Добавление правила TAA (IOA) в исключения

Вы можете добавить в исключения только правила TAA (IOA) "Лаборатории Касперского". Если вы не хотите применять при проверке событий пользовательское правило TAA (IOA), вы можете отключить это правило или удалить его.

Чтобы добавить правило TAA (IOA) в исключения из раздела Обнаружения:

В окне веб-интерфейса программы выберите раздел Обнаружения.
Откроется таблица обнаружений.
По ссылке в столбце Технологии откройте окно настройки фильтрации.
В раскрывающемся списке слева выберите Содержит.
В раскрывающемся списке справа выберите технологию (TAA) Targeted Attack Analyzer.
Нажмите на кнопку Применить.
В таблице отобразятся обнаружения, выполненные технологией TAA на основе правил TAA (IOA).
Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила.
Откроется окно с информацией об обнаружении.
В блоке Результаты проверки по ссылке с названием правила откройте окно с информацией о правиле.
Справа от названия параметра Исключения TAA нажмите на кнопку Добавить в исключения.
Откроется окно добавления правила TAA (IOA) в исключения.
В поле Исключать правило выберите режим работы исключения:
- Всегда, если вы хотите, чтобы программа не создавала обнаружения для событий, соответствующих выбранному правилу TAA (IOA).
- При условии, если вы хотите, чтобы программа не создавала обнаружения только для событий, подходящих под заданные условия. Для событий, которые соответствуют правилу TAA (IOA) при заданных условиях исключения, программа создаст обнаружения.
  Если вы выбрали При условии, выполните следующие действия:
  1. По ссылке Настройка дополнительных условий откройте форму поиска событий.
  2. Если вы используете режим распределенного решения и multitenancy и хотите включить отображение событий по всем организациям, включите переключатель Искать по всем организациям.
    Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.
    
    Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
  3. Выполните поиск событий в режиме конструктора.
    Отобразится таблица событий, соответствующих правилу TAA (IOA) при заданных условиях исключения.
    
    Если вы используете режим распределенного решения, отобразятся уровни группировки найденных событий: Сервер – Названия организаций – Имена серверов.
  4. Нажмите на имя того сервера, события которого вы хотите просмотреть.
    Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.
    
    При необходимости вы можете изменить условия поиска событий.
  5. Нажмите на кнопку Добавить исключение.
Если вы используете режим распределенного решения и multitenancy, в поле Применить к серверам* установите флажки напротив организаций и хостов, к которым будет применяться правило.
Нажмите на кнопку Добавить.

Правило TAA (IOA) будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса программы, подразделе Исключения на закладке Исключения TAA (IOA). Это правило не будет применяться при создании обнаружений.

Чтобы добавить правило TAA (IOA) в исключения из раздела Поиск угроз:

В окне веб-интерфейса программы выберите раздел Поиск угроз.
Откроется форма поиска событий.
Задайте условия поиска и нажмите на кнопку Найти. Например, вы можете выбрать критерии для поиска событий в группе Свойства TAA в режиме конструктора.
Отобразится таблица событий, удовлетворяющих условиям поиска.
Выберите событие.
Справа от названия параметра Имя IOA нажмите на имя правила.
Откроется окно с информацией о правиле.
Справа от названия параметра Исключения TAA нажмите на кнопку Добавить в исключения.
Откроется окно добавления правила TAA (IOA) в исключения.
В поле Исключать правило выберите режим работы исключения:
- Всегда, если вы хотите, чтобы программа не создавала обнаружения для событий, соответствующих выбранному правилу TAA (IOA).
- При условии, если вы хотите, чтобы программа не создавала обнаружения только для событий, подходящих под заданные условия. Для событий, которые соответствуют правилу TAA (IOA) при заданных условиях исключения, программа создаст обнаружения.
  Если вы выбрали При условии, выполните следующие действия:
  1. По ссылке Настройка дополнительных условий откройте форму поиска событий.
  2. Если вы используете режим распределенного решения и multitenancy и хотите включить отображение событий по всем организациям, включите переключатель Искать по всем организациям.
  3. Выполните поиск событий в режиме конструктора.
    Отобразится таблица событий, соответствующих правилу TAA (IOA) при заданных условиях исключения.
    
    Если вы используете режим распределенного решения, отобразятся уровни группировки найденных событий: Сервер – Названия организаций – Имена серверов.
  4. Нажмите на имя того сервера, события которого вы хотите просмотреть.
    Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.
    
    При необходимости вы можете изменить условия поиска событий.
  5. Нажмите на кнопку Добавить исключение.
Нажмите на кнопку Добавить.

При создании поискового запроса, сохраняемого как условия исключения, не рекомендуется использовать следующие поля:

IOAId.
IOATag.
IOATechnique.
IOATactics.
IOAImportance.
IOAConfidence.

Перечисленные поля отображаются только после того, как Kaspersky Anti Targeted Attack Platform отмечает события как подходящие под правила TAA (IOA).

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция добавления правила TAA (IOA) в исключения недоступна.

См. также

Просмотр списка правил TAA (IOA), добавленных в исключения

Просмотр правила TAA (IOA), добавленного в исключения

Удаление правил TAA (IOA) из исключений

В начало