Выбор доступных полей для потока данных об угрозах

В этом разделе описывается порядок указания полей, которые должны быть включены в поток данных об угрозах. Убедитесь, что в раскрывающемся списке всех имеющихся тенантов в левом верхнем углу окна выбран тенант «General».

О доступных полях

Доступные поля для потока данных об угрозах определяют, какие поля из исходного потока данных об угрозах Kaspersky CyberTrace необходимо включить в итоговый поток данных об угрозах. Например, если указать, что игнорироваться должны все поля в потоке данных об угрозах, кроме одного, в итоговом потоке данных об угрозах для каждой записи будет только одно поле.

В потоке данных об угрозах должно быть хотя бы одно доступное поле, которое используется для сопоставления. Это поле должно содержать IP-адреса, хеши или URL.

В исходных файлах потоков данных об угрозах некоторые записи могут иметь дополнительные поля или не иметь некоторых полей; у одной записи может быть меньше или больше полей по сравнению с другой записью.

Если у записи есть дополнительное поле и это поле выбрано для включения в поток данных об угрозах, в итоговом потоке данных об угрозах запись будет иметь это поле. Если у записи есть дополнительное поле, и это поле не выбрано для включения в поток данных об угрозах, у записи не будет этого поля в итоговом потоке данных об угрозах.

Если у записи нет поля, и это поле выбрано для включения в поток данных об угрозах, у записи не будет этого поля. Если у записи нет поля, и это поле не выбрано для включения в поток данных об угрозах, у записи не будет этого поля.

Если требуется исключить из вывода записи с недостающими полями, необходимо создать правила фильтрации для всех обязательных полей. Для значений полей можно задавать критерии.

Выбор доступных полей для потока данных об угрозах

Выбор доступных полей потока данных об угрозах

Чтобы выбрать доступные поля для потока данных об угрозах, выполните следующие действия:

1. Перейдите на страницу Settings.
2. Откройте вкладку Feeds.
3. В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется настроить.

   Для источника данных об угрозах Internal TI (пользовательские сведения о киберугрозах) невозможно включать или исключать доступные поля.

4. Найдите поток данных об угрозах, который требуется настроить, и разверните соответствующий раздел.
5. В разделе настроек отдельного потока данных об угрозах найдите раздел Available fields.
6. Выберите поля, которые требуется включить, и снимите выделение с полей, которые требуется исключить.
7. Прокрутите вкладку Feeds до конца и нажмите кнопку Save.