Просмотр обнаруженных киберугроз
11 апреля 2024
ID 193678
На вкладке Detections веб-интерфейса Kaspersky CyberTrace отображается информация о входящих событиях, которые привели к возникновению обнаруженных киберугроз в Kaspersky CyberTrace, в том числе источники событий и события обнаруженных киберугроз. Эту вкладку можно использовать для поиска событий и фильтрации событий по критериям. Вкладка Detections содержит следующие элементы:
- Панель поиска
- Переключатель Search also in detection events
- Переключатель Auto-update table
- Таблица с информацией об обнаруженных киберугрозах
Поиск по обнаруженным киберугрозам
С помощью строки поиска можно выполнять полнотекстовый поиск по обнаруженным киберугрозам. Текстовая строка в поисковом запросе токенизируется таким образом, чтобы результаты поиска содержали как точные, так и нечеткие совпадения. Подстановочные знаки не поддерживаются.
Результаты поиска отображаются в таблице ниже.
Если включен переключатель Search also in detection events, Kaspersky CyberTrace будет искать текстовую строку во входящих событиях и событиях обнаруженных киберугроз. В противном случае поиск выполняется только по входящим событиям. По умолчанию переключатель Search also in detection events включен.
Таблица с информацией об обнаруженных киберугрозах содержит следующие столбцы:
- Detection date
В этом столбце содержится системная дата и время обнаружения киберугрозы (в формате
гггг-мм-дд ЧЧ: ММ: СС
). - Tenant
В этом столбце содержится имя тенанта. Отображается только в режиме мультитенатности при наличии нескольких тенантов.
- Source
В этом столбце содержится имя источника события.
Этот столбец может содержать имя источника, которого уже нет в CyberTrace. Такая ситуация может возникнуть для обнаружения ретроспективного сканирования в том случае, если источник был удален или переименован после сохранения входящего события.
- Category
В этом столбце содержится категория обнаруженного объекта.
Записанное имя категории не меняется, даже если изменится имя источника данных об угрозах.
- Tag
В этом столбце содержится список тегов, присвоенных индикатору, на который сработало обнаружение киберугрозы.
- Total tag weight
В этом столбце содержится суммарный весовой коэффициент тегов в столбце Теги.
- Retroscan
В этом столбце отображаются флажки или прочерки, указывающие на наличие или отсутствие обнаружений в результатах ретроспективного сканирования.
- Details
В этом столбце содержится индикатор из базы данных, сопоставленный с входящим событием.
В каждой строке таблицы содержится информация об отдельной обнаруженной киберугрозе. Нажатие на обнаружение киберугрозы позволяет просмотреть следующую подробную информацию:
- Source event
В этом разделе содержатся подстроки, извлеченные из входящего события с помощью регулярных выражений, а также исходное событие целиком.
- Событие обнаруженной киберугрозы
В этом разделе содержатся контекстные поля сопоставленного индикатора в формате
%FieldName%=%Value%
и событие обнаруженной киберугрозы целиком.где:
%FieldName%
— это имя регулярного выражения, которое использовалось для парсинга входящего события, или имя поля записи потока данных об угрозах, которое было успешно сопоставлено с обнаруженным индикатором.%Value%
— это значение регулярного выражения, которое использовалось для парсинга входящего события, или значение записи потока данных об угрозах, успешно сопоставленное с обнаруженным индикатором.
Обнаруженные киберугрозы в таблице сортируются по дате и времени в порядке убывания.
Если переключатель Auto-update table включен, Kaspersky CyberTrace добавляет в таблицу новую информацию об обнаруженных киберугрозах каждые 10 секунд.
Фильтрация обнаруженных киберугроз
Обнаруженные киберугрозы в таблице можно фильтровать по следующим критериям:
- Detection date
Можно указать период времени или конкретную дату.
- Tenant
Если добавлено несколько тенантов, можно указать одно или несколько имен тенантов.
- Источник
Если добавлено несколько источников событий, можно указать один или несколько источников событий.
- Категория
Если добавлено несколько категорий, можно указать одну или несколько категорий обнаруженного объекта.
- Retroscan
Можно выбрать для отображения в таблице все обнаружения, обнаружения ретроспективного сканирования или обнаружения без ретроспективного сканирования.
Чтобы отфильтровать обнаруженные киберугрозы в таблице по определенным критериям, выполните следующие действия:
- Нажмите на столбец, который требуется использовать в качестве критерия фильтрации.
- Укажите условие фильтрации и нажмите на кнопку Apply.
Содержимое таблицы обновится и в нее будут включены только обнаруженные киберугрозы, соответствующие заданным условиям.
Можно указать несколько критериев фильтрации.
По умолчанию условия фильтрации не применяются.
Ниже приведен список доступных категорий обнаружения. Эти категории применимы к каналам Kaspersky и OSINT, поддерживаемым Kaspersky CyberTrace.
Категория обнаружения киберугрозы | Описание |
KL_APT_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании. |
KL_APT_IP | Kaspersky CyberTrace обнаруживает IP-адрес, используемый в APT-кампании. |
KL_APT_URL | Kaspersky CyberTrace обнаруживает URL, используемый в APT-кампании. |
KL_BotnetCnC_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш ботнета. |
KL_BotnetCnC_URL | Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) ботнета. |
KL_ICS_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_ICS_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_ICS_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш ICS. |
KL_InternalTI_URL | URL списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_IP | IP-адрес списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_MD5 | Хеш списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_SHA1 | Хеш списка InternalTI Kaspersky CyberTrace. |
KL_InternalTI_Hash_SHA256 | Хеш списка InternalTI Kaspersky CyberTrace. |
KL_IoT_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш IoT. |
KL_IoT_URL | Kaspersky CyberTrace обнаруживает URL, заражающий устройства с поддержкой интернета вещей (IoT). |
KL_IP_Reputation | Kaspersky CyberTrace обнаруживает вредоносный IP-адрес. |
KL_IP_Reputation_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_IP_Reputation_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_IP_Reputation_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе. |
KL_Malicious_URL | Kaspersky CyberTrace обнаруживает вредоносный URL. |
KL_Malicious_URL_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_URL_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_URL_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL. |
KL_Malicious_Hash_MD5 | Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Malicious_Hash_SHA1 | Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Malicious_Hash_SHA256 | Kaspersky CyberTrace обнаруживает вредоносный хеш. |
KL_Mobile_Malicious_Hash_MD5 | Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_Malicious_Hash_SHA1 | Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_Malicious_Hash_SHA256 | Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш. |
KL_Mobile_BotnetCnC_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета. |
KL_Mobile_BotnetCnC_URL | Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) мобильного ботнета. |
KL_Phishing_URL | Kaspersky CyberTrace обнаруживает фишинговый URL. |
KL_Ransomware_URL | Kaspersky CyberTrace обнаруживает URL, на котором размещена программа-вымогатель. |
KL_Ransomware_URL_Hash_MD5 | Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
KL_Ransomware_URL_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
KL_Ransomware_URL_Hash_SHA256 | Kaspersky CyberTrace обнаруживает хеш программы-вымогателя. |
AbuseCh_Feodo_Block_IP | Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Feodo_Block_IP. |
AbuseCh_Ransomware_Block_URL | Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Block_URL. |
AbuseCh_Ransomware_Block_Domain | Kaspersky CyberTrace обнаруживает домен из потока данных об угрозах Abuse.Ch_Ransomware_Block_Domain. |
AbuseCh_Ransomware_Block_IP | Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Ransomware_Block_IP. |
AbuseCh_Ransomware_Common_URL | Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Common_URL. |
AbuseCh_SSL_Certificate_Block_IP | Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах AbuseCh_SSL_Certificate_Block_IP. |
AbuseCh_SSL_Certificate_Hash_SHA1 | Kaspersky CyberTrace обнаруживает хеш из потока данных об угрозах AbuseCh_SSL_Certificate_Hash_SHA1. |
BlocklistDe_Block_IP | Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах BlocklistDe_Block_IP. |
CyberCrime_Tracker_Block_Url | Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах CyberCrime_Tracker_Block_Url. |
EmergingThreats_Block_IP | Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Block_IP. |
EmergingThreats_Compromised_IP | Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Compromised_IP. |