Поиск по отдельному индикатору
11 апреля 2024
ID 172899
Для поиска по отдельному индикатору необходимо перейти на вкладку Indicator после перехода на вкладку Search.
Вкладка Indicator
Поиск объектов
Можно выполнять поиск индикаторов следующих типов:
- Hash
- IP Address
- Domain
- URL
Чтобы выполнить поиск индикатора, выполните следующие действия:
- Введите индикатор в поле поиска.
- Нажмите на кнопку Search.
Результат поиска отображается в разделе Detections.
Синтаксис поиска индикаторов
Поиск URL можно выполнить двумя способами:
- Путем указания полного URL
- Путем указания только доменного имени
При поиске хеша или IP-адреса необходимо указывать полный индикатор, как описано в разделе о синтаксисе поиска индикаторов.
Результат поиска
После выполнения поиска результаты отображаются в веб-интерфейсе CyberTrace в разделе Detections.
Раздел Detections
Результат поиска включает в себя следующие данные:
- Запрашиваемый индикатор
- Категория запрашиваемого индикатора
Эта информация отображается в столбце Category.
- Поля записей потока данных об угрозах, сопоставленных с индикатором
Если в потоках данных об угрозах отсутствует информация о запрошенном индикаторе, отображается сообщение об этом.
Эта информация отображается в столбце Context.
- Ссылка или ссылки на подробную информацию о запрашиваемом индикаторе
Ссылки отображаются в виде полей в столбце Context.
Если индикатор не обнаружен, потому что он принадлежит источнику данных об угрозах FalsePositive, результат поиска будет состоять из следующих данных:
- Запрашиваемый индикатор
- Сообщение об отсутствии обнаруженных киберугроз
- Ссылка или ссылки на подробную информацию о запрашиваемом индикаторе
Если информация по запрашиваемому индикатору не найдена, выводится сообщение об этом. В этом сообщении отображается ссылка на страницу поиска Kaspersky Threat Intelligence Portal.
Обратите внимание, что если после запуска поиска перейти на другую вкладку, результаты поиска добавляются в историю поисковых запросов.
Загрузка отчетов о поиске
Отчет с результатами операции поиска можно скачать. Отчет представляет собой файл .csv.
Чтобы скачать отчет, выполните следующие действия:
Нажмите на ссылку Download report и укажите каталог, в который требуется сохранить отчет.
Регулярные выражения для поиска индикаторов
Для поиска индикаторов в веб-интерфейсе CyberTrace используются регулярные выражения, определенные в конфигурационном файле Kaspersky CyberTrace Service. Регулярные выражения задаются специальным источником событий с именем http_single_lookup
.