Просмотр таблицы правил TAA (IOA)

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица пользовательских правил TAA (IOA) содержит информацию о правилах TAA (IOA), используемых для проверки событий и создания обнаружений, и находится в разделе Пользовательские правила, подразделе TAA окна веб-интерфейса приложения.

В таблице содержится следующая информация:

  1. Apt_icon_Importance_new – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого правила TAA (IOA).

    Степень важности может иметь одно из следующих значений:

    • Apt_icon_importance_low – Низкая.
    • Apt_icon_importance_medium – Средняя.
    • Apt_icon_importance_high – Высокая.
  2. Тип – тип правила в зависимости от режима работы приложения и роли сервера, на котором оно создано:
    • Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе программы.
    • Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе программы.
  3. Надежность – уровень надежности в зависимости от вероятности ложных срабатываний правила:
    • Высокая.
    • Средняя.
    • Низкая.

    Чем выше надежность, тем меньше вероятность ложных срабатываний

  4. Имя – название правила.
  5. Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

    Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

  6. Обнаружения – требование сохранять информацию об обнаружении на основе совпадения события из базы с критериями правила.
    • Включено – для события создается запись в таблице обнаружений с указанием технологии Targeted Attack Analyzer (TAA).
    • Выключено – не отображается в таблице обнаружений.
  7. Состояние – состояние использования правила при проверке событий:
    • Включено – правило используется.
    • Выключено – правило не используется.

См. также

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правила TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск обнаружений и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Сброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)
В начало