处理 IOC 警报的建议

在窗口的右侧部分，建议部分显示您可以遵循的建议，以及与您正在处理的警报具有共同属性的警报的数量。

您可以遵循以下建议：

• 在分类下面，选择通过主机名查找类似警报。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按源列筛选。您正在处理的警报中的主机名以黄色突出显示。
• 在分类下面，选择通过 IOC 查找类似警报。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按检测到列、您正在处理的警报中的 IOC 文件的名称筛选。
• 在快速响应部分，选择隔离<主机名>。这将打开网络隔离规则创建窗口。

要创建主机隔离规则，请输入以下设置：

1. 在此时间后禁用隔离字段中，输入以小时为单位的时间（1 到 9999），在此期间主机的网络隔离将处于活动状态。
2. 在主机隔离规则排除项设置组中的流量方向列表中，选择必须放行的网络流量方向：
   • 传入/传出。
   • 传入。
   • 传出。
3. 在IP字段，输入必须放行的网络流量的 IP 地址。

   如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件，则可以使用代理服务器将 Kaspersky Endpoint Agent for Windows 与 Kaspersky Anti Targeted Attack Platform 进行连接。当您将此代理服务器添加到排除项时，可通过代理服务器访问的网络资源也被添加到排除项。如果通过代理服务器访问的网络资源已被添加到排除项，但代理服务器本身未被添加到排除项，则此类排除项不起作用。

4. 如果您选择了传入或传出，请在端口字段中输入连接端口。
5. 如果您想添加多个排除项，请单击添加并重复上述步骤填写流量方向、IP和端口字段。
6. 单击保存。

另请参阅 警报处理建议 AM 警报处理建议 TAA 警报处理建议 SB 警报处理建议 YARA 警报处理建议 IDS 警报处理建议

页面顶部