейс командной строки
Создание резервной копии и восстановление программы
- Создание резервной копии программы из меню администратора программы
- Загрузка файла с резервной копией программы с сервера Central Node или PCN на жесткий диск компьютера
- Загрузка файла с резервной копией программы с вашего компьютера на сервер Central Node
- Восстановление программы из резервной копии через меню администратора программы
- Создание резервной копии программы в режиме Technical Support Mode
- Восстановление программы из резервной копии в режиме Technical Support Mode
Обновление Kaspersky Anti Targeted Attack Platform
- Обновление программы с версии 3.6 до версии 3.7
- Установка пакетов обновления программы из меню администратора и в режиме Technical Support Mode
Взаимодействие с внешними системами по API
- Сценарий взаимодействия внешней системы с Kaspersky Anti Targeted Attack Platform
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об обнаружениях программы
  - Запрос на вывод информации об обнаружениях
  - Состав передаваемых данных
Источники информации о программе
Обращение в Службу технической поддержки
- Способы получения технической поддержки
- Техническая поддержка через Kaspersky CompanyAccount
Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Endpoint Agent
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- MITM-атака
- Multitenancy
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированнный трафик
- Локальная репутационная база KPSN
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
Информация о стороннем коде
Уведомления о товарных знаках

Сотруднику службы безопасности: работа в веб-интерфейсе программы > Работа с TAA-исключениями > Просмотр правила TAA (IOA), добавленного в исключения

Просмотр правила TAA (IOA), добавленного в исключения

Чтобы просмотреть правило TAA (IOA), добавленного в исключения, выполните следующие действия:

В окне веб-интерфейса программы выберите раздел Параметры, подраздел Белые списки и перейдите на закладку Исключения TAA (IOA).
Отобразится таблица правил TAA (IOA), добавленных в исключения.
Выберите правило, которое вы хотите просмотреть.

Откроется окно с информацией о правиле.

Окно содержит следующую информацию:

Правило TAA (IOA). По ссылке открывается окно с описанием техники MITRE, соответствующей этому правилу, рекомендациям по реагированию на событие и данными о вероятности ложных срабатываний.
ID – идентификатор, присваиваемый программой каждому правилу.
Имя – имя правила, которое вы указали при добавлении правила.
Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, по оценке специалистов "Лаборатории Касперского".
Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, по оценке специалистов "Лаборатории Касперского".

См. также

Просмотр списка правил TAA (IOA), добавленных в исключения

Удаление правил TAA (IOA) из исключений

Добавление правила TAA (IOA) в исключения

Идентификатор статьи: 195597, Последнее изменение: 22 апр. 2022 г.

В начало