Проверка цепочек событий по правилам TAA (IOA) "Лаборатории Касперского"

Существуют кибератаки, которые можно выявить только по определенной последовательности событий. Если функция проверки цепочек событий включена, Kaspersky Anti Targeted Attack Platform отмечает события, поступающие на сервер Central Node, по правилам TAA (IOA) "Лаборатории Касперского" и при обнаружении подозрительной последовательности событий записывает обнаружение в таблицу обнаружений.

Вы можете просмотреть события, отмеченные правилом TAA (IOA) "Лаборатории Касперского", одним из следующих способов:

• Создав поисковый запрос по базе событий со следующими критериями: IOATag, IOAImportance, IOAConfidence.
• При просмотре событий и обнаружений.

Редактирование правил TAA (IOA) "Лаборатории Касперского" не предусмотрено. Если вы хотите, чтобы приложение не создавало обнаружения для событий, сформированных в результате нормальной для вашей организации активности хоста, вы можете добавить правило TAA (IOA) в исключения. Для одного правила TAA (IOA) "Лаборатории Касперского" можно создать только одно исключение.

В режиме распределенного решения и мультитенантности вам нужно включить проверку цепочек событий на каждом сервере Central Node, на котором вы хотите использовать функцию. Если компонент Central Node развернут в виде кластера, вы можете включить функцию на любом сервере кластера.

Особенности отображения информации о цепочках событий на виджетах

На виджетах топ 10 отображается информация только о событиях, которые вызвали срабатывание правила TAA (IOA). События, которые произошли ранее и участвуют в построении цепочки событий, но не вызвали срабатывание правила, в виджетах не учитываются. В связи с этим возможно расхождение между количеством событий, указанном в виджете, и количестве событий, которое отображается в выборке при переходе по ссылке с именем хоста и названию правила TAA (IOA).

В начало