Поиск индикаторов в файлах журналов

Для поиска индикаторов в файлах журналов необходимо выбрать вкладку Log file после выбора вкладки Search.

Все файлы журналов, передаваемые в Kaspersky CyberTrace для проверки, должны быть в кодировке UTF-8. Если файлы журналов имеют другую кодировку, необходимо преобразовать их в кодировку UTF-8.

Вкладка Log file

Поиск объектов

Можно выполнять поиск в одном или нескольких файлах журнала.

Для поиска индикаторов в файлах журналов выполните следующие действия:

1. Выберите файлы журналов, в которых требуется выполнить поиск. Выполните одно из следующих действий:
   • Нажмите на кнопку Select files, затем выберите файлы журналов.
   • Перетащите файлы журналов в цветную область.
2. Нажмите на кнопку Search.

Результат поиска отображается в разделе Summary.

Не следует использовать потоки данных об угрозах в качестве файлов журналов для поиска. Результаты проверки будут содержать большое количество совпадений, что сделает результаты неинформативными.

Результат поиска

После выполнения поиска результаты отображаются в веб-интерфейсе CyberTrace в разделе Summary.

Раздел Summary

Результат поиска включает в себя следующие данные:

• Сводная информация о результатах поиска:
  • Количество обработанных файлов журналов
  • Количество обнаруженных индикаторов
  • Количество обработанных строк
  • Количество обнаруженных киберугроз по каждой категории
• Информация о топ-100 сопоставленных индикаторах
• Ссылка на загрузку отчета о результатах поиска

По каждой позиции из топ-100 сопоставленных индикаторов отображается следующая информация:

• Количество вхождений в проверенных файлах журналов
• Имя файла журналов и строки, содержащие обнаруженный индикатор

  Отображается до трех строк. Чтобы просмотреть другие строки, содержащие обнаруженный индикатор, нажмите Show first 100 matches.

  Обнаруженный индикатор снабжается гиперссылкой на подробную информацию о нем.

  Эта информация отображается в таблице в нижней части карточки индикатора.

• Поля записей потока данных об угрозах, сопоставленных с индикатором

  Эта информация отображается в таблице в верхней части карточки индикатора.

Если информация об индикаторах не найдена в файле журнала, отображается сообщение об этом.

Обратите внимание, что если после запуска поиска перейти на другую вкладку, результаты поиска добавляются в историю поисковых запросов.

Загрузка отчетов о поиске

Отчет с результатами операции поиска можно скачать. Отчет представляет собой файл .csv.

Чтобы скачать отчет, выполните следующие действия:

Нажмите на ссылку Download report и укажите каталог, в который требуется сохранить отчет.

Полный отчет о результатах поиска содержит следующие поля:

• file_name — имя файла журнала
• file_line — строка в файле журнала, содержащая обнаруженный индикатор
• detected_indicator — обнаруженный индикатор
• category — категория обнаруженного индикатора
• Поля контекста из потока данных об угрозах

Файлы с отчетами о поиске хранятся в каталоге httpsrv. Открывать этот каталог имеет право только администратор (в Windows) или пользователь root (в Linux).

Регулярные выражения для поиска индикаторов в файлах журналов

Для парсинга файлов журналов для поиска индикаторов в веб-интерфейсе CyberTrace используются регулярные выражения, определенные в конфигурационном файле Kaspersky CyberTrace Service. Регулярные выражения задаются специальным источником событий с именем http_file_lookup.