Работа с индикаторами
11 апреля 2024
ID 194524
Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.
В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Indicators. Этот раздел позволяет выполнять следующие действия:
- Просмотр списка индикаторов из базы данных индикаторов (далее также именуется базой данных).
- Выполнять поиск по индикатору.
- Добавлять новые индикаторы в базу данных.
Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута
supplier_name
. - Удалять индикаторы из базы данных.
- Добавлять существующие индикаторы к источнику данных об угрозах FalsePositive (отмечать как ложное срабатывание).
- Просматривать подробную информацию об индикаторах.
- Фильтровать показатели по источникам данных об угрозах.
При применении этого фильтра и выборе нескольких источников данных об угрозах Kaspersky CyberTrace показывает только те индикаторы, каждый из которых был предоставлен всеми выбранными источниками данных об угрозах.
- Фильтровать индикаторы по тегам.
- Фильтровать индикаторы по типу.
Чтобы использовать этот фильтр, нажмите на заголовок столбца Type и в открывшейся форме фильтра выберите типы индикаторов, которые должны отображаться в списке.
Источники данных об угрозах FalsePositive и InternalTI
Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:
- Источник данных об угрозах FalsePositive предназначен для существующих индикаторов, которые пользователи отмечают как ложные срабатывания в веб-интерфейсе CyberTrace.
- Источник данных об угрозах InternalTI предназначен для новых индикаторов, которые пользователи добавляют в базу данных в веб-интерфейсе CyberTrace или через REST API.
Индикаторы поставщиков InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.