根據 Kaspersky TAA (IOA) 規則進行事件鏈掃描

有些網路攻擊只有透過檢視特定的事件序列才能偵測到。如果啟用了事件鏈掃描功能，Kaspersky Anti Targeted Attack Platform 會根據 Kaspersky TAA (IOA) 規則標記到達 Central Node 伺服器的事件，當偵測到可疑事件序列時，會在警示表中記錄警示。

您可以透過以下方式之一檢視由 Kaspersky TAA (IOA) 規則標記的事件：

• 透過使用下列條件對事件資料庫建立搜尋查詢：IOATag、IOAImportance、IOAConfidence。
• 檢視事件和警示時。

Kaspersky TAA (IOA) 規則無法編輯。如果您不希望應用程式為作為對您組織正常的主機活動的一部分產生的事件建立警示，您可以將 TAA (IOA) 規則新增至排除項目。每個 Kaspersky TAA (IOA) 規則只能建立一個排除項目。

在分佈式解決方案和多租戶模式下，您必須在要使用它的每個 Central Node 伺服器上啟用事件鏈掃描功能。如果 Central Node 元件被部署為叢集，您可以在叢集中的任何伺服器上啟用該功能。

使用掃描事件鏈的 TAA（IOA）規則會導致更高的系統資源使用率。如果您在使用應用程式時遇到效能問題，我們建議停用此功能。

在小工具中顯示事件鏈資訊的特殊注意事項

前 10 個小工具僅顯示有關觸發 TAA（IOA）規則的事件的資訊。小工具不會考慮先前發生並參與事件鏈但未觸發規則的事件。因此，小工具報告的事件數可能與您點擊帶有主機名稱和 TAA (IOA) 規則名稱的連結時顯示的事件數不符。

頁面頂部