该应用程序在分析网络流量时会注册事件。网络流量分析是 NDR 功能的一部分。
网络流量事件(也称为 NDR 事件)是包含有关检测网络流量中需要信息安全专业人员注意的某些变化或条件的信息的记录。NDR 事件被注册并发送到 Central Node。服务器会处理收到的事件并将其存储在数据库中。
聚合事件是一种特殊类型的事件,在收到特定序列的 NDR 事件时会被注册。聚合事件将具有一些共同特征或与同一进程相关的 NDR 事件分组。
应用程序根据事件关联规则注册聚合事件。事件关联规则描述了扫描事件序列的条件。当检测到符合规则条件的一系列 NDR 事件时,应用程序会注册一个提及触发规则名称的聚合事件。聚合事件注册的系统事件类型代码为 8000000001。
事件关联规则内置在应用程序中,无论安全策略如何都会应用。
应用程序安装后,使用原有的事件关联规则。为了提高规则的有效性,卡巴斯基定期使用规则集更新数据库。您可以通过安装更新来更新关联规则。
Kaspersky Anti Targeted Attack Platform 服务器根据为注册事件类型指定的设置来注册 NDR 事件。您可以在“配置事件类型”部分配置这些设置。
为了减少不需要用户注意的频繁重复 NDR 事件的数量,您可以创建事件允许规则。满足允许规则的 NDR 事件不会被注册。例如,您可以使用允许规则暂时禁用来自特定监控点的所有事件的注册。您可以在“设置”部分,“允许规则”子部分中查看事件的允许规则。为此类规则指明了 EVT 类型。
该应用程序将 NDR 事件和聚合事件存储在 Central Node 的数据库中。存储记录的总量不能超出配置的限制。如果数量超出限制,应用程序会自动删除最旧的记录。但是,如果配置了最短存储期限,则删除时间小于最短期限的记录时,相应的消息将记录在应用程序消息日志中。您可以配置事件和事故存储设置。
您可以在“网络流量事件”部分查看有关 NDR 事件和聚合事件的信息。此部分显示有关 NDR 事件和聚合事件的详细信息,并允许从服务器数据库加载任何时期的信息。
具有以下角色的用户可以使用网络流量事件操作:“安全官”或者“高级安全官”角色。具有“安全审计员”角色的用户可以查看事件。
如果存在有效的 KATA+NDR 授权许可密钥,则会生成 NDR 事件。授权许可密钥过期后,创建的事件仍然可供查看,但不会创建相关警报。