События – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила.
Запрос – по ссылке в новой вкладке браузера откроется таблица событий, отфильтрованных по имени правила. В условиях поиска событий указаны данные из правила TAA (IOA), с которым вы работаете. Например, EventType=Запущен процесс AND FileName CONTAINS <имя правила, с которым вы работаете>. Вы можете отредактировать запрос на поиск событий.
IOA ID – по ссылке открывается идентификатор, присваиваемый программой каждому правилу.
Изменение идентификатора недоступно. Вы можете скопировать идентификатор по кнопке Скопировать значение в буфер.
Состояние – использование правила при проверке базы событий.
На закладке Сведения отображается следующая информация:
Имя – имя правила, которое вы указали при добавлении правила.
Описание – любая дополнительная информация о правиле, которую вы указали.
Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, указанная пользователем при добавлении правила.
Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при добавлении правила.
Тип – тип правила в зависимости от роли сервера, на котором оно создано:
Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
Область применения – имена серверов с компонентом Central Node, на которых применяется правило.
На закладке Запрос отображается исходный код запроса, по которому осуществляется проверка. По ссылке Запрос в верхней части окна вы можете перейти в раздел Поиск угроз и выполнить запрос на поиск событий.