管理用户定义的 TAA (IOA) 规则

自定义 TAA (IOA) 规则是根据事件数据库搜索条件创建的。例如，当您认为不安全的应用程序在带有 Endpoint Agent 组件的计算机上启动时，您希望 Kaspersky Anti Targeted Attack Platform 生成事件警报，您可以：

1. 手动向事件数据库生成搜索查询，或者上传带有入侵指标的 IOC 文件来检测此应用程序。

   创建 IOC 文件时，请在“威胁搜索”部分查看可用于搜索事件的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。

   在“威胁搜索”部分搜索事件的 IOC 术语

2. 根据事件搜索条件创建自定义 TAA (IOA) 规则。

   当 Central Node 服务器收到与创建的 TAA (IOA) 规则匹配的事件时，Kaspersky Anti Targeted Attack Platform 会生成警报。

您还可以根据已加载的 IOC 文件中的条件创建 TAA (IOA) 规则。为此：

1. 查找与所选文件的条件相对应的事件。
2. 根据所选 IOC 文件中的一个或多个事件搜索条件创建 TAA (IOA) 规则。

在分布式解决方案和多租户模式下，TAA（IOA）规则可以有以下类型之一：

• 全球 — 在 PCN 服务器上创建。这些规则用于扫描此 PCN 服务器以及连接到此 PCN 服务器的所有 SCN 服务器上的事件。扫描的事件属于用户在程序 Web 界面中管理的租户。
• 本地 — 在 SCN 服务器上创建。这些规则用于扫描此 SCN 服务器上的事件。扫描的事件属于用户在程序 Web 界面中管理的租户。

下表总结了用户规则和卡巴斯基规则之间的差异。

TAA（IOA）规则对比

特征	用户定义的 TAA (IOA) 规则	Kaspersky TAA (IOA) 规则
关于响应事件的建议	否	是 您可以在 警报信息中查看推荐
与MITRE ATT&CK 数据库中的技术对应 MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。	否	是 您可以 根据 MITRE 数据库在警报信息中查看技术描述
在TAA（IOA）规则表中显示	是	否
能够禁用此规则的数据库查找	禁用规则	将规则添加到 TAA 排除项
能够删除或添加规则	您可以在应用程序的 Web 界面中删除或添加规则	规则与应用程序数据库一起更新 并且不能被用户删除
搜索其中触发了 TAA (IOA) 规则的警报和事件	使用TAA (IOA) 规则信息窗口中的警报和事件链接	使用警报信息窗口中的警报和事件链接

具有高级安全官角色的用户可以创建、导入、删除、启用或禁用TAA (IOA) 规则，以及从扫描中排除 Kaspersky TAA (IOA) 规则。具有安全官或者安全审计员角色的用户可以使用 TAA（IOA）规则在事件和警报数据库中搜索针对性攻击迹象、受感染和可能受感染的对象，并查看 TAA（IOA）规则表和TAA（IOA）规则信息。

本节内容 查看TAA（IOA）规则表 根据事件搜索条件创建 TAA (IOA) 规则 导入 TAA (IOA) 规则 查看自定义 TAA (IOA) 规则详细信息 搜索其中触发了 TAA (IOA) 规则的警报和事件 筛选和搜索 TAA (IOA) 规则 重置 TAA (IOA) 规则筛选器 启用和禁用 TAA (IOA) 规则 修改 TAA (IOA) 规则 删除 TAA (IOA) 规则

页面顶部