Настройка потоков данных об угрозах
11 апреля 2024
ID 156532
Для управления настройками потоков данных об угрозах в веб-интерфейсе пользователя CyberTrace необходимо перейти на вкладку Settings, а затем на вкладку Feeds. При изменении настроек предлагается обновить потоки данных об угрозах. В зависимости от выбранного пункта в раскрывающемся списке всех доступных тенантов в левом верхнем углу окна, изменения отразятся либо на общих настройках потоков данных об угрозах (если выбран тенант General), либо на настройках потоков данных об угрозах для определенного тенанта (если выбран этот тенант).
Для всех тенантов Kaspersky CyberTrace отображает только те потоки данных об угрозах, которые включены для тенанта «General».
Для тенанта «General» форма позволяет выполнять следующие действия:
- Импорт сертификата для Kaspersky Threat Data Feeds
- Указание периода обновления потоков данных об угрозах
- Включение и отключение потоков данных об угрозах
- Выбор доступных полей для потока данных об угрозах
- Добавление полей контекста в поток данных об угрозах
- Указание правил фильтрации для потока данных об угрозах
- Сокращение потока данных об угрозах
- Указание срока хранения записей потока данных об угрозах
- Запуск обновления потоков данных об угрозах вручную
- Добавление пользовательских или сторонних потоков данных об угрозах
- Настройка пользовательского или стороннего потока данных об угрозах
- Работа с ложными срабатываниями
Для определенного тенанта форма позволяет выполнять следующие действия:
- Включение и отключение потоков данных об угрозах
- Добавление полей контекста в поток данных об угрозах
Вкладки потоков данных об угрозах
Потоки данных об угрозах перечислены на следующих вкладках:
- Kaspersky
На этой вкладке расположены потоки данных об угрозах Kaspersky Threat Data Feeds.
- <Название поставщика>
Пользовательские и сторонние потоки данных об угрозах сгруппированы на вкладках по поставщикам.
Если для потока данных об угрозах не указано имя поставщика, оно отображается на вкладке Custom feeds.
Если пользовательские и сторонние потоки данных об угрозах отсутствуют, эти вкладки не отображаются.
- OSINT
На этой вкладке расположены потоки данных об угрозах OSINT.
- пользовательские сведения о киберугрозах
На этой вкладке расположен поставщик Internal TI (пользовательские сведения о киберугрозах) с индикаторами, добавленными в базу данных пользователями.
Об уведомлениях об обновлениях потоков данных об угрозах
Если во время обновления какие-либо потоки данных об угрозах стали доступны или недоступны с используемым сертификатом, откроется окно со списком всех потоков данных об угрозах, ставших доступными или недоступными.
В каждом списке потоков данных об угрозах:
- Если используемый поток данных об угрозах становится недоступным, переключатель остается в положении Feed is on, однако рядом с потоком данных об угрозах отображается предупреждение. В предупреждении указывается, что этот поток данных об угрозах перестал поддерживаться используемым сертификатом и больше не будет обновляться. Можно либо продолжать использовать последнюю доступную копию неподдерживаемого потока данных об угрозах, либо установить переключатель в положение Feed is off и прекратить использование этого потока данных об угрозах.
- Для всех потоков данных об угрозах, которые становятся доступными, переключатель становится доступным для переключения.
По умолчанию переключатель рядом со всеми потоками данных об угрозах, ставшими доступными, находится в положении Feed is off. Для потоков данных об угрозах, которые требуется начать использовать, этот переключатель необходимо вручную перевести в положение Feed is on.