根据 Kaspersky TAA (IOA) 规则进行事件链扫描
根据 Kaspersky TAA (IOA) 规则进行事件链扫描
有些网络攻击只有通过查看特定的事件序列才能检测到。如果启用了事件链扫描功能,Kaspersky Anti Targeted Attack Platform 会根据 Kaspersky TAA (IOA) 规则标记到达 Central Node 服务器的事件,当检测到可疑事件序列时,会在警报表中记录警报。
您可以通过以下方式之一查看由 Kaspersky TAA (IOA) 规则标记的事件:
- 通过使用以下标准对事件数据库创建搜索查询:IOATag、IOAImportance、IOAConfidence。
- 查看事件和警报时。
Kaspersky TAA (IOA) 规则无法编辑。如果您不希望应用程序为作为对您组织来说正常的主机活动的一部分生成的事件创建警报,您可以将 TAA (IOA) 规则添加到排除项。每个 Kaspersky TAA (IOA) 规则只能创建一个排除项。
在分布式解决方案和多租户模式下,您必须在要使用它的每个 Central Node 服务器上启用事件链扫描功能。如果 Central Node 组件被部署为集群,您可以在集群中的任何服务器上启用该功能。
在小部件中显示事件链信息的特殊注意事项
前 10 个小部件仅显示有关触发 TAA(IOA)规则的事件的信息。小部件不会考虑之前发生并参与事件链但未触发规则的事件。因此,小部件报告的事件数可能与您单击带有主机名和 TAA (IOA) 规则名称的链接时显示的事件数不匹配。
您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。