Настройка ретроспективного сканирования
11 апреля 2024
ID 199877
Kaspersky CyberTrace позволяет сохранять события, которые могут содержать необнаруженные индикаторы, выполнять их ретроспективное сканирование по индикаторам из обновленных потоков данных об угрозах и просматривать результаты ретроспективного сканирования. В этом разделе описывается порядок настройки Kaspersky CyberTrace для использования ретроспективного сканирования.
На вкладке Retrospective scan можно выполнять следующие действия:
- Включение и выключение ретроспективного сканирования.
- Просмотр текущего объема сохраненных событий.
- Удаление сохраненных событий.
Во время ретроспективного сканирования сохраненные события удалять невозможно. Прежде чем отключить ретроспективное сканирование и удалить сохраненные события, необходимо дождаться завершения текущей задачи ретроспективного сканирования.
Вкладка Retrospective scan
- На вкладке General settings задайте следующие настройки:
- Задайте частоту выполнения задачи ретроспективного сканирования по расписанию или отключите сканирование по расписанию. Если выбран вариант Every month, ретроспективное сканирование запускается каждые 30 дней.
- Включите или выключите ограничение на размер событий, сохраняемых для ретроспективного сканирования.
- Установите максимальный объем событий (в гигабайтах), сохраняемых для ретроспективного сканирования.
- Укажите, как долго (в днях) должны храниться события, используемые для ретроспективного сканирования.
- Укажите, как долго (в днях) должны храниться результаты ретроспективного сканирования.
Вкладка General settings
- На вкладке Feeds used in retroscan включите или отключите потоки данных об угрозах, которые необходимо использовать при ретроспективном сканировании.
Вкладка Feeds used in retroscan
- На вкладке Fields saved for retroscan задайте следующие настройки:
- Включите или выключите сохранение событий, связанных с конкретным тенантом, для использования в ретроспективном сканировании.
Если исключить тенант из ретроспективного сканирования, регулярные выражения, содержащиеся в этом тенанте, станут недоступны для выбора.
- Выберите регулярные выражения, содержащиеся в тенанте, для использования в ретроспективном сканировании.
Необходимо выбрать хотя бы одно регулярное выражение.
Вкладка Fields saved for retroscan
- Включите или выключите сохранение событий, связанных с конкретным тенантом, для использования в ретроспективном сканировании.
Рекомендации по настройке ретроспективного сканирования
Ретроспективное сканирование – это ресурсоемкий процесс, который может потребовать много времени, если применять его к огромным объемам данных. Для более эффективного использования ретроспективного сканирования без поиска индикаторов для всех входящих событий рекомендуется выделить события, для которых будет выполняться ретроспективное сканирование, в отдельный источник событий.
Чтобы добавить источник для ретроспективного сканирования, выполните следующие действия:
- На вкладке Settings > Matching нажмите Add new event source.
- Добавьте регулярное выражение для выделения события (например, для формата события syslog это может быть
^\<d+\>.*$
). - Нажмите на кнопку Next.
Откроется окно со свойствами только что добавленного источника.
- На вкладке Regular expressions добавьте типы индикаторов, которые могут поступить из этого источника.
- Задайте имя правила, характерное для данного источника и типа индикатора (например,
RE_IP_NEW_SIEM
).Регулярные выражения для различных источников событий см. в разделе Регулярные выражения для популярных источников событий.
- Нажмите на кнопку OK, чтобы убедиться, что новый источник успешно добавлен.
- Перейдите на вкладку Settings > Retroscan и выберите вкладку Fields saved for retroscan.
- Включите только те источники и их регулярные выражения, которые необходимы для ретроспективного сканирования.
- Сохраните изменения.
>Служебные оповещения, связанные с ретроспективным сканированием
Kaspersky CyberTrace генерирует следующие служебные оповещения, чтобы информировать вас о процессе ретроспективной проверки:
KL_ALERT_RetroScanCompleted
KL_ALERT_RetroScanError
KL_ALERT_RetroScanStorageExceeded
Подробную информацию об этих оповещениях см. в разделе «Оповещения о событиях, отправляемые Kaspersky CyberTrace».