管理 TAA 排除项
由卡巴斯基专家创建的TAA (IOA) 规则包含企业 IT 基础架构中对象可疑行为的指标。Kaspersky Anti Targeted Attack Platform 可扫描应用程序的事件数据库,并为与 TAA (IOA) 规则描述的行为相匹配的事件创建警报。如果您不希望应用程序为作为组织正常的主机活动的一部分生成的事件创建警报,您可以将 TAA (IOA) 规则添加到排除项。
被添加到排除项的 TAA (IOA) 规则模式可以在以下模式下工作:
- 规则始终被排除在外。
在这种情况下,Kaspersky Anti Targeted Attack Platform 不会将事件标记为与 TAA (IOA) 规则匹配,也不会根据该规则创建警报。
- 规则由条件补充。
在这种情况下,TAA(IOA)规则由条件以搜索查询形式补充。Kaspersky Anti Targeted Attack Platform 不会将符合指定条件的事件标记为符合 TAA (IOA) 规则。对于与 TAA (IOA) 规则匹配但不满足应用的排除条件的事件,应用程序会标记事件并创建警报。
如果您使用分布式解决方案和多租户模式,TAA 排除项可以有以下类型:
- 本地—在 SCN 服务器上创建。这些排除项仅适用于连接到此 SCN 服务器的主机。排除项属于用户在应用程序 Web 界面中管理的租户。
- 全球—在 PCN 服务器上创建。排除项适用于连接到此 PCN 服务器的主机以及连接到此 PCN 服务器的所有 SCN 服务器。排除项属于用户在应用程序 Web 界面中管理的租户。
具有高级安全官角色的用户可以为其有权访问数据的租户创建、编辑和删除排除项。
具有安全审计员和安全官角色的用户只能查看 TAA 排除项列表以及所选排除项的属性。
对于每条 TAA (IOA) 规则,您只能创建一个本地或全局排除项。
如果一条 TAA (IOA) 规则在 SCN 服务器和 PCN 服务器上都创建了排除项,Kaspersky Anti Targeted Attack Platform 将根据 PCN 服务器上的排除设置处理事件。