管理 TAA 排除項目
由卡巴斯基專家建立的 TAA (IOA) 規則包含企業 IT 基礎架構中物件可疑行為的指標。Kaspersky Anti Targeted Attack Platform 可掃描應用程式的事件資料庫,並為與 TAA (IOA) 規則所描述的行為相符的事件建立警示。如果您不希望應用程式為作為組織正常的主機活動的一部分產生的事件建立警示,您可以將 TAA (IOA) 規則新增至排除項目。
被新增到排除項目的 TAA (IOA) 規則模式可以在以下模式下運作:
- 規則始終被排除在外。
在這種情況下,Kaspersky Anti Targeted Attack Platform 不會將事件標記為與 TAA (IOA) 規則匹配,也不會根據該規則建立警示。
- 規則由條件補充。
在這種情況下,TAA(IOA)規則由條件以搜尋查詢形式補充。Kaspersky Anti Targeted Attack Platform 不會將符合指定條件的事件標記為符合TAA (IOA) 規則。對於與 TAA (IOA) 規則相符但不符合應用的排除條件的事件,應用程式會標記事件並建立警示。
如果您使用分佈式解決方案和多租戶模式,TAA 排除項可以有以下類型:
- 本機—在 SCN 伺服器上建立。這些排除項僅目適用於連線到此 SCN 伺服器的主機。排除項屬於使用者在應用程式 Web 介面中管理的租戶。
- 全球— 在 PCN 伺服器上建立。排除項適用於連線到此 PCN 伺服器的主機以及連線到此 PCN 伺服器的所有 SCN 伺服器。排除項屬於使用者在應用程式 Web 介面中管理的租戶。
具有資深安全員角色的使用者可以為其有權存取資料的租戶建立、編輯和刪除排除項目。
具有安全稽核員和安全官角色的使用者只能檢視 TAA 排除項清單以及所選排除項目的屬性。
對於每個 TAA (IOA) 規則,您只能建立一個本機或全域排除項目。
如果一條TAA (IOA) 規則在 SCN 伺服器和 PCN 伺服器上都建立了排除項,Kaspersky Anti Targeted Attack Platform 將根據PCN 伺服器上的排除設定處理事件。