Добавление правила TAA (IOA) в исключения

Вы можете добавить в исключения только правила TAA (IOA) "Лаборатории Касперского". Если вы не хотите применять при проверке событий пользовательское правило TAA (IOA), вы можете отключить это правило или удалить его.

Чтобы добавить правило TAA (IOA) в исключения из раздела Обнаружения:

В окне веб-интерфейса приложения выберите раздел Обнаружения.
Откроется таблица обнаружений.
По ссылке в столбце Технологии откройте окно настройки фильтрации.
В раскрывающемся списке слева выберите Содержит.
В раскрывающемся списке справа выберите технологию (TAA) Targeted Attack Analyzer.
Нажмите на кнопку Применить.
В таблице отобразятся обнаружения, выполненные технологией TAA на основе правил TAA (IOA).
Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила.
Откроется окно с информацией об обнаружении.
В блоке Результаты проверки по ссылке с названием правила откройте окно с информацией о правиле.
Справа от названия параметра Исключение TAA (IOA) нажмите на кнопку Добавить в исключения.
Откроется окно добавления правила TAA (IOA) в исключения.
В поле Исключать правило выберите режим работы исключения:
- Всегда, если вы хотите, чтобы приложение не создавало обнаружения для событий, соответствующих выбранному правилу TAA (IOA).
- При условии, если вы хотите, чтобы приложение не создавало обнаружения только для событий, подходящих под заданные условия. Для событий, которые соответствуют правилу TAA (IOA) при заданных условиях исключения, приложение создаст обнаружения.
  Если вы выбрали При условии, выполните следующие действия:
  1. По ссылке Настройка дополнительных условий откройте форму поиска событий.
  2. Если вы используете режим распределенного решения и мультитенантности и хотите включить отображение событий по всем тенантам, включите переключатель Искать по всем тенантам.
    Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.
    
    Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
  3. Выполните поиск событий в режиме конструктора.
    Отобразится таблица событий, соответствующих правилу TAA (IOA) при заданных условиях исключения.
    
    Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.
  4. Нажмите на имя того сервера, события которого вы хотите просмотреть.
    Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.
    
    При необходимости вы можете изменить условия поиска событий.
  5. Нажмите на кнопку Добавить исключение.
Если вы используете режим распределенного решения и мультитенантности, в поле Применить к серверам* установите флажки напротив тенантов и серверов, к которым будет применяться правило.
Нажмите на кнопку Добавить.

Правило TAA (IOA) будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке TAA (IOA). Это правило не будет применяться при создании обнаружений.

Чтобы добавить правило TAA (IOA) в исключения из раздела Поиск угроз:

В окне веб-интерфейса приложения выберите раздел Поиск угроз.
Откроется форма поиска событий.
Задайте условия поиска и нажмите на кнопку Найти. Например, вы можете выбрать критерии для поиска событий в группе Свойства TAA в режиме конструктора.
Отобразится таблица событий, удовлетворяющих условиям поиска.
Выберите событие.
Справа от названия параметра Теги IOA нажмите на имя правила.
Откроется окно с информацией о правиле.
Справа от названия параметра Исключение TAA (IOA) нажмите на кнопку Добавить в исключения.
Откроется окно добавления правила TAA (IOA) в исключения.
В поле Исключать правило выберите режим работы исключения:
- Всегда, если вы хотите, чтобы приложение не создавало обнаружения для событий, соответствующих выбранному правилу TAA (IOA).
- При условии, если вы хотите, чтобы приложение не создавало обнаружения только для событий, подходящих под заданные условия. Для событий, которые соответствуют правилу TAA (IOA) при заданных условиях исключения, приложение создаст обнаружения.
  Если вы выбрали При условии, выполните следующие действия:
  1. По ссылке Настройка дополнительных условий откройте форму поиска событий.
  2. Если вы используете режим распределенного решения и мультитенантности и хотите включить отображение событий по всем тенантам, включите переключатель Искать по всем тенантам.
  3. Выполните поиск событий в режиме конструктора.
    Отобразится таблица событий, соответствующих правилу TAA (IOA) при заданных условиях исключения.
    
    Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.
  4. Нажмите на имя того сервера, события которого вы хотите просмотреть.
    Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.
    
    При необходимости вы можете изменить условия поиска событий.
  5. Нажмите на кнопку Добавить исключение.
Нажмите на кнопку Добавить.

При создании поискового запроса, сохраняемого как условия исключения, не рекомендуется использовать следующие поля:

IOAId.
IOATag.
IOATechnique.
IOATactics.
IOAImportance.
IOAConfidence.

Перечисленные поля отображаются только после того, как Kaspersky Anti Targeted Attack Platform отмечает события как подходящие под правила TAA (IOA).

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция добавления правила TAA (IOA) в исключения недоступна.

См. также

Просмотр таблицы правил TAA (IOA), добавленных в исключения

Просмотр правила TAA (IOA), добавленного в исключения

Удаление правил TAA (IOA) из исключений

В начало