Пользовательские правила TAA (IOA) создаются на основе условий поиска по базе событий. Например, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform сформировала обнаружения по событиям запуска программы, которую вы считаете небезопасной, на компьютерах с программой Kaspersky Endpoint Agent, вы можете выполнить следующие действия:
При поступлении на сервер Central Node событий, соответствующих созданному правилу TAA (IOA), программа Kaspersky Anti Targeted Attack Platform сформирует обнаружения.
Вы также можете создать правило TAA (IOA) на основе одного или нескольких условий поиска событий из выбранного IOC-файла. Для этого вам требуется выполнить следующие действия:
В зависимости от режима работы программы и сервера, на котором создаются правила TAA (IOA), пользовательские правила TAA (IOA) могут быть одного из следующих типов:
Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.
Сравнительные характеристики правил TAA (IOA)
Сравнительная характеристика |
Пользовательские правила TAA (IOA) |
Правила TAA (IOA) "Лаборатории Касперского" |
---|---|---|
Наличие рекомендаций по реагированию на событие |
Нет |
Есть Вы можете посмотреть рекомендации в |
Соответствие технике в базе MITRE ATT&CK |
Нет |
Есть Вы можете посмотреть описание техники по |
Отображение в таблице правил TAA (IOA) |
Да |
Нет |
Способ отключить проверку базы по этому правилу |
||
Возможность удалить или добавить правило |
Вы можете удалить или добавить правило в веб-интерфейсе программы |
Правила обновляются вместе с базами программы |
Поиск обнаружений и событий, в которых сработали правила TAA (IOA) |
По ссылкам Обнаружения и События в окне с информацией о правиле TAA (IOA) |
По ссылкам Обнаружения и События в окне с информацией об обнаружении |
Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и выключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).