Импорт IOC-правил

Kaspersky EDR Expert импортирует IOC-правила из файлов, содержащих IOC-правила. Один файл может содержать только одно IOC-правило, поэтому список IOC-правил одновременно является списком IOC-файлов, из которых созданы правила.

Список IOC-правил доступен в интерфейсе Консоли OSMP → Обнаружение и реагирование → Ресурсы и сервисы → IOC-правила.

Чтобы импортировать IOC-правило:

1. В главном окне приложения перейдите в раздел Обнаружение и реагирование → Ресурсы и сервисы → IOC-правила.

   Откроется список IOC-правил.

2. Нажмите на кнопку Импорт.
3. В открывшейся панели справа Импорт IOC-правил настройте следующие параметры:
   • Выберите Тенант.
   • Выберите Уровень важности правила. Kaspersky EDR Expert присваивает это значение алерту, создаваемому в результате срабатывания IOC-правила.
   • Если требуется, чтобы приложение Kaspersky EDR Expert регулярно выполняло проверку устройств на наличие индикаторов компрометации, описанных в правиле, включите переключатель Проверка по расписанию (проверка по расписанию должна быть настроена).

     Вы также можете включить проверку по расписанию позже, включив переключатель в столбце Проверка по расписанию в списке правил IOC.

   • Укажите описание (необязательно).
4. Загрузите файл, содержащий IOC-правило.
5. Нажмите на кнопку Импорт.

Импортированное правило отобразится в списке IOC-правил.

В начало