Все обнаружения делятся на следующие типы:
Обнаружение этого типа регистрируется в результате выполнения задачи проверки IOC на защищаемом устройстве. Когда срабатывает IOC-правило и определяет событие как обнаружение, Kaspersky Single Management Platform создает обнаружение IOC. Созданное обнаружение IOC представляет текущий статус устройства на момент запуска задачи проверки IOC. Вы можете создавать IOC-правила.
Обнаружение IOC всегда соответствует одному IOC-правилу, сработавшему в ИТ-инфраструктуре. Если задача проверки IOC приводит к срабатыванию нескольких IOC-правил, Kaspersky Single Management Platform создает отдельное обнаружение IOC для каждого из сработавших IOC-правил.
Обнаружение IOC всегда соответствует одному устройству. Если одно и то же IOC-правило срабатывает на нескольких устройствах, Kaspersky Single Management Platform создает отдельное обнаружение IOC для каждого устройства.
Обнаружения этого типа регистрируется в результате анализа потока данных телеметрии с защищаемых устройств. Когда срабатывает IOA-правило и определяет событие как обнаружение, Kaspersky Single Management Platform создает обнаружение IOA. Так как поток данных телеметрии анализируется постоянно, созданное обнаружение IOA представляют текущую активность на защищаемых устройствах. IOA-правила предопределены специалистами "Лаборатории Касперского". Также вы можете создавать собственные IOA-правила.
Обнаружение IOA всегда соответствует одному устройству. Если одно и то же IOA-правило срабатывает на нескольких устройствах, Kaspersky Single Management Platform создает отдельное обнаружение IOA для каждого устройства.
Kaspersky Single Management Platform анализирует события с интервалом в 15 минут. Если в течение 15 минут сработало хотя бы одно IOA-правило, Kaspersky Single Management Platform создает обнаружение IOA. Если несколько IOA-правил (как предопределенных, так и пользовательских) срабатывают в течение 15 минут на одном устройстве, созданное обнаружение IOA объединяет все события обнаружений и сработавшие правила.
Kaspersky Single Management Platform не создает обнаружение IOA, если идентичное обнаружение уже было зарегистрировано на том же устройстве в течение последних 24 часов. Два обнаружения IOA считаются идентичными, если следующие свойства идентичны для них обоих: