Работа с пользовательскими правилами TAA (IOA)

Пользовательские правила TAA (IOA) создаются на основе условий поиска по базе событий. Например, если вы хотите, чтобы приложение Kaspersky Anti Targeted Attack Platform формировало алерты по событиям запуска приложения, которое вы считаете небезопасным, на компьютерах с компонентом Endpoint Agent, вы можете выполнить следующие действия:

Сформировать поисковый запрос по базе событий вручную или загрузить IOC-файл с индикаторами компрометации или YAML-файл с Sigma-правилом для обнаружения этого приложения.
При создании IOC-файла ознакомьтесь со списком IOC-терминов, которые можно использовать для поиска событий в разделе Поиск угроз. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файл по ссылке ниже.

IOC-термины для поиска событий в разделе Поиск угроз
Создать правило TAA (IOA) на основе условий поиска событий.
При поступлении на сервер Central Node событий, соответствующих созданному правилу TAA (IOA), Kaspersky Anti Targeted Attack Platform сформирует алерты.

Вы также можете создать правило TAA (IOA) на основе условий из уже загруженного IOC-файла. Для этого вам требуется выполнить следующие действия:

В режиме распределенного решения и мультитенантности правила TAA (IOA) могут быть одного из следующих типов:

Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к тенантам, в рамках которых пользователь работает в веб-интерфейсе приложения.
Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к тенанту, в рамках которого пользователь работает в веб-интерфейсе приложения.

Различия между пользовательскими правилами и правилами "Лаборатории Касперского" представлены в таблице ниже.

Сравнительные характеристики правил TAA (IOA)

Сравнительная характеристика	Пользовательские правила TAA (IOA)	Правила TAA (IOA) "Лаборатории Касперского"
Наличие рекомендаций по реагированию на событие	Нет	Есть Вы можете посмотреть рекомендации в информации об алерте
Соответствие технике в базе MITRE ATT&CK База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.	Нет	Есть Вы можете посмотреть описание техники по классификации MITRE в информации об алерте
Отображение в таблице правил TAA (IOA)	Да	Нет
Способ отключить проверку базы по этому правилу	Отключить правило	Добавить правило в исключения TAA
Возможность удалить или добавить правило	Вы можете удалить или добавить правило в веб-интерфейсе приложения	Правила обновляются вместе с базами приложения и не могут быть удалены пользователем
Поиск алертов и событий, в которых сработали правила TAA (IOA)	По ссылкам Алерты и События в окне с информацией о правиле TAA (IOA)	По ссылкам Алерты и События в окне с информацией об алерте

Пользователи с ролью Старший сотрудник службы безопасности могут создавать, импортировать, удалять, включать и выключать правила TAA (IOA), а также добавлять правила TAA (IOA) "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Сотрудник службы безопасности и Аудитор могут использовать правила TAA (IOА) для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и алертов, а также просматривать таблицу правил TAA (IOA) и информацию о правилах TAA (IOA).

В этом разделе

Просмотр таблицы правил TAA (IOA)

Создание правила TAA (IOA) на основе условий поиска событий

Импорт правил TAA (IOA)

Просмотр информации о правиле TAA (IOA)

Поиск алертов и событий, в которых сработали правила TAA (IOA)

Фильтрация и поиск правил TAA (IOA)

Сброс фильтра правил TAA (IOA)

Включение и отключение использования правил TAA (IOA)

Изменение правила TAA (IOA)

Удаление правил TAA (IOA)

В начало