IOC-проверка событий

При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут использовать IOC-файлы для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также для проверки локальных компьютеров с установленным компонентом Endpoint Sensors.

В зависимости от режима работы программы и сервера, на который загружаются IOC-файлы, загруженные IOC-файлы могут быть одного из следующих типов:

• Локальный – загруженные на сервер SCN. По этим IOC-файлам производится проверка событий на этом сервере SCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

  Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.

  Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

• Глобальный – загруженные на сервер PCN. По этим IOC-файлам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

Пользователи с ролью Старший сотрудник службы безопасности могут управлять проверкой событий по IOC-файлам: добавлять, изменять, удалять и скачивать IOC-файлы на компьютер, включать и отключать проверку событий по IOC-файлам, а также управлять параметрами проверки объектов.

Пользователи с ролью Сотрудник службы безопасности могут только просматривать информацию об IOC-файлах и скачивать IOC-файлы на компьютер.

Если вы работаете с событиями, уже обнаруженными программой ранее, повторное совпадение данных этих событий с индикаторами компрометации не всегда свидетельствует о возможном обнаружении.

В этом разделе справки Просмотр таблицы IOC-файлов Просмотр информации об IOC-файле Загрузка IOC-файла Скачивание IOC-файла на компьютер Включение и отключение автоматического использования IOC-файла при проверке событий Удаление IOC-файла Поиск результатов IOC-проверки Фильтрация и поиск IOC-файлов Сброс фильтра IOC-файлов Настройка расписания IOC-проверки Поддерживаемые индикаторы компрометации OpenIOC

В начало