Импорт правил TAA (IOA)

Вы можете импортировать правила TAA (IOA) из IOC-файла или YAML-файла с Sigma-правилом и использовать их для проверки событий и создания алертов Targeted Attack Analyzer.

Чтобы импортировать правило TAA (IOA):

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел TAA.

   Откроется таблица правил TAA (IOA).

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

   Откроется окно Новое правило TAA (IOA).

4. Переместите переключатель Состояние в положение Включено, если вы хотите включить использование правила при проверке базы событий.
5. На закладке Сведения в поле Имя введите имя правила.
6. В поле Описание введите любую дополнительную информацию о правиле.
7. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу TAA (IOA):
   • Низкая.
   • Средняя.
   • Высокая.
8. В раскрывающемся списке Надежность выберите уровень надежности этого правила, по вашей оценке:
   • Низкая.
   • Средняя.
   • Высокая.
9. В блоке параметров Область применения установите флажки напротив тех серверов, на которых вы хотите применить правило.
10. На закладке Запрос проверьте заданные условия поиска. Если требуется, внесите изменения.
11. Нажмите на кнопку Сохранить.

Пользовательское правило TAA (IOA) будет импортировано в приложение.

Вы также можете добавить правило TAA (IOA), сохранив условия поиска по базе событий в разделе Поиск угроз.

См. также Просмотр таблицы правил TAA (IOA) Создание правила TAA (IOA) на основе условий поиска событий Просмотр информации о правиле TAA (IOA) Поиск алертов и событий, в которых сработали правила TAA (IOA) Фильтрация и поиск правил TAA (IOA) Сброс фильтра правил TAA (IOA) Включение и отключение использования правил TAA (IOA) Изменение правила TAA (IOA) Удаление правил TAA (IOA)

В начало