Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).
Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.
Индикатор IOA – это правило (далее также "правило TAA (IOA)"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и отмечает события или последовательность событий, которые совпадают с поведением, описанным в правилах TAA (IOA). При проверке используется технология потоковой проверки, при которой события, получаемые с защищаемых устройств, проверяются непрерывно в режиме реального времени.
Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", используются в работе технологии TAA (Targeted Attack Analyzer) и обновляются вместе с базами приложения. Они не отображаются в интерфейсе приложения и не могут быть отредактированы.
Вы можете добавлять пользовательские правила IOC и TAA (IOA), используя IOC-файлы открытого стандарта описания OpenIOC, а также создавать правила TAA (IOA) на основе условий поиска по базе событий.
Сравнительные характеристики индикаторов компрометации (IOC) и атаки (IOA) приведены в таблице ниже.
Сравнительные характеристики индикаторов IOC и IOA
Сравнительная характеристика |
Индикаторы IOC в пользовательских правилах IOC |
Индикаторы IOA в пользовательских правилах TAA (IOA) |
Индикаторы IOA в правилах TAA (IOA), сформированных специалистами "Лаборатории Касперского" |
---|---|---|---|
Область проверки |
Компьютеры с компонентом Endpoint Agent |
База событий приложения |
База событий приложения |
Механизм проверки |
Периодическая проверка |
Потоковая проверка |
Потоковая проверка |
Возможность добавить в исключения из проверки |
Нет. |
Не требуется. Пользователи с ролью Старший сотрудник службы безопасности могут изменить текст индикатора в пользовательских правилах TAA (IOA) согласно требуемым условиям. |
Есть. |
Если вы используете режим распределенного решения и мультитенантности, в разделе отображаются данные по выбранному вами тенанту.
В начало