Kaspersky Anti Targeted Attack Platform
- Справка Kaspersky Anti Targeted Attack Platform
- Kaspersky Anti Targeted Attack Platform
- Что нового
- О Kaspersky Threat Intelligence Portal
- Комплект поставки
- Аппаратные и программные требования
- Совместимость версий Kaspersky Endpoint Agent для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Agent для Windows с приложениями EPP
- Совместимость версий Kaspersky Endpoint Security для Windows с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий Kaspersky Endpoint Security для Linux с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Endpoint Security для Mac с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KUMA с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий XDR с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость версий KPSN с версиями Kaspersky Anti Targeted Attack Platform
- Совместимость Kaspersky Anti Targeted Attack Platform с VK Cloud
- Ограничения
- Предоставление данных
- Служебные данные приложения
- Данные компонентов Central Node и Sensor
- Данные компонента Sandbox
- Данные, пересылаемые между компонентами приложения
- Данные в файлах трассировки приложения
- Данные Kaspersky Endpoint Agent для Windows
- Данные Kaspersky Endpoint Security для Windows
- Данные Kaspersky Endpoint Security для Linux
- Данные Kaspersky Endpoint Security для Mac
- Лицензирование приложения
- О Лицензионном соглашении
- О лицензионном сертификате
- О лицензии
- О лицензионном ключе
- О файле ключа
- О коде активации
- О подписке
- Добавление лицензионного ключа
- Замена лицензионного ключа
- Удаление лицензионного ключа
- Просмотр информации о добавленных лицензионных ключах в веб-интерфейсе Central Node
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Central Node
- Просмотр текста Политики конфиденциальности в веб-интерфейсе Central Node
- Просмотр информации о стороннем коде, используемом в приложении
- Просмотр текста Лицензионного соглашения в веб-интерфейсе Sandbox
- Просмотр текста Лицензионного соглашения компонента Endpoint Agent
- Режимы работы приложения в соответствии с лицензией
- Архитектура приложения
- Принцип работы приложения
- Распределенное решение и мультитенантность
- Сценарий перехода в режим распределенного решения и мультитенантности
- Изменения в параметрах приложения при переходе в режим распределенного решения и мультитенантности
- Назначение серверу роли PCN
- Назначение серверу роли SCN
- Просмотр информации о тенантах, серверах PCN и SCN
- Добавление тенанта на сервере PCN
- Удаление тенанта на сервере PCN
- Изменение названия тенанта на сервере PCN
- Отключение SCN от PCN
- Изменения в параметрах приложения при отключении SCN от PCN
- Руководство по масштабированию
- Установка и первоначальная настройка приложения
- Подготовка к установке компонентов приложения
- Подготовка IT-инфраструктуры к установке компонентов приложения
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для приема сообщений по протоколу POP3
- Подготовка IT-инфраструктуры к интеграции с почтовым сервером для отправки сообщений по протоколу SMTP
- Подготовка виртуальной машины к установке компонента Sandbox
- Подготовка установочного образа диска с компонентами Central Node, Sensor и Sandbox
- Порядок установки и настройки компонентов приложения
- Установка компонента Sandbox
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор диска для установки компонента Sandbox
- Шаг 3. Назначение имени хоста
- Шаг 4. Выбор управляющего сетевого интерфейса в списке
- Шаг 5. Назначение адреса и маски сети управляющего интерфейса
- Шаг 6. Добавление адресов DNS-серверов
- Шаг 7. Настройка статического сетевого маршрута
- Шаг 8. Настройка минимальной длины пароля администратора Sandbox
- Шаг 9. Создание учетной записи администратора Sandbox
- Развертывание компонента Central Node со встроенным Sensor в виде кластера
- Развертывание сервера хранения данных
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор режима развертывания
- Шаг 4. Выбор диска для установки компонента
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор кластерного сетевого интерфейса
- Шаг 8. Выбор внешнего сетевого интерфейса
- Шаг 9. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 10. Создание учетной записи администратора и аутентификация сервера в кластере
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Шаг 13. Выбор дисков для Ceph-хранилища
- Развертывание обрабатывающего сервера
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выбор маски сети для адресации серверов кластера
- Шаг 5. Выбор маски сети для адресации компонентов приложения
- Шаг 6. Выбор кластерного сетевого интерфейса
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Аутентификация сервера в кластере
- Шаг 10. Выбор языка локализации функциональности NDR и настройка получения зеркалированного трафика со SPAN-портов
- Очистка жестких дисков на серверах хранения
- Развертывание сервера хранения данных
- Установка компонентов Central Node и Sensor на сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выделение диска для базы данных компонента Targeted Attack Analyzer
- Шаг 5. Выбор маски сети для адресации серверов
- Шаг 6. Выбор маски сети для адресации компонентов приложения
- Шаг 7. Выбор внешнего сетевого интерфейса
- Шаг 8. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 9. Создание учетной записи администратора
- Шаг 10. Выбор языка локализации функционала NDR
- Шаг 11. Добавление адресов DNS-серверов
- Шаг 12. Настройка синхронизации времени с NTP-сервером
- Шаг 13. Настройка получения зеркалированного трафика со SPAN-портов
- Установка компонента Sensor на отдельном сервере
- Шаг 1. Просмотр Лицензионного соглашения и Политики конфиденциальности
- Шаг 2. Выбор роли сервера
- Шаг 3. Выбор диска для установки компонента
- Шаг 4. Выбор маски сети для адресации серверов
- Шаг 5. Выбор маски сети для адресации компонентов приложения
- Шаг 6. Выбор внешнего сетевого интерфейса
- Шаг 7. Выбор способа получения IP-адресов для сетевых интерфейсов
- Шаг 8. Создание учетной записи администратора
- Шаг 9. Добавление адресов DNS-серверов
- Шаг 10. Настройка синхронизации времени с NTP-сервером
- Шаг 11. Настройка получения зеркалированного трафика со SPAN-портов
- Оптимизация настроек сетевых интерфейсов для компонента Sensor
- Подключение и настройка внешнего хранилища для компонента Sensor
- Подготовка к установке компонентов приложения
- Настройка параметров масштабирования приложения
- Настройка интеграции компонента Endpoint Agent с функциональным блоком KEDR
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Настройка проверки TLS-сертификата Kaspersky Endpoint Agent сервером Central Node и загрузка криптоконтейнера в Kaspersky Endpoint Agent
- Загрузка TLS-сертификата сервера Central Node или Sensor в Kaspersky Endpoint Agent
- Настройка интеграции и доверенного соединения с Kaspersky Anti Targeted Attack Platform на стороне Kaspersky Endpoint Agent
- Настройка доверенного соединения с приложением Kaspersky Endpoint Security
- Скачивание TLS-сертификата сервера Central Node на компьютер
- Генерация TLS-сертификата сервера Central Node в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Загрузка самостоятельно подготовленного TLS-сертификата сервера Central Node через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Включение проверки TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Генерация TLS-сертификата компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform и скачивание криптоконтейнера
- Загрузка самостоятельно подготовленного TLS-сертификата компонента Endpoint Agent через веб-интерфейс Kaspersky Anti Targeted Attack Platform
- Просмотр таблицы TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Фильтрация и поиск TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Удаление TLS-сертификатов компонента Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform
- Настройка перенаправления трафика от компонента Endpoint Agent на сервер Sensor
- Настройка доверенного соединения с приложением Kaspersky Endpoint Agent
- Начало работы с приложением
- Управление учетными записями администраторов и пользователей приложения
- Создание учетной записи администратора веб-интерфейса приложения
- Создание учетной записи пользователя веб-интерфейса приложения
- Настройка отображения таблицы учетных записей пользователей
- Просмотр таблицы учетных записей пользователей
- Фильтрация учетных записей
- Сброс фильтра учетных записей
- Изменение прав доступа учетной записи пользователя веб-интерфейса приложения
- Включение и отключение учетной записи администратора или пользователя веб-интерфейса приложения
- Изменение пароля учетной записи администратора или пользователя приложения
- Изменение пароля своей учетной записи
- Аутентификация с помощью доменных учетных записей
- Участие в Kaspersky Security Network и использование Kaspersky Private Security Network
- Работа с компонентом Sandbox через веб-интерфейс
- Обновление баз компонента Sandbox
- Настройка соединения компонентов Sandbox и Central Node
- Настройка сетевых интерфейсов компонента Sandbox
- Установка даты и времени системы Sandbox
- Установка и настройка образов операционных систем и приложений для работы компонента Sandbox
- Работа с образами операционных систем и приложений в Хранилище Sandbox
- Работа с шаблонами виртуальных машин
- Управление виртуальными машинами
- Установка максимального количества одновременно запускаемых виртуальных машин
- Изменение количества лицензионных ключей для виртуальной машины с пользовательским образом операционной системы
- Загрузка журнала системы Sandbox на жесткий диск
- Экспорт параметров Sandbox
- Импорт параметров Sandbox
- Перезагрузка сервера Sandbox
- Выключение сервера Sandbox
- Изменение пароля учетной записи администратора Sandbox
- Администратору: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Выбор тенанта и сервера для работы в разделе Мониторинг
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Изменение отображения данных в виджетах NDR
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Мониторинг приема и обработки входящих данных
- Мониторинг очередей обработки данных модулями и компонентами приложения
- Мониторинг обработки данных компонентом Sandbox
- Просмотр состояния работоспособности модулей и компонентов приложения
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Управление серверами Central Node, PCN или SCN с помощью веб-интерфейса приложения
- Изменение имени сервера
- Настройка даты и времени сервера
- Генерация или загрузка TLS-сертификата сервера
- Скачивание TLS-сертификата сервера на компьютер
- Назначение DNS-имени сервера
- Настройка параметров DNS
- Настройка параметров сетевого интерфейса
- Настройка сетевого маршрута для использования по умолчанию
- Настройка параметров соединения с прокси-сервером
- Настройка параметров соединения с почтовым сервером
- Управление параметрами сохранения трафика
- Управление параметрами сохранения файлов дампа трафика
- Выбор операционных систем для проверки объектов в Sandbox
- Парольные политики
- Управление компонентом Sensor
- Подключение компонента Sensor к Central Node
- Управление сертификатом компонента Sensor
- Вход в веб-интерфейс компонента Sensor
- Изменение имени сервера
- Управление точками мониторинга
- Настройка максимального размера проверяемого файла
- Настройка записи содержимого HTTP-пакета
- Настройка интеграции с почтовым сервером по протоколу SMTP
- Настройка интеграции с прокси-сервером по протоколу ICAP
- Настройка записи зеркалированного трафика со SPAN-портов
- Настройка интеграции с почтовым сервером по протоколу POP3
- Управление кластером
- Уведомления о максимальной загрузке центрального процессора и оперативной памяти серверов Central Node и Sensor
- Настройка соединения с протоколом SNMP
- Работа с информацией о хостах с компонентом Endpoint Agent
- Выбор тенанта для работы в разделе Endpoint Agents
- Просмотр таблицы хостов c компонентом Endpoint Agent на отдельном сервере Central Node
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Автоматическое удаление неактивных хостов
- Поддерживаемые интерпретаторы и процессы
- Настройка интеграции с компонентом Sandbox
- Ручная отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox
- Настройка интеграции с внешними системами
- Настройка интеграции с Kaspersky Managed Detection and Response
- Настройка интеграции с SIEM-системой
- Настройка интеграции компонента Endpoint Agent с функциональным блоком NDR
- Обновление сертификата для подключения к Central Node через API
- Управление коннекторами
- Об управляемых и неуправляемых коннекторах
- Об отправке событий, сообщений приложения и записей аудита в сторонние системы
- Об автоматическом управлении сетевым доступом устройств с помощью коннекторов типа Cisco Switch
- Добавление коннектора
- Просмотр таблицы коннекторов
- Включение и выключение коннектора
- Изменение параметров коннектора
- Создание нового файла свертки для коннектора
- Удаление коннектора
- Добавление и удаление типов коннекторов
- Управление секретами с учетными данными для удаленных подключений
- Обновление баз приложения
- Создание списка паролей для архивов
- Настройка интеграции с приложением ArtX TLSproxy
- Сотруднику службы безопасности: работа в веб-интерфейсе приложения
- Интерфейс Kaspersky Anti Targeted Attack Platform
- Выбор тенанта для работы в веб-интерфейсе приложения
- Мониторинг работы приложения
- О виджетах и схемах расположения виджетов
- Добавление виджета на текущую схему расположения виджетов
- Перемещение виджета на текущей схеме расположения виджетов
- Изменение отображения данных в виджетах NDR
- Удаление виджета с текущей схемы расположения виджетов
- Сохранение схемы расположения виджетов в PDF
- Настройка периода отображения данных на виджетах
- Настройка масштаба отображения виджетов
- Основные принципы работы с виджетами типа "Алерты"
- Информация в виджете Устройства
- Информация в виджете События
- Просмотр состояния работоспособности модулей и компонентов приложения
- Управление технологиями
- Просмотр таблицы алертов
- Настройка отображения таблицы алертов
- Фильтрация, сортировка и поиск алертов
- Фильтрация алертов по наличию статуса VIP
- Фильтрация и поиск алертов по времени
- Фильтрация алертов по степени важности
- Фильтрация и поиск алертов по категориям обнаруженных объектов
- Фильтрация и поиск алертов по полученной информации
- Фильтрация и поиск алертов по адресу источника
- Фильтрация и поиск алертов по адресу назначения
- Фильтрация и поиск алертов по имени сервера
- Фильтрация и поиск алертов по названию технологии
- Фильтрация и поиск алертов по состоянию их обработки пользователем
- Фильтрация и поиск алертов по имени пользователя, которыму они назначены
- Сортировка алертов в таблице
- Быстрое создание фильтра алертов
- Сохранение фильтров
- Сброс фильтра алертов
- Рекомендации по обработке алертов
- Просмотр алертов
- Просмотр информации об алерте
- Общая информация об алерте любого типа
- Информация в блоке Информация об объекте
- Информация в блоке Детали алерта
- Информация в блоке Сведения о проверке технологиями NDR
- Информация в блоке Результаты проверки
- Информация в блоке Правило IDS
- Информация в блоке URL
- Информация в блоке IP устройств, связанных с обнаружением
- Информация в блоке Сетевое событие
- Результаты проверки в Sandbox
- Результаты IOC-проверки
- Информация в блоке Хосты
- Информация в блоке Журнал изменений
- Отправка данных об алерте
- Просмотр связей алерта
- Действия пользователей с алертами
- Мониторинг событий в трафике сети
- Оценки и уровни критичности событий NDR
- Технологии регистрации событий NDR
- Статусы событий NDR
- Таблица зарегистрированных событий NDR
- Настройка таблицы зарегистрированных событий
- Просмотр событий, вложенных в агрегирующее событие
- Просмотр подробных данных о событии NDR
- Изменение статусов событий NDR
- Работа с разрешающими правилами для событий NDR
- Просмотр таблицы разрешающих правил
- Создание разрешающего правила с изначально пустыми значениями или со значениями из шаблона
- Создание разрешающего правила на основе зарегистрированного события
- Копирование разрешающего правила
- Изменение параметров разрешающего правила
- Включение и выключение разрешающих правил
- Удаление разрешающих правил
- Установка меток
- Копирование событий NDR в текстовый редактор
- Загрузка трафика для событий
- Создание директории для экспорта событий на сетевой ресурс
- Поиск угроз по базе событий
- Поиск событий в режиме конструктора
- Поиск событий в режиме исходного кода
- Конвертация в запрос для поиска событий в режиме исходного кода
- Критерии для поиска событий
- Операторы
- Сортировка событий в таблице
- Изменение условий поиска событий
- Поиск событий по результатам их обработки в приложениях EPP
- Поиск событий по условиям, заданным в файле формата IOC и YAML
- Создание правила TAA (IOA) на основе условий поиска событий
- Информация о событиях
- Рекомендации по обработке событий
- Информация о событиях в дереве событий
- Просмотр таблицы событий
- Настройка отображения таблицы событий
- Просмотр информации о событии
- Информация о событии Запущен процесс
- Информация о событии Завершен процесс
- Информация о событии Загружен модуль
- Информация о событии Удаленное соединение
- Информация о событии Правило запрета
- Информация о событии Заблокирован документ
- Информация о событии Изменен файл
- Информация о событии Журнал событий ОС
- Информация о событии Изменение в реестре
- Информация о событии Прослушан порт
- Информация о событии Загружен драйвер
- Информация о событии DNS
- Информация о событии LDAP
- Информация о событии Именованный канал
- Информация о событии WMI
- Информация о событии Обнаружение
- Информация о событии Результат обработки обнаружения
- Информация о событии Интерпретированный запуск файла
- Информация о событии AMSI-проверка
- Информация о событии Интерактивный ввод команд в консоли
- Информация о событии Внедрение кода
- Информация о событии Доступ к процессу
- Проверка цепочек событий по правилам TAA (IOA) "Лаборатории Касперского"
- Управление активами
- Просмотр таблицы устройств
- Просмотр информации об устройстве
- Автоматическое добавление и обновление устройств
- Добавление устройств вручную
- Автоматическое присвоение статусов устройств
- Автоматическая группировка устройств по заданному критерию
- Распределение устройств по группам вручную
- Перемещение серверов с компонентами и групп в другие группы на карте сетевых взаимодействий
- Дерево групп устройств
- Формирование дерева групп устройств вручную
- Установка и удаление меток для устройств
- Групповое реагирование
- Контроль пользователей на устройствах
- Контроль запусков исполняемых файлов на устройствах
- Задания активных опросов устройств
- Добавление задания активного опроса
- Изменение задания активного опроса
- Просмотр таблицы заданий активных опросов
- Запуск и остановка заданий активных опросов
- Просмотр общих сведений о выполнении запусков заданий активных опросов
- Просмотр отчета о выполнении задания активного опроса
- Удаление заданий активных опросов
- Настройка адресных пространств
- Работа с картой сетевых взаимодействий
- Узлы на карте сетевых взаимодействий
- Группы устройств на карте сетевых взаимодействий
- Соединения на карте сетевых взаимодействий
- Просмотр подробных сведений об объектах
- Изменение масштаба карты сетевых взаимодействий
- Позиционирование карты сетевых взаимодействий
- Закрепление и открепление узлов и групп
- Изменение местоположения узлов и групп вручную
- Автоматическое распределение узлов и групп
- Поиск узлов на карте сетевых взаимодействий
- Фильтрация объектов на карте сетевых взаимодействий
- Сохранение и загрузка параметров отображения карты сетевых взаимодействий
- Добавление нового вида с сохранением текущих параметров отображения карты сетевых взаимодействий
- Обновление вида с сохранением текущих параметров отображения карты сетевых взаимодействий
- Переименование вида карты сетевых взаимодействий
- Удаление вида карты сетевых взаимодействий
- Применение на карте сетевых взаимодействий параметров, сохраненных в виде
- Мониторинг сетевых сеансов
- Контроль рисков
- Настройка типов событий
- Просмотр таблицы типов событий
- Изменение параметров системного типа события
- Настройка автоматического сохранения трафика для системных типов событий
- Настройка передачи событий через коннекторы
- Общие переменные для подстановки значений в Kaspersky Anti Targeted Attack Platform
- Технологии регистрации событий NDR
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Настройка типов рисков
- Системные типы событий в Kaspersky Anti Targeted Attack Platform
- Работа с информацией о хостах с компонентом Endpoint Agent
- Просмотр таблицы хостов с компонентом Endpoint Agent
- Настройка отображения таблицы хостов с компонентом Endpoint Agent
- Просмотр информации о хосте
- Фильтрация и поиск хостов с компонентом Endpoint Agent по имени хоста
- Фильтрация и поиск хостов с компонентом Endpoint Agent, изолированных от сети
- Фильтрация и поиск хостов с компонентом Endpoint Agent по именам серверов PCN и SCN
- Фильтрация и поиск хостов с компонентом Endpoint Agent по IP-адресу компьютера
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии операционной системы на компьютере
- Фильтрация и поиск хостов с компонентом Endpoint Agent по версии компонента
- Фильтрация и поиск хостов с компонентом Endpoint Agent по их активности
- Быстрое создание фильтра хостов с компонентом Endpoint Agent
- Сброс фильтра хостов с компонентом Endpoint Agent
- Удаление хостов с компонентом Endpoint Agent
- Настройка показателей активности компонента Endpoint Agent
- Поддерживаемые интерпретаторы и процессы
- Сетевая изоляция хостов с компонентом Endpoint Agent
- Автоматическая отправка файлов с хостов с компонентом Endpoint Agent на проверку в Sandbox по правилам TAA (IOA) "Лаборатории Касперского"
- Выбор операционных систем для проверки объектов в Sandbox
- Работа с задачами
- Просмотр таблицы задач
- Просмотр информации о задаче
- Создание задачи получения файла
- Создание задачи сбора форензики
- Создание задачи получения ключа реестра
- Создание задачи получения метафайлов NTFS
- Создание задачи получения дампа памяти процесса
- Создание задачи получения образа диска
- Создание задачи получения дампа оперативной памяти
- Создание задачи завершения процесса
- Создание задачи проверки хостов с помощью правил YARA
- Создание задачи управления службами
- Создание задачи выполнения приложения
- Создание задачи удаления файла
- Создание задачи помещения файла на карантин
- Создание задачи восстановления файла из карантина
- Создание копии задачи
- Удаление задач
- Фильтрация задач по времени создания
- Фильтрация задач по типу
- Фильтрация задач по имени
- Фильтрация задач по имени и пути к файлу
- Фильтрация задач по описанию
- Фильтрация задач по имени сервера
- Фильтрация задач по имени пользователя, создавшего задачу
- Фильтрация задач по состоянию обработки
- Сброс фильтра задач
- Работа с политиками (правилами запрета)
- Просмотр таблицы правил запрета
- Настройка отображения таблицы правил запрета
- Просмотр правила запрета
- Создание правила запрета
- Импорт правил запрета
- Включение и отключение правила запрета
- Включение и отключение предустановок
- Удаление правил запрета
- Фильтрация правил запрета по имени
- Фильтрация правил запрета по типу
- Фильтрация правил запрета по хешу файла
- Фильтрация правил запрета по имени сервера
- Сброс фильтра правил запрета
- Работа с пользовательскими правилами
- Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз
- Работа с пользовательскими правилами TAA (IOA)
- Просмотр таблицы правил TAA (IOA)
- Создание правила TAA (IOA) на основе условий поиска событий
- Импорт правил TAA (IOA)
- Просмотр информации о правиле TAA (IOA)
- Поиск алертов и событий, в которых сработали правила TAA (IOA)
- Фильтрация и поиск правил TAA (IOA)
- Сброс фильтра правил TAA (IOA)
- Включение и отключение использования правил TAA (IOA)
- Изменение правила TAA (IOA)
- Удаление правил TAA (IOA)
- Работа с пользовательскими правилами IOC
- Просмотр таблицы IOC-файлов
- Просмотр информации об IOC-файле
- Загрузка IOC-файла
- Скачивание IOC-файла на компьютер
- Включение и отключение автоматического использования IOC-файла при проверке хостов
- Удаление IOC-файла
- Поиск алертов по результатам IOC-проверки
- Поиск событий по IOC-файлу
- Фильтрация и поиск IOC-файлов
- Сброс фильтра IOC-файлов
- Настройка расписания IOC-проверки
- Работа с пользовательскими правилами обнаружения вторжений
- Работа с пользовательскими правилами YARA
- Работа с объектами в Хранилище и на карантине
- Просмотр таблицы объектов, помещенных в Хранилище
- Просмотр информации об объекте, загруженном в Хранилище через веб-интерфейс
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения файла
- Просмотр информации об объекте, помещенном в Хранилище по задаче получения данных
- Скачивание объектов из Хранилища
- Загрузка объектов в Хранилище
- Отправка объектов из Хранилища на проверку
- Удаление объектов из Хранилища
- Фильтрация объектов в Хранилище по типу объекта
- Фильтрация объектов в Хранилище по описанию объекта
- Фильтрация объектов в Хранилище по результатам проверки
- Фильтрация объектов в Хранилище по имени сервера Central Node, PCN или SCN
- Фильтрация объектов в Хранилище по источнику объекта
- Фильтрация объектов по времени помещения в Хранилище
- Сброс фильтра объектов в Хранилище
- Просмотр таблицы объектов, помещенных на карантин на компьютерах с компонентом Endpoint Agent
- Просмотр информации об объекте на карантине
- Восстановление объекта из карантина
- Получение копии объекта на карантине на сервер Kaspersky Anti Targeted Attack Platform
- Удаление информации об объекте, помещенном на карантин, из таблицы
- Фильтрация информации об объектах, помещенных на карантин, по типу объекта
- Фильтрация информации об объектах, помещенных на карантин, по описанию объекта
- Фильтрация информации об объектах, помещенных на карантин, по имени хоста
- Фильтрация информации об объектах, помещенных на карантин, по времени
- Сброс фильтра информации об объектах на карантине
- Работа с отчетами
- Работа с общими отчетами
- Просмотр таблицы шаблонов и отчетов
- Создание шаблона
- Создание отчета по шаблону
- Просмотр отчета
- Скачивание отчета на локальный компьютер
- Изменение шаблона
- Фильтрация шаблонов по имени
- Фильтрация шаблонов по имени пользователя, создавшего шаблон
- Фильтрация шаблонов по времени создания
- Сброс фильтра шаблонов
- Удаление шаблона
- Фильтрация отчетов по времени создания
- Фильтрация отчетов по имени
- Фильтрация отчетов по имени сервера с компонентом Central Node
- Фильтрация отчетов по имени пользователя, создавшего отчет
- Сброс фильтра отчетов
- Удаление отчета
- Работа с отчетами NDR
- Просмотр таблицы шаблонов отчетов NDR
- Просмотр сведений о шаблоне отчета NDR
- Просмотр таблицы отчетов NDR
- Формирование отчета NDR по шаблону вручную
- Дублирование шаблона отчета NDR
- Изменение шаблона отчета NDR
- Экспорт отчета NDR в файл
- Удаление шаблона отчета NDR
- Удаление отчета NDR
- Отмена формирования отчета NDR
- Управление параметрами хранения файлов отчетов
- Работа с общими отчетами
- Работа с правилами присвоения алертам статуса VIP
- Просмотр таблицы правил присвоения статуса VIP
- Создание правила присвоения статуса VIP
- Удаление правила присвоения статуса VIP
- Изменение правила присвоения статуса VIP
- Импорт списка правил присвоения статуса VIP
- Экспорт списка данных, исключенных из проверки
- Фильтрация и поиск по типу правила присвоения статуса VIP
- Фильтрация и поиск по значению правила присвоения статуса VIP
- Фильтрация и поиск по описанию правила присвоения статуса VIP
- Сброс фильтра правил присвоения статуса VIP
- Работа со списком исключений из проверки
- Просмотр таблицы данных, исключенных из проверки
- Добавление правила исключения из проверки
- Удаление правила исключения из проверки
- Изменение правила, добавленного в исключения из проверки
- Экспорт списка данных, исключенных из проверки
- Фильтрация правил в списке исключений из проверки по критерию
- Поиск правил в списке исключений из проверки по значению
- Сброс фильтра правил в списке исключений из проверки
- Работа с исключениями из правил обнаружения вторжений
- Работа с TAA-исключениями
- Работа с ICAP-исключениями
- Просмотр таблицы ICAP-исключений
- Добавление правила в ICAP-исключения
- Удаление правил из ICAP-исключений
- Изменение и выключение правила в списке ICAP-исключений
- Фильтрация правил в списке ICAP-исключений по критерию
- Фильтрация правил в списке ICAP-исключений по значению
- Фильтрация правил в списке ICAP-исключений по состоянию
- Сброс условий фильтрации правил в списке ICAP-исключений
- Работа с зеркалированным трафиком со SPAN-портов
- Создание списка паролей для архивов
- Работа с информацией о серверах с компонентами Central Node и Sensor
- Просмотр параметров сервера
- Просмотр таблицы серверов с компонентом Sandbox
- Просмотр параметров набора операционных систем для проверки объектов в Sandbox
- Просмотр таблицы внешних систем
- Работа с пользовательскими правилами Sandbox
- Просмотр таблицы пользовательских правил Sandbox
- Настройка отображения таблицы правил Sandbox
- Фильтрация и поиск правил Sandbox
- Сброс фильтра правил Sandbox
- Просмотр информации о пользовательском правиле Sandbox
- Создание пользовательского правила Sandbox для проверки файлов
- Создание пользовательского правила Sandbox для проверки URL-адреса
- Копирование пользовательского правила Sandbox
- Импорт пользовательских правил Sandbox для проверки файлов
- Изменение пользовательского правила Sandbox
- Включение и отключение пользовательских правил Sandbox
- Экспорт пользовательских правил Sandbox для проверки файлов
- Удаление пользовательских правил Sandbox
- Список расширений для категорий файлов
- Отправка уведомлений
- Просмотр таблицы правил для отправки уведомлений
- Создание правила для отправки уведомлений об обнаружениях
- Создание правила для отправки уведомлений о работе компонентов приложения
- Включение и отключение правила для отправки уведомлений
- Изменение правила для отправки уведомлений
- Удаление правила для отправки уведомлений
- Фильтрация и поиск правил отправки уведомлений по типу правила
- Фильтрация и поиск правил отправки уведомлений по теме уведомлений
- Фильтрация и поиск правил отправки уведомлений по адресу электронной почты
- Фильтрация и поиск правил отправки уведомлений по их состоянию
- Сброс фильтра правил отправки уведомлений
- Управление журналами
- Просмотр сообщений приложения
- Просмотр информации о файлах, поступавших на проверку в Kaspersky Anti Targeted Attack Platform
- Управление приложением Kaspersky Endpoint Agent для Windows
- Управление приложением Kaspersky Endpoint Security для Windows
- Управление приложением Kaspersky Endpoint Security для Linux
- Управление приложением Kaspersky Endpoint Security для Mac
- Резервное копирование и восстановление данных
- Обновление Kaspersky Anti Targeted Attack Platform
- Обновление Central Node, установленного на сервере, с версии 6.1 до 7.0.3
- Обновление Central Node, установленного в виде кластера, с версии 6.1 до версии 7.0.3
- Подготовка к установке обновления в режиме распределенного решения и мультитенантности
- Обновление Sensor, установленного на отдельном сервере
- Состав и объем данных, сохраняемых при обновлении приложения Kaspersky Anti Targeted Attack Platform
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0 до версии 7.0.1
- Обновление Kaspersky Anti Targeted Attack Platform с версии 7.0.1 до версии 7.0.3
- Взаимодействие с внешними системами по API
- Интеграция внешней системы с Kaspersky Anti Targeted Attack Platform
- API для проверки объектов внешних систем
- API для получения внешними системами информации об алертах
- API для получения внешними системами информации о событиях приложения
- API для управления действиями по реагированию на угрозы
- Источники информации о приложении
- Обращение в Службу технической поддержки
- Глоссарий
- Advanced persistent threat (APT)
- Anti-Malware Engine
- Backdoor-программа
- Central Node
- CSRF-атака
- End User License Agreement
- ICAP-данные
- ICAP-клиент
- Intrusion Detection System
- IOA
- IOC
- IOC-файл
- Kaspersky Anti Targeted Attack Platform
- Kaspersky Private Security Network
- Kaspersky Secure Mail Gateway
- Kaspersky Security Network (KSN)
- Kaspersky Threat Intelligence Portal
- KATA
- KEDR
- Kerberos-аутентификация
- Keytab-файл
- MIB (Management Information Base)
- MITM-атака
- NTP-сервер
- OpenIOC
- Sandbox
- Sensor
- SIEM-система
- SPAN
- Syslog
- Targeted Attack Analyzer
- TLS-шифрование
- YARA
- Алерт
- Альтернативный поток данных
- Атака "нулевого дня"
- Вредоносные веб-адреса
- Дамп
- Зеркалированный трафик
- Имя субъекта-службы (SPN)
- Компонент Endpoint Agent
- Локальная репутационная база KPSN
- Мультитенантность
- Обнаружение
- Правила YARA
- Правило TAA (IOA)
- Пропускная способность канала связи
- Распределенное решение
- Сигнатура
- Статус VIP
- Тенант
- Техника MITRE
- Трассировка
- Угрозы нового поколения
- Уязвимость "нулевого дня"
- Фишинговые URL-адреса
- Целевая атака
- Информация о стороннем коде
- Уведомления о товарных знаках
Сотруднику службы безопасности: работа в веб-интерфейсе приложения > Рекомендации по обработке алертов > Рекомендации по обработке IDS-алертов
Рекомендации по обработке IDS-алертов
Рекомендации по обработке IDS-алертов
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество алертов или событий, имеющих общие признаки с алертом, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка выберите Найти похожие алерты по IP-адресу. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Адрес источника. Имя хоста или IP-адрес из алерта, над которым вы работаете, выделено желтым цветом.
- В разделе Оценка выберите Найти похожие алерты по URL. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Сведения ‑ URL-адресу. URL-адрес из алерта, над которым вы работаете, выделен желтым цветом.
- В разделе Оценка выберите Добавить в исключения.
Откроется окно Добавить правило IDS в исключения. Если вы хотите добавить правило IDS, по которому создан алерт, в исключения, введите комментарий в поле Описание и нажмите на кнопку Добавить.
Правило IDS будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке IDS.
- В разделе Расследование выберите Найти похожие события по URL. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по URI из алерта, над которым вы работаете.
- В разделе Расследование выберите Найти похожие события по IP-адресу. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по RemoteIP из алерта, над которым вы работаете.
- В разделе Расследование по ссылке Скачать артефакт IDS вы можете скачать файл с данными об алерте.
- В разделе Расследование по ссылке Скачать PCAP-файл вы можете скачать файл с данными перехваченного трафика.
|
См. также Рекомендации по обработке алертов Рекомендации по обработке AM-алертов Рекомендации по обработке TAA-алертов Рекомендации по обработке SB-алертов Рекомендации по обработке IOC-алертов |
Идентификатор статьи: 196790, Последнее изменение: 21 мар. 2025 г.