О пользовательских правилах

IOA-правила (правила для индикаторов атак) позволяют выявлять подозрительные события в инфраструктуре организации и автоматически создавать алерты. Пользовательские правила также можно создавать с помощью запросов в разделе Поиск угроз.

В Kaspersky Endpoint Detection and Response Expert есть два типа правил: пользовательские IOA-правила и правила "Лаборатории Касперского". Пользовательские IOA-правила создают специалисты вашей организации. Правила "Лаборатории Касперского" – это стандартные правила, загруженные автоматически. Если вы хотите исключить событие, вызывающее срабатывание правила "Лаборатории Касперского", из списка подозрительных событий, можно добавить исключение из правил "Лаборатории Касперского".

В следующей таблице показаны различия между пользовательскими IOA-правилами и IOA-правилами "Лаборатории Касперского".

Таблица сравнения пользовательских правил и правил "Лаборатории Касперского"

Функция

Пользовательские IOA-правила

IOA-правила "Лаборатории Касперского"

Рекомендации по реагированию на событие

Нет.

Есть. Вы можете посмотреть рекомендации в деталях алерта.

Соответствие техникам в базе MITRE ATT&CK

Нет.

Есть. Вы можете посмотреть описание техники по классификации MITRE в деталях алерта.

Отображение в списке пользовательских правил

Да.

Нет.

Возможность выключить поиск в базе данных для этого правила

Отключение правила.

Добавление правила в исключения.

Возможность удалить или добавить правило

Можно удалять и добавлять правила.

Правила обновляются вместе с базами приложения, эти правила нельзя удалить.

В начало