Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", содержат признаки подозрительного поведения объекта в IT-инфраструктуре организации. Kaspersky Anti Targeted Attack Platform проверяет базу событий программы и создает обнаружения для событий, которые совпадают с поведением, описанным в правилах TAA (IOA). Если вы хотите, чтобы программа не создавала обнаружения для событий, сформированных в результате нормальной для вашей организации активности хоста, вы можете добавить правило TAA (IOA) в исключения.
В программе предусмотрены следующие режимы работы правил TAA (IOA), добавленных в исключения:
В этом случае Kaspersky Anti Targeted Attack Platform не отмечает события как соответствующие правилу TAA (IOA) и не создает обнаружения по этому правилу.
В этом случае правило TAA (IOA) дополняется условиями в виде поискового запроса. Kaspersky Anti Targeted Attack Platform не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, программа отмечает события и создает обнаружения.
Если вы используете режим распределенного решения и мультитенантности, исключения TAA могут быть следующих типов:
Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять исключения в рамках тех тенантов, к данным которых у них есть доступ.
Пользователи с ролью Аудитор и Сотрудник службы безопасности могут только просматривать список исключений TAA и свойства выбранного исключения.
Для каждого правила TAA (IOA) можно создать только одно локальное или глобальное исключение.
Если для одного правила TAA (IOA) созданы исключения на сервере SCN и PCN, Kaspersky Anti Targeted Attack Platform обрабатывает события в соответствии с параметрами, заданными для исключения на сервере PCN.