Информация о пользовательских правилах

Развернуть все | Свернуть все

В этом разделе отображается информация о пользовательских правилах.

Информация о пользовательских IOA-правилах

Информация о пользовательских IOA-правилах представлена в виде следующих полей:

• Название

  Название правила, указываемое при создании. Это обязательное поле. Название отображается в разделе информации о событии. Это название можно использовать в запросах для поиска угроз.

• Состояние

  Использование правила при проверке базы событий:

  • Включено – правило используется.
  • Отключено – правило не используется.
• Критичность

  Уровень вероятного воздействия события на активы организации, указанная пользователем при создании правила:

  • Низкий
  • Средний
  • Высокий
• Доверие

  Уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при создании правила:

  • Низкий
  • Средний
  • Высокий
• Действие

  Действие, применяемое к событию, вызвавшему срабатывание правила:

  • Отмечать событие и создавать алерт
  • Только отмечать событие
• Описание

  Любая дополнительная информация о правиле, указанная при его создании.

• Рекомендации

  Рекомендуемые действия, указанные при создании правила.

• Возможные ложные срабатывания

  Описание возможных ложных срабатываний, указанное при создании правила.

• Запрос

  Запрос, используемый в правиле. Это обязательное поле. По нажатию на кнопку Изменить запрос можно изменить условия поиска. Запрос откроется в разделе Поиск угроз.

Действия, доступные из раздела информации о пользовательских IOA-правилах:

• Найти события. Перейдите по этой ссылке, чтобы в разделе Поиск угроз отобразилась таблица событий телеметрии. Данные в таблице отфильтрованы по названию правила.
• Перейти к алертам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть алерты, созданные в результате срабатывания IOA-правила. Список алертов находится в разделе Алерты.
• Перейти к инцидентам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть инциденты, созданные в результате срабатывания IOA-правила. Список инцидентов открывается на разделе Инциденты.
• Изменение информации о правилах.

Исключения из правил "Лаборатории Касперского"

Исключение из правил "Лаборатории Касперского" содержит следующие поля:

• Название

  Название исключения, указываемое при добавлении правила. Это обязательное поле.

• Использование

  Использование правила при проверке базы событий:

  • Всегда. Правило "Лаборатории Касперского" используется при проверке базы событий.
  • С исключениями. Правило "Лаборатории Касперского" используется с исключениями при проверке базы событий. При выборе этого значения отображается поле для ввода или изменения условия.
  • Никогда. Правило "Лаборатории Касперского" не используется при проверке базы событий.

  По умолчанию выбрано значение Всегда. При изменении значения в этом поле создается исключение из правила "Лаборатории Касперского".

• Критичность

  Оценка вероятного воздействия события на активы организации, указанная пользователем при добавлении исключения:

  • Низкая.
  • Средняя.
  • Высокая.
• Доверие

  Уровень надежности в зависимости от вероятности ложных срабатываний, заданный в исключении при добавлении правила:

  • Низкая.
  • Средняя.
  • Высокая.
• Действие

  Действие, применяемое к событию, вызвавшему срабатывание правила:

  • Отметить событие и создать алерт.
  • Только отметить событие.

  По умолчанию выбрано значение Отметить событие и создать алерт. При изменении значения в этом поле создается исключение из правила "Лаборатории Касперского".

• Описание

  Подробное описание правила, указанное пользователем при его добавлении.

• Рекомендации

  Рекомендуемые действия, указанные пользователем при добавлении правила.

• Возможные ложные срабатывания

  Описание возможных ложных срабатываний, указанное пользователем при добавлении правила.

Действия, доступные из раздела информации об исключении:

• Найти события. Перейдите по этой ссылке, чтобы в разделе Поиск угроз отобразилась таблица событий телеметрии. Данные в таблице отфильтрованы по названию правила.
• Перейти к алертам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть алерты, созданные в результате срабатывания IOA-правила. Список алертов открывается на разделе Алерты.
• Перейти к инцидентам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть инциденты, созданные в результате срабатывания IOA-правила. Список инцидентов открывается на разделе Инциденты.
• Изменение информации о правилах.

См. также: Просмотр информации о пользовательском правиле

В начало