Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства пользователя

Использование веб-интерфейса Kaspersky CyberTrace

Работа с индикаторами

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Работа с индикаторами

11 апреля 2024

ID 194524

Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.

В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Indicators. Этот раздел позволяет выполнять следующие действия:

  • Просмотр списка индикаторов из базы данных индикаторов (далее также именуется базой данных).
  • Выполнять поиск по индикатору.
  • Добавлять новые индикаторы в базу данных.

    Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута supplier_name.

  • Удалять индикаторы из базы данных.
  • Добавлять существующие индикаторы к источнику данных об угрозах FalsePositive (отмечать как ложное срабатывание).
  • Просматривать подробную информацию об индикаторах.
  • Фильтровать показатели по источникам данных об угрозах.

    При применении этого фильтра и выборе нескольких источников данных об угрозах Kaspersky CyberTrace показывает только те индикаторы, каждый из которых был предоставлен всеми выбранными источниками данных об угрозах.

  • Фильтровать индикаторы по тегам.
  • Фильтровать индикаторы по типу.

    Чтобы использовать этот фильтр, нажмите на заголовок столбца Type и в открывшейся форме фильтра выберите типы индикаторов, которые должны отображаться в списке.

Источники данных об угрозах FalsePositive и InternalTI

Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:

  • Источник данных об угрозах FalsePositive предназначен для существующих индикаторов, которые пользователи отмечают как ложные срабатывания в веб-интерфейсе CyberTrace.
  • Источник данных об угрозах InternalTI предназначен для новых индикаторов, которые пользователи добавляют в базу данных в веб-интерфейсе CyberTrace или через REST API.

Индикаторы поставщиков InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.

В этом разделе

Синтаксис поиска

Результат поиска

Управление поисковыми запросами

Просмотр подробной информации об индикаторах

Экспорт индикаторов в CSV

Правила нормализации URL

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!