Работа с TAA-исключениями
Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", содержат признаки подозрительного поведения объекта в IT-инфраструктуре организации. Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и создает обнаружения для событий, которые совпадают с поведением, описанным в правилах TAA (IOA). Если вы хотите, чтобы приложение не создавало обнаружения для событий, сформированных в результате нормальной для вашей организации активности хоста, вы можете добавить правило TAA (IOA) в исключения.
В приложении предусмотрены следующие режимы работы правил TAA (IOA), добавленных в исключения:
- Правило исключается всегда.
В этом случае Kaspersky Anti Targeted Attack Platform не отмечает события как соответствующие правилу TAA (IOA) и не создает обнаружения по этому правилу.
- Правило дополняется условием.
В этом случае правило TAA (IOA) дополняется условиями в виде поискового запроса. Kaspersky Anti Targeted Attack Platform не отмечает события, подходящие под заданные условия, как соответствующие правилу TAA (IOA). Для событий, которые соответствуют правилу TAA (IOA), но не соответствуют условиям примененного исключения, приложение отмечает события и создает обнаружения.
Если вы используете режим распределенного решения и мультитенантности, исключения TAA могут быть следующих типов:
- Локальный – созданные на сервере SCN. Действие исключений распространяется только на хосты, подключенные к этому серверу SCN. Исключения относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.
- Глобальный – созданные на сервере PCN. Действие исключений распространяется на хосты, подключенные к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN. Исключения относятся к тенанту, в рамках которой пользователь работает в веб-интерфейсе приложения.
Пользователи с ролью Старший сотрудник службы безопасности могут создавать, редактировать, удалять исключения в рамках тех тенантов, к данным которых у них есть доступ.
Пользователи с ролью Аудитор и Сотрудник службы безопасности могут только просматривать список исключений TAA и свойства выбранного исключения.
Для каждого правила TAA (IOA) можно создать только одно локальное или глобальное исключение.
Если для одного правила TAA (IOA) созданы исключения на сервере SCN и PCN, Kaspersky Anti Targeted Attack Platform обрабатывает события в соответствии с параметрами, заданными для исключения на сервере PCN.