Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.
Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления –Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса программы.
В таблице содержится следующая информация:
– степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).
Степень важности может иметь одно из следующих значений:
– Низкая.
– Средняя.
– Высокая.
Тип – тип правила в зависимости от режима работы программы и роли сервера, на котором оно создано:
Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
Высокая.
Средняя.
Низкая.
Чем выше надежность, тем меньше вероятность ложных срабатываний
Имя – название правила.
Серверы – имя сервера с компонентом Central Node, на котором применяется правило.
Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
Отключено – не отображается в таблице обнаружений.
Состояние – состояние использования правила при проверке событий: