Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

О Kaspersky CyberTrace

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

О Kaspersky CyberTrace

11 апреля 2024

ID 162416

Добро пожаловать в документацию Kaspersky CyberTrace.

Что такое Kaspersky CyberTrace

Kaspersky CyberTrace — это платформа анализа киберугроз (Threat Intelligence Platform), обеспечивающая агрегацию индикаторов компрометации из различных источников, в том числе из потоков данных об угрозах Лаборатории Касперского, и интеграцию с решениями класса SIEM (Security Information and Event Management) для автоматического поиска индикаторов компрометации (IoC) в журналах событий безопасности и формирования уведомлений об инцидентах в рамках существующих процессов центра информационной безопасности организации.

Kaspersky CyberTrace использует регулярно обновляемые потоки данных об угрозах для актуализации используемой базы индикаторов компрометации с целью обнаружения угроз в журналах событий безопасности и информирования специалистов безопасности о рисках, связанных с той или иной угрозой.

Kaspersky CyberTrace поддерживает интеграцию с источниками данных об угрозах (потоки данных об угрозах от Kaspersky и других поставщиков, OSINT или пользовательские источники), решениями SIEM и источниками журналов событий безопасности. В случае обнаружения IoC в журналах событий безопасности Kaspersky CyberTrace автоматически отправляет в SIEM сообщение об обнаруженном индикаторе, вместе с дополнительной контекстной информацией. Платформа Kaspersky CyberTrace предоставляет аналитикам набор инструментов для классификации информационных сообщений и приоритезации реагирования на них посредством категоризации и дедупликации.

Схема использования Kaspersky CyberTrace внутри корпоративной сети.

Kaspersky CyberTrace внутри корпоративной сети

Функциональные возможности Kaspersky CyberTrace:

  • Автоматическое высокопроизводительное сопоставление входящих журналов и событий безопасности с потоками данных об угрозах Kaspersky Threat Data Feeds, потоками данных OSINT feed или любыми другими пользовательскими потоками данных об угрозах в наиболее популярных форматах (JSON, STIX, XML, CSV, MISP). Демонстрационные потоки данных об угрозах от Kaspersky и OSINT доступны по умолчанию.
  • Внутренний процесс парсинга и сопоставления входящих событий с IoC на стороне Kaspersky CyberTrace значительно снижает нагрузку на SIEM-решение. Kaspersky CyberTrace выполняет парсинг входящих журналов и событий, сопоставляет полученные данные с потоками данных об угрозах и генерирует информационные сообщения при обнаружении киберугроз. Таким образом, на стороне SIEM-решения осуществляется обработка существенно меньшего объема данных.
  • Генерируется статистика использования потоков данных об угрозах, что позволяет измерять их эффективность.
  • Исследование угроз с помощью поиска конкретных индикаторов (хешей, IP-адресов, доменов, URL) по требованию, а также возможность ручной загрузки журнала событий безопасности с целью генерации отчета об обнаруженных IoC.
  • Универсальный подход к интеграции возможностей сопоставления угроз с решениями SIEM и другими средствами контроля безопасности. Коннекторы SIEM для широкого спектра SIEM-решений позволяют визуализировать данные об обнаруженных киберугрозах и эффективно управлять ими.
  • Данные об IoC вместе с контекстной информацией хранятся в оперативной памяти для быстрого доступа и фильтрации.
  • Веб-интерфейс Kaspersky CyberTrace обеспечивает визуализацию данных, возможности поиска IoC по требованию и доступ к настройке Kaspersky CyberTrace. Веб-интерфейс Kaspersky CyberTrace также поддерживает управление потоками данных об угрозах, правилами парсинга журналов, пользовательскими данными о киберугрозах и списками ложных срабатываний, а также источниками событий.
  • Интерфейс командной строки для платформ Windows и Linux.
  • Расширенные возможности фильтрации потоков данных об угрозах и событий журнала. Потоки данных об угрозах можно конвертировать и фильтровать на основе широкого набора критериев, таких как время, популярность, географическое положение и тип угрозы. События журнала можно фильтровать на основе пользовательских условий.
  • Поддержка частичного развертывания в демилитаризованной зоне (DMZ). Сервер, на котором выполняется сопоставление данных о событиях с потоками данных об угрозах, может быть изолирован от сети Интернет и получать обновления потоков данных об угрозах от компонента, установленного в DMZ.
  • В автономном режиме, когда Kaspersky CyberTrace не интегрируется с SIEM-решениями, Kaspersky CyberTrace получает журналы из различных источников, таких как сетевые устройства, обрабатывает эти журналы в соответствии с заданными правилами нормализации и выполняет парсинг журналов в соответствии с заданными регулярными выражениями.
  • Результаты поиска, успешно сопоставленные с потоками данных об угрозах, можно экспортировать в формате CSV для интеграции с другими системами (сетевыми экранами, системами обнаружения и предотвращения вторжений (IDS/IPS), пользовательскими инструментами.
  • Деобфускация для обнаружения угроз, использующих техники сокрытия вредоносных действий в журналах безопасности.

Основными компонентами Kaspersky CyberTrace являются Kaspersky CyberTrace Service, Feed Utility, Log Scanner и веб-интерфейс Kaspersky CyberTrace.

Схема основных компонентов CyberTrace.

Основные компоненты Kaspersky CyberTrace

Подробнее о том, как работает Kaspersky CyberTrace , смотрите в видео ниже:

Содержание документации

Эта документация разделена на несколько глав:

В этом разделе

Что нового

О потоках данных об угрозах и сертификатах

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!