Настройка пользовательского или стороннего потока данных об угрозах

В этом разделе описывается порядок настройки пользовательского или стороннего потока данных об угрозах. Убедитесь, что в раскрывающемся списке всех имеющихся тенантов в левом верхнем углу окна выбран тенант «General».

Изменение настроек пользовательского или стороннего потока данных об угрозах

Чтобы изменить настройки пользовательского или стороннего потока данных об угрозах, выполните следующие действия:

1. В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется настроить.

   Вы не можете изменить настройки для источника данных об угрозах Internal TI (пользовательские сведения о киберугрозах).

2. Нажмите на имя потока данных об угрозах, который требуется изменить, затем нажмите кнопку Edit.

   

   Изменение пользовательского или стороннего потока данных об угрозах

3. В открывшемся окне Edit custom feed внесите необходимые изменения.
4. Нажмите на кнопку Save.

Изменить можно все параметры пользовательского или стороннего потока данных об угрозах кроме его типа. Например, невозможно превратить поток данных об угрозах CSV в JSON.

Добавление новых полей в пользовательский или сторонний поток данных об угрозах

Если в пользовательский или сторонний поток данных об угрозах было добавлено новое поле или поля, и эти новые поля должны использоваться в Kaspersky CyberTrace, выполните следующие действия:

• Для потока данных об угрозах CSV, JSON или XML выполните действия в порядке, описанном в подразделе «Изменение настроек пользовательского или стороннего потока данных об угрозах» выше, чтобы открыть окно Edit custom feed. Затем добавьте каждое новое поле, для этого нажмите кнопку Add new rule и укажите значения, описанные выше в разделе «Шаг 2. Настройка полей потока данных об угрозах, используемых для сопоставления».

  Если не указать новые поля потока данных об угрозах, они будут содержаться в потоке данных об угрозах, но они не будут отображаться в подразделе Available fields и не будут использоваться в процессе сопоставления.

• Для потока данных об угрозах STIX в разделе Filtering rules for feeds нажмите на имя потока данных об угрозах и в подразделе Available fields выберите новое поле или поля, которые должны использоваться в CyberTrace, затем нажмите кнопку Save. Подробнее о правилах фильтрации.

Удаление пользовательского или стороннего потока данных об угрозах

Чтобы удалить пользовательский или сторонний поток данных об угрозах, выполните следующие действия:

1. В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется удалить.

   Источник данных об угрозах Internal TI (пользовательские сведения о киберугрозах) удалить невозможно.

2. Нажмите на имя потока данных об угрозах, который требуется удалить, затем нажмите кнопку Delete.