Просмотр правила TAA (IOA), добавленного в исключения
Чтобы просмотреть правило TAA (IOA), добавленное в исключения:
В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения и перейдите на закладку TAA (IOA).
Отобразится таблица правил TAA (IOA), добавленных в исключения.
Выберите правило, которое вы хотите просмотреть.
Откроется окно с информацией о правиле.
Окно содержит следующую информацию:
Правило TAA (IOA) – по ссылке открывается окно с описанием техники MITRE, соответствующей этому правилу, рекомендациями по реагированию на событие и данными о вероятности ложных срабатываний.
ID – идентификатор, присваиваемый приложением каждому правилу.
Имя – имя правила, которое вы указали при добавлении правила.
Важность – оценка возможного влияния события на безопасность компьютеров или локальной сети организации, по оценке специалистов "Лаборатории Касперского".
Надежность – уровень надежности в зависимости от вероятности ложных срабатываний, по оценке специалистов "Лаборатории Касперского".
Исключать правило – режим работы правила, добавленного в исключения.
Всегда – правило исключается всегда. В этом случае Kaspersky Anti Targeted Attack Platform не отмечает события как соответствующие правилу TAA (IOA) и не создает обнаружения по этому правилу.
При условии – правило исключается при добавлении условия. В этом случае правило TAA (IOA) дополняется условиями в виде поискового запроса. Kaspersky Anti Targeted Attack Platform не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, программа отмечает события и создает обнаружения.
Настройка дополнительных условий – по ссылке открывается форма поиска событий с условиями поискового запроса.
Поле отображается, если при добавлении правила TAA (IOA) в исключения вы выбрали режим работы правила При условии и задали условия поискового запроса.
Условия поискового запроса в формате <IOA ID> AND NOT <условия поискового запроса>.
Условия поискового запроса отображаются, если при добавлении правила TAA (IOA) в исключения вы выбрали режим работы правила При условии и задали условия поискового запроса.
Применить к серверам* – хосты, к которым применяется исключение.
Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.
Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления –Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).