Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства пользователя

Использование веб-интерфейса Kaspersky CyberTrace

Поиск индикаторов

Поиск по отдельному индикатору

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Поиск по отдельному индикатору

11 апреля 2024

ID 172899

Для поиска по отдельному индикатору необходимо перейти на вкладку Indicator после перехода на вкладку Search.

Вкладка Search → Indicator в CyberTrace.

Вкладка Indicator

Поиск объектов

Можно выполнять поиск индикаторов следующих типов:

  • Hash
  • IP Address
  • Domain
  • URL

Чтобы выполнить поиск индикатора, выполните следующие действия:

  1. Введите индикатор в поле поиска.
  2. Нажмите на кнопку Search.

Результат поиска отображается в разделе Detections.

Синтаксис поиска индикаторов

Поиск URL можно выполнить двумя способами:

  • Путем указания полного URL
  • Путем указания только доменного имени

При поиске хеша или IP-адреса необходимо указывать полный индикатор, как описано в разделе о синтаксисе поиска индикаторов.

Результат поиска

После выполнения поиска результаты отображаются в веб-интерфейсе CyberTrace в разделе Detections.

Раздел Detections в CyberTrace.

Раздел Detections

Результат поиска включает в себя следующие данные:

  • Запрашиваемый индикатор
  • Категория запрашиваемого индикатора

    Эта информация отображается в столбце Category.

  • Поля записей потока данных об угрозах, сопоставленных с индикатором

    Если в потоках данных об угрозах отсутствует информация о запрошенном индикаторе, отображается сообщение об этом.

    Эта информация отображается в столбце Context.

  • Ссылка или ссылки на подробную информацию о запрашиваемом индикаторе

    Ссылки отображаются в виде полей в столбце Context.

Если индикатор не обнаружен, потому что он принадлежит источнику данных об угрозах FalsePositive, результат поиска будет состоять из следующих данных:

  • Запрашиваемый индикатор
  • Сообщение об отсутствии обнаруженных киберугроз
  • Ссылка или ссылки на подробную информацию о запрашиваемом индикаторе

Если информация по запрашиваемому индикатору не найдена, выводится сообщение об этом. В этом сообщении отображается ссылка на страницу поиска Kaspersky Threat Intelligence Portal.

Обратите внимание, что если после запуска поиска перейти на другую вкладку, результаты поиска добавляются в историю поисковых запросов.

Загрузка отчетов о поиске

Отчет с результатами операции поиска можно скачать. Отчет представляет собой файл .csv.

Чтобы скачать отчет, выполните следующие действия:

Нажмите на ссылку Download report и укажите каталог, в который требуется сохранить отчет.

Регулярные выражения для поиска индикаторов

Для поиска индикаторов в веб-интерфейсе CyberTrace используются регулярные выражения, определенные в конфигурационном файле Kaspersky CyberTrace Service. Регулярные выражения задаются специальным источником событий с именем http_single_lookup.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!