Настройка пользовательского или стороннего потока данных об угрозах
11 апреля 2024
ID 198936
В этом разделе описывается порядок настройки пользовательского или стороннего потока данных об угрозах. Убедитесь, что в раскрывающемся списке всех имеющихся тенантов в левом верхнем углу окна выбран тенант «General».
Изменение настроек пользовательского или стороннего потока данных об угрозах
Чтобы изменить настройки пользовательского или стороннего потока данных об угрозах, выполните следующие действия:
- В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется настроить.
Вы не можете изменить настройки для источника данных об угрозах Internal TI (пользовательские сведения о киберугрозах).
- Нажмите на имя потока данных об угрозах, который требуется изменить, затем нажмите кнопку Edit.
Изменение пользовательского или стороннего потока данных об угрозах
- В открывшемся окне Edit custom feed внесите необходимые изменения.
- Нажмите на кнопку Save.
Изменить можно все параметры пользовательского или стороннего потока данных об угрозах кроме его типа. Например, невозможно превратить поток данных об угрозах CSV в JSON.
Добавление новых полей в пользовательский или сторонний поток данных об угрозах
Если в пользовательский или сторонний поток данных об угрозах было добавлено новое поле или поля, и эти новые поля должны использоваться в Kaspersky CyberTrace, выполните следующие действия:
- Для потока данных об угрозах CSV, JSON или XML выполните действия в порядке, описанном в подразделе «Изменение настроек пользовательского или стороннего потока данных об угрозах» выше, чтобы открыть окно Edit custom feed. Затем добавьте каждое новое поле, для этого нажмите кнопку Add new rule и укажите значения, описанные выше в разделе «Шаг 2. Настройка полей потока данных об угрозах, используемых для сопоставления».
Если не указать новые поля потока данных об угрозах, они будут содержаться в потоке данных об угрозах, но они не будут отображаться в подразделе Available fields и не будут использоваться в процессе сопоставления.
- Для потока данных об угрозах STIX в разделе Filtering rules for feeds нажмите на имя потока данных об угрозах и в подразделе Available fields выберите новое поле или поля, которые должны использоваться в CyberTrace, затем нажмите кнопку Save. Подробнее о правилах фильтрации.
Удаление пользовательского или стороннего потока данных об угрозах
Чтобы удалить пользовательский или сторонний поток данных об угрозах, выполните следующие действия:
- В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется удалить.
Источник данных об угрозах Internal TI (пользовательские сведения о киберугрозах) удалить невозможно.
- Нажмите на имя потока данных об угрозах, который требуется удалить, затем нажмите кнопку Delete.