将 TAA (IOA) 规则添加到排除项
您只能添加卡巴斯基制定的 TAA (IOA) 规则到排除项。如果您不想应用用户定义的 TAA (IOA) 规则进行扫描事件,您可以禁用该规则或将其删除。
要从警报部分将 TAA (IOA) 规则添加到排除项:
- 在应用程序 Web 界面窗口中选择警报部分。
这将打开警报表。
- 单击技术列中的链接打开筛选器配置窗口。
- 在左侧的下拉列表中,选择包含。
- 在右侧的下拉列表中,选择(TAA)针对性攻击分析器技术。
- 单击应用。
该表显示 TAA 技术根据 TAA (IOA) 规则生成的警报。
- 选择一个警报,检测到列为其显示相关规则的名称。
这将打开一个窗口,其中包含有关警报的信息。
- 在扫描结果下面,单击带有规则名称的链接以打开规则信息窗口。
- 在TAA 排除项设置名称右侧,单击添加到排除项。
这将打开一个窗口,允许您将 TAA (IOA) 规则添加到排除项。
- 在排除规则字段中,选择排除操作模式:
- 总是,如果您不希望应用程序为与所选 TAA (IOA) 规则匹配的事件创建警报。
- 根据条件,如果您不希望应用程序只为符合指定条件的事件创建事件。将为与 TAA (IOA) 规则匹配的事件创建警报,并考虑了配置的排除条件。
如果您选择了根据条件:
- 如果您使用分布式解决方案和多租户模式,请在应用到服务器*字段中选择必须对其应用规则的租户和服务器的复选框。
- 单击添加。
TAA (IOA) 规则将被添加到排除项中,并显示在应用程序 Web 界面中排除项列表的设置部分、排除情况子部分、TAA选项卡上。此规则不再被用于创建警报。
要从威胁搜索部分将 TAA (IOA) 规则添加到排除项:
- 选择程序 Web 界面窗口中的威胁搜索部分。
这将打开事件搜索表单。
- 定义搜索条件并单击搜索按钮。例如,您可以在构建器模式下在TAA 属性组中选择事件搜索条件。
满足搜索条件的事件表将显示。
- 选择一个事件。
- 在IOA 标记设置右侧,单击规则名称。
这将打开一个窗口,其中包含有关规则的信息。
- 在TAA 排除项设置名称右侧,单击添加到排除项。
这将打开一个窗口,允许您将 TAA (IOA) 规则添加到排除项。
- 在排除规则字段中,选择排除操作模式:
- 总是,如果您不希望应用程序为与所选 TAA (IOA) 规则匹配的事件创建警报。
- 根据条件,如果您不希望应用程序只为符合指定条件的事件创建事件。将为与 TAA (IOA) 规则匹配的事件创建警报,并考虑了配置的排除条件。
如果您选择了根据条件:
- 单击配置附加条件打开事件搜索表单。
- 如果您使用的是分布式解决方案和多租户模式,并且希望为所有租户启用事件显示,请开启在所有租户中搜索切换开关。
- 在构建器模式下执行事件搜索。
一个表格将显示,其中包含与给定指定排除条件的 TAA (IOA) 规则相匹配的事件。
如果您使用分布式解决方案和多租户模式,则找到的事件将按层分组:服务器 – 租户名称 – 服务器名称。
- 单击要查看其事件的服务器的名称。
所选服务器的主机表将显示。事件分组级别显示在表格上方。
如有必要,您可以更改事件搜索条件。
- 单击添加排除项。
- 单击添加。
TAA (IOA) 规则将被添加到排除项中,并显示在应用程序 Web 界面中排除项列表的设置部分、排除情况子部分、TAA选项卡上。扫描事件时不再应用此规则。
创建要保存为排除条件的搜索查询时,请避免使用以下字段:
- IOAd。
- IOATag。
- IOATechnique。
- IOATactics。
- IOAImportance。
- IOAConfidence。
仅当 Kaspersky Anti Targeted Attack Platform 将事件标记为匹配 TAA (IOA) 规则后,这些字段才会显示。
具有安全审计员和安全官角色的用户无法将 TAA (IOA) 规则添加到排除项。