管理用户定义的 TAA (IOA) 规则
管理用户定义的 TAA (IOA) 规则
自定义 TAA (IOA) 规则是根据事件数据库搜索条件创建的。例如,当您认为不安全的应用程序在带有 Endpoint Agent 组件的计算机上启动时,您希望 Kaspersky Anti Targeted Attack Platform 生成事件警报,您可以:
- 生成事件数据库的搜索查询。
- 根据事件搜索条件创建自定义 TAA (IOA) 规则。
当 Central Node 服务器收到与创建的 TAA (IOA) 规则匹配的事件时,Kaspersky Anti Targeted Attack Platform 会生成警报。
您也可以根据所选 IOC 文件中的一个或多个事件搜索条件创建 TAA (IOA) 规则。为此:
- 将包含与恶意软件相对应的入侵指标的 IOC 文件上传到 Kaspersky Anti Targeted Attack Platform。
- 查找与所选 IOC 文件的条件相对应的事件。
- 根据所选 IOC 文件中的一个或多个事件搜索条件创建 TAA (IOA) 规则。
在分布式解决方案和多租户模式下,TAA(IOA)规则可以有以下类型之一:
- 全球 — 在 PCN 服务器上创建。这些规则用于扫描此 PCN 服务器以及连接到此 PCN 服务器的所有 SCN 服务器上的事件。扫描的事件属于用户在程序 Web 界面中管理的租户。
- 本地—在 SCN 服务器上创建。这些规则用于扫描此 SCN 服务器上的事件。扫描的事件属于用户在程序 Web 界面中管理的租户。
下表总结了用户规则和卡巴斯基规则之间的差异。
TAA(IOA)规则对比
特征 | 用户定义的 TAA (IOA) 规则 | Kaspersky TAA (IOA) 规则 |
---|---|---|
关于响应事件的建议 | 否 | 是 您可以在 |
与MITRE ATT&CK 数据库中的技术对应 | 否 | 是 您可以 |
在TAA(IOA)规则表中显示 | 是 | 否 |
能够禁用此规则的数据库查找 | ||
能够删除或添加规则 | 规则与应用程序数据库一起更新 | |
使用TAA (IOA) 规则信息窗口中的警报和事件链接 | 使用警报信息窗口中的警报和事件链接 |
具有高级安全官角色的用户可以创建、导入、删除、启用或禁用TAA (IOA) 规则,以及从扫描中排除 Kaspersky TAA (IOA) 规则。具有安全官或者安全审计员角色的用户可以使用 TAA(IOA)规则在事件和警报数据库中搜索针对性攻击迹象、受感染和可能受感染的对象,并查看 TAA(IOA)规则表和TAA(IOA)规则信息。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.