將 TAA (IOA) 規則新增到排除項目
您只能排除卡巴斯基 TAA (IOA) 規則。如果您不想套用使用者定義的 TAA (IOA) 規則進行掃描事件,您可以停用該規則或將其刪除。
要從警示部分將 TAA (IOA) 規則新增至排除項目:
- 在應用程式 Web 介面視窗中,選擇“警示”區域。
這將開啟警示表。
- 點擊技術列中的連結開啟篩選器配置視窗。
- 在左側的下拉清單中,選擇包含。
- 在右側的下拉清單中,選擇(TAA)針對性攻擊分析器技術。
- 點擊套用。
此表顯示 TAA 技術根據 TAA (IOA) 規則產生的警示。
- 選擇一個警示,偵測到列為其顯示相關規則的名稱。
這將開啟一個視窗,其中包含有關警示的資訊。
- 在掃描結果下面,點擊帶有規則名稱的連結以開啟規則資訊視窗。
- 在TAA 排除項目設定名稱右側,點擊新增到排除項目。
這將開啟一個視窗,允許您將 TAA (IOA) 規則新增至排除項目。
- 在排除規則欄位中,選擇排除操作模式:
- 總是,如果您不希望應用程式為與所選 TAA (IOA) 規則相符的事件建立警示。
- 根據條件,如果您不希望應用程式只為符合指定條件的事件建立事件。將為與 TAA (IOA) 規則相符的事件建立警示,並考慮了配置的排除條件。
如果您選擇了根據條件:
- 如果您使用分佈式解決方案和多租戶模式,請在套用到伺服器*欄位中選擇必須對其應用規則的租戶和伺服器的核取方塊。
- 點擊新增。
TAA (IOA) 規則將會被新增到排除項目中,並顯示在應用程式 Web 介面中排除項目清單的設定部分、排除項目子部分、TAA頁簽上。此規則不再被用於建立偵測。
要從威脅搜尋部分將 TAA (IOA) 規則加入排除項目:
- 選擇程式 Web 介面視窗中的威脅搜尋部分。
這將開啟事件搜尋表單。
- 定義搜尋條件並點擊搜尋按鈕。例如,您可以在建構器模式下在TAA 屬性群組中選擇事件搜尋條件。
滿足搜尋條件的事件表將顯示。
- 選擇一個事件。
- 在IOA 標記設定右側,點擊規則名稱。
這將開啟一個視窗,其中包含有關規則的資訊。
- 在TAA 排除項目設定名稱右側,點擊新增到排除項目。
這將開啟一個視窗,允許您將 TAA (IOA) 規則新增至排除項目。
- 在排除規則欄位中,選擇排除操作模式:
- 總是,如果您不希望應用程式為與所選 TAA (IOA) 規則相符的事件建立警示。
- 根據條件,如果您不希望應用程式只為符合指定條件的事件建立事件。將為與 TAA (IOA) 規則相符的事件建立警示,並考慮了配置的排除條件。
如果您選擇了根據條件:
- 點擊配置附加條件開啟事件搜尋表單。
- 如果您使用的是分佈式解決方案和多租戶模式,並且希望為所有租戶啟用事件顯示,請開啟在所有租戶中搜尋切換開關。
- 在建構器模式下執行事件搜尋。
一個表格將顯示,其中包含與給定指定排除條件的 TAA (IOA) 規則相符的事件。
如果您使用分佈式解決方案和多租戶模式,則找到的事件將按層分組:伺服器– 租戶名稱– 伺服器名稱。
- 點擊您要檢視其事件的伺服器的名稱。
所選伺服器的主機表將顯示。事件分組層級顯示在表格上方。
如有必要,您可以變更事件搜尋條件。
- 點擊新增排除項目。
- 點擊新增。
TAA (IOA) 規則將會被新增到排除項目中,並顯示在應用程式 Web 介面中排除項目清單的設定部分、排除項目子部分、TAA頁簽上。掃描事件時不再套用此規則。
建立要儲存為排除條件的搜尋查詢時,請避免使用下列欄位:
- IOAd。
- IOATag。
- IOATechnique。
- IOATactics。
- IOAImportance。
- IOAConfidence。
只有當 Kaspersky Anti Targeted Attack Platform 將事件標記為符合 TAA (IOA) 規則後,這些欄位才會顯示。
具有安全稽核員和安全官角色的使用者無法將 TAA (IOA) 規則新增至排除項目。