处理 IOC 警报的建议

在窗口的右侧部分,建议部分显示您可以遵循的建议,以及与您正在处理的警报具有共同属性的警报的数量。

您可以遵循以下建议:

要创建主机隔离规则,请输入以下设置:

  1. 此时间后禁用隔离字段中,输入以小时为单位的时间(1 到 9999),在此期间主机的网络隔离将处于活动状态。
  2. 主机隔离规则排除项设置组中的流量方向列表中,选择必须放行的网络流量方向:
    • 传入/传出
    • 传入
    • 传出
  3. IP字段,输入必须放行的网络流量的 IP 地址。

    如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件,则可以使用代理服务器将 Kaspersky Endpoint Agent for Windows 与 Kaspersky Anti Targeted Attack Platform 进行连接。当您将此代理服务器添加到排除项时,可通过代理服务器访问的网络资源也被添加到排除项。如果通过代理服务器访问的网络资源已被添加到排除项,但代理服务器本身未被添加到排除项,则此类排除项不起作用。

  4. 如果您选择了传入传出,请在端口字段中输入连接端口。
  5. 如果您想添加多个排除项,请单击添加并重复上述步骤填写流量方向IP端口字段。
  6. 单击保存

另请参阅

警报处理建议

AM 警报处理建议

TAA 警报处理建议

SB 警报处理建议

YARA 警报处理建议

IDS 警报处理建议

页面顶部