該應用程式在分析網路流量時會註冊事件。網路流量分析是 NDR 功能的一部分。
網路流量事件(也稱為 NDR 事件)是包含有關偵測網路流量中需要資訊安全專業人員注意的某些變更或條件的資訊的記錄。NDR 事件被註冊並傳送到 Central Node。伺服器會處理收到的事件並將其儲存在資料庫中。
聚合事件是一種特殊類型的事件,在收到特定序列的 NDR 事件時會被註冊。聚合事件將具有一些共同特徵或與相同流程相關的 NDR 事件分組。
應用程式根據事件關聯規則註冊聚合事件。事件關聯規則描述了掃描事件序列的條件。當偵測到符合規則條件的一系列 NDR 事件時,應用程式會註冊一個提及觸發規則名稱的聚合事件。聚合事件註冊的系統事件類型代碼為8000000001。
事件關聯規則內建在應用程式中,無論安全性政策如何都會應用。
應用程式安裝後,使用原有的事件關聯規則。為了提高規則的有效性,卡巴斯基定期使用規則集更新資料庫。您可以透過安裝更新來更新關聯規則。
Kaspersky Anti Targeted Attack Platform 伺服器會根據註冊事件類型指定的設定來註冊 NDR 事件。您可以在“配置事件類型”部分配置這些設定。
為了減少不需要使用者註意的頻繁重複 NDR 事件的數量,您可以建立事件允許規則。滿足允許規則的 NDR 事件不會被註冊。例如,您可以使用允許規則暫時停用來自特定監控點的所有事件的註冊。您可以在“設定”部分,“允許規則”子部分中檢視事件的允許規則。為此類規則指明了 EVT 類型。
該應用程式將 NDR 事件和聚合事件儲存在 Central Node 的資料庫中。儲存記錄的總量不能超出配置的限制。如果數量超出限制,應用程式會自動刪除最舊的記錄。但是,如果配置了最短儲存期限,則刪除時間小於最短期限的記錄時,相應的訊息將記錄在應用程式訊息日誌中。您可以配置事件和事故儲存設定。
您可以在“網路流量事件”部分檢視有關 NDR 事件和聚合事件的資訊。此部分顯示有關 NDR 事件和聚合事件的詳細資訊,並允許從伺服器資料庫載入任何時期的資訊。
具有以下角色的使用者可以使用網路流量事件操作:“安全官”或者“資深安全員”角色。具有“安全稽核員”角色的使用者可以檢視事件。
如果存在有效的 KATA+NDR 產品授權金鑰,則會產生 NDR 事件。產品授權金鑰過期後,建立的事件仍然可供檢視,但不會建立相關警示。