技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

对于安全人员:应用程序 Web 界面使用入门

警报处理建议

处理 IOC 警报的建议
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

处理 IOC 警报的建议

2024年6月26日

ID 247619

另存为 PDF

在窗口的右侧部分,建议部分显示您可以遵循的建议,以及与您正在处理的警报具有共同属性的警报的数量。

您可以遵循以下建议:

  • 分类下面,选择通过主机名查找类似警报。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按列筛选。您正在处理的警报中的主机名以黄色突出显示。
  • 分类下面,选择通过 IOC 查找类似警报。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按检测到列、您正在处理的警报中的 IOC 文件的名称筛选。
  • 快速响应部分,选择隔离<主机名>。这将打开网络隔离规则创建窗口。

要创建主机隔离规则,请输入以下设置:

  1. 此时间后禁用隔离字段中,输入以小时为单位的时间(1 到 9999),在此期间主机的网络隔离将处于活动状态。
  2. 主机隔离规则排除项设置组中的流量方向列表中,选择必须放行的网络流量方向:
    • 传入/传出
    • 传入
    • 传出
  3. IP字段,输入必须放行的网络流量的 IP 地址。

    如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件,则可以使用代理服务器将 Kaspersky Endpoint Agent for Windows 与 Kaspersky Anti Targeted Attack Platform 进行连接。当您将此代理服务器添加到排除项时,可通过代理服务器访问的网络资源也被添加到排除项。如果通过代理服务器访问的网络资源已被添加到排除项,但代理服务器本身未被添加到排除项,则此类排除项不起作用。

  4. 如果您选择了传入传出,请在端口字段中输入连接端口。
  5. 如果您想添加多个排除项,请单击添加并重复上述步骤填写流量方向IP端口字段。
  6. 单击保存

另请参阅

警报处理建议

AM 警报处理建议

TAA 警报处理建议

SB 警报处理建议

YARA 警报处理建议

IDS 警报处理建议

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.