Просмотр таблицы правил TAA (IOA)
Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.
Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса программы.
В таблице содержится следующая информация:
– степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).Степень важности может иметь одно из следующих значений:
– Низкая.
– Средняя.
– Высокая.
- Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно создано:
- Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
- Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
- Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
- Высокая.
- Средняя.
- Низкая.
Чем выше надежность, тем меньше вероятность ложных срабатываний
- Имя – название правила.
- Серверы – имя сервера с компонентом Central Node, на котором применяется правило.
- Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
- Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
- Отключено – не отображается в таблице обнаружений.
- Состояние – состояние использования правила при проверке событий:
- Включено – правило используется.
- Отключено – правило не используется.