管理使用者定義的 TAA (IOA) 規則

自訂 TAA (IOA) 規則是根據事件資料庫搜尋條件建立的。例如，當您認為不安全的應用程式在具有 Endpoint Agent 元件的電腦上啟動時，您希望 Kaspersky Anti Targeted Attack Platform 產生事件警示，您可以：

1. 手動向事件資料庫產生搜尋查詢，或上傳帶有入侵指標的 IOC 檔案或帶有 Sigma 規則的YAML 檔案來偵測此應用程式。

   建立 IOC 檔案時，請在“威脅搜尋”部分檢視可用於搜尋事件的 IOC 術語清單。您可以透過從下面的連結下載檔案來檢視受支援的 IOC 術語清單。

   在“威脅搜尋”部分搜尋事件的 IOC 術語

2. 根據事件搜尋條件建立自訂 TAA (IOA) 規則。

   當 Central Node 伺服器收到與建立的 TAA (IOA) 規則相符的事件時，Kaspersky Anti Targeted Attack Platform 就會產生警示。

您也可以根據已載入的 IOC 檔案中的條件建立 TAA (IOA) 規則。為此：

1. 尋找與所選檔案的條件相對應的事件。
2. 根據所選檔案中的事件搜尋條件建立 TAA (IOA) 規則。

在分佈式解決方案和多租戶模式下，TAA（IOA）規則可以有以下類型之一：

• 全球— 在 PCN 伺服器上建立。這些規則用於掃描此 PCN 伺服器以及連線到此 PCN 伺服器的所有 SCN 伺服器上的事件。掃描的事件屬於使用者在應用程式 Web 介面中管理的租戶。
• 本機— 在 SCN 伺服器上建立。這些規則用於掃描此 SCN 伺服器上的事件。掃描的事件屬於使用者在應用程式 Web 介面中管理的租戶。

下表總結了使用者規則和卡巴斯基規則之間的差異。

TAA（IOA）規則對比

特徵	使用者定義的 TAA (IOA) 規則	Kaspersky TAA (IOA) 規則
關於回應事件的建議	否	是 您可以在 警示訊息中檢視推薦
與 MITRE ATT&CK 資料庫中的技術對應 MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。	否	是 您可以 根據 MITRE 資料庫在警示資訊中檢視技術描述
在TAA（IOA）規則表中顯示	是	否
能夠停用此規則的資料庫查找	停用規則	將規則新增至 TAA 排除項
能夠刪除或新增規則	您可以在應用程式的 Web 介面中刪除或新增規則	規則與應用程式資料庫一起更新 並且不能被使用者刪除
搜尋其中觸發了 TAA (IOA) 規則的警示和事件	使用 TAA (IOA) 規則資訊視窗中的警示和事件連結	使用警示訊息視窗中的警示和事件連結

具有資深安全員角色的使用者可以建立、匯入、刪除、啟用或停用 TAA (IOA) 規則，以及從掃描中排除 Kaspersky TAA (IOA) 規則。具有安全官或者安全稽核員角色的使用者可以使用 TAA（IOA）規則在事件和警示資料庫中搜尋針對性攻擊跡象、受感染和可能受感染的物件，並檢視 TAA（IOA）規則表和 TAA（IOA）規則資訊。

本節內容 檢視 TAA（IOA）規則表 根據事件搜尋條件建立 TAA (IOA) 規則 匯入 TAA (IOA) 規則 檢視自訂 TAA (IOA) 規則詳細資訊 搜尋其中觸發了 TAA (IOA) 規則的警示和事件 篩選與搜尋 TAA (IOA) 規則 重置 TAA (IOA) 規則篩選器 啟用和停用 TAA (IOA) 規則 修改 TAA (IOA) 規則 删除 TAA (IOA) 規則

頁面頂部