自定义 TAA (IOA) 规则是根据事件数据库搜索条件创建的。例如,当您认为不安全的应用程序在带有 Endpoint Agent 组件的计算机上启动时,您希望 Kaspersky Anti Targeted Attack Platform 生成事件警报,您可以:
创建 IOC 文件时,请在“威胁搜索”部分查看可用于搜索事件的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。
当 Central Node 服务器收到与创建的 TAA (IOA) 规则匹配的事件时,Kaspersky Anti Targeted Attack Platform 会生成警报。
您还可以根据已加载的 IOC 文件中的条件创建 TAA (IOA) 规则。为此:
在分布式解决方案和多租户模式下,TAA(IOA)规则可以有以下类型之一:
下表总结了用户规则和卡巴斯基规则之间的差异。
TAA(IOA)规则对比
特征 |
用户定义的 TAA (IOA) 规则 |
Kaspersky TAA (IOA) 规则 |
---|---|---|
关于响应事件的建议 |
否 |
是 您可以在 |
与MITRE ATT&CK 数据库中的技术对应 |
否 |
是 您可以 |
在TAA(IOA)规则表中显示 |
是 |
否 |
能够禁用此规则的数据库查找 |
||
能够删除或添加规则 |
规则与应用程序数据库一起更新 |
|
使用TAA (IOA) 规则信息窗口中的警报和事件链接 |
使用警报信息窗口中的警报和事件链接 |
具有高级安全官角色的用户可以创建、导入、删除、启用或禁用TAA (IOA) 规则,以及从扫描中排除 Kaspersky TAA (IOA) 规则。具有安全官或者安全审计员角色的用户可以使用 TAA(IOA)规则在事件和警报数据库中搜索针对性攻击迹象、受感染和可能受感染的对象,并查看 TAA(IOA)规则表和TAA(IOA)规则信息。