Вы можете импортировать файл формата IOC и использовать его для проверки событий и создания обнаружений Targeted Attack Analyzer.
Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила TAA (IOA) могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется
Чтобы импортировать правило TAA (IOA):
В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел TAA.
Откроется таблица правил TAA (IOA).
Нажмите на кнопку Импортировать.
Откроется окно выбора файла на вашем локальном компьютере.
Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
Откроется окно Новое правило TAA (IOA).
Переместите переключатель Состояние в положение Включено, если вы хотите включить использование правила при проверке базы событий.
На закладке Сведения в поле Имя введите имя правила.
В поле Описание введите любую дополнительную информацию о правиле.
В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
Низкая.
Средняя.
Высокая.
В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
Низкая.
Средняя.
Высокая.
В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
Нажмите на кнопку Сохранить.
Пользовательское правило TAA (IOA) будет импортировано в программу.
Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.