Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства пользователя

Использование веб-интерфейса Kaspersky CyberTrace

Работа с индикаторами

Синтаксис поиска

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Синтаксис поиска

11 апреля 2024

ID 203344

Kaspersky CyberTrace позволяет выполнять поиск в базе индикаторов по следующим именам атрибутов:

Имя атрибута

Описание

ioc_type

Тип индикатора.

ioc_value

Значение индикатора.

ioc_created_date

Дата и время, когда запрошенный индикатор был добавлен в базу данных.

ioc_updated_date

Дата и время последнего обновления индикатора.

ioc_comment

Комментарий к индикатору.

ioc_summary

Сводная информация об индикаторе от источника данных об угрозах InternalTI.

ioc_first_detected_date

Дата и время, когда событие обнаруженной киберугрозы в было впервые получено.

ioc_last_detected_date

Дата и время последнего получения события обнаруженной киберугрозы.

username

Имя пользователя, добавившего индикатор в источник данных об угрозах InternalTI/FalsePositive.

ioc_supplier_can_match

Флаг, показывающий, что индикатор может использоваться в процессе сопоставления.

Этот флаг применяется к индикаторам, которые должны были быть удалены во время обновления источника данных об угрозах или по истечении срока хранения, но не были удалены, поскольку они принадлежат источнику данных об угрозах InternalTI, или поскольку такие индикаторы были задействованы в процессе обнаружения киберугроз.

Этот параметр может принимать значения true или false.

ioc_supplier_last_updated_date

Дата и время последнего обновления информации об индикаторе от источника данных об угрозах.

ioc_supplier_send_match_event

Флаг отправки событий обнаружений киберугроз в SIEM-решение.

supplier_name

Имя источника данных об угрозах, из которого был получен индикатор.

В Kaspersky CyberTrace поддерживаются следующие типы источников данных об угрозах:

  • Загруженный файл потока данных об угрозах

    Для этого типа источника данных об угрозах в качестве значения атрибута supplier_name выступает имя файла потока данных об угрозах, указанного в kl_feed_util.conf.

  • Запрос REST API

    Для этого типа источника данных об угрозах значение атрибута supplier_name — это имя источника данных об угрозах, добавленного через REST API.

  • Пользовательский веб-интерфейс (источники данных об угрозах InternalTI и FalsePositive)

    Для этого типа источника данных об угрозах значение атрибута supplier_name зависит от списка, в добавляется индикатор (InternalTI или FalsePositive).

    Если вы новый индикатор добавляется на вкладке Indicators в веб-интерфейсе Kaspersky CyberTrace, используется значение InternalTI.

Если вы индикатор добавляется в список ложных срабатываний в окне False positives на вкладке Feeds или если индикатор отмечается как ложное срабатывание, используется значение FalsePositive.

supplier_confidence

Уровень доверия к источнику данных об угрозах.

supplier_vendor_name

Имя поставщика источника данных об угрозах.

ioc_supplier_context

Контекстная информация, относящаяся к индикатору.

Этот атрибут может содержать вложенные атрибуты. Правило для поиска всех вложенных атрибутов описано ниже.

Для поисковых запросов используется следующий синтаксис:

  • Если в поисковом запросе для подстроки используются специальные символы ([пробел], +, -, =, &&, ||, >, <, !, (, ), {, }, [, ], ^, ", ~, *, ?, :, \, /), такие символы в теле запроса необходимо экранировать. Ниже приведены исключения для использования специальных символов в поисковых запросах.

    Для экранирования в Kaspersky CyberTrace используется символ обратной косой черты \.

  • Использование пробела. Слово, следующее за неэкранированным символом пробела, не будет отнесено к подстроке поиска.

    Пример 1: supplier_vendor_name: Vendor\ Test – возвращаются все индикаторы, принадлежащие к источникам с именем поставщика «Vendor Test».

    Пример 2: supplier_vendor_name: Vendor Test – возвращаются все индикаторы, принадлежащие к источникам с именем поставщика «Vendor», и индикаторы, у которых в контексте есть слово «test».

  • Определенные подстроки могут заключаться в кавычки, а логические блоки могут заключаться в круглые скобки. При указании начальных или конечных значений для интервалов, исключающих граничные значения, используются фигурные скобки ({}), а для интервалов, включающих граничные значения, используются квадратные скобки ([]). Фигурные и квадратные скобки можно комбинировать в пределах одного интервала, если требуется указать начальное значение одного типа и конечное значение другого типа. Кавычки и скобки всех типов в поисковом запросе должны образовывать пары.

    Не разрешается заключать подстроку поиска в кавычки, если подстрока не содержит специальных символов, перечисленных выше. В этом случае в результаты поиска будут включены только индикаторы, в которых указанная подстрока полностью совпадает с одним из значений любого поля. Поэтому если требуется найти индикаторы, в которых подстрока поиска является лишь частью значения поля, следует использовать подстановочные знаки (звездочка «*» или вопросительный знак «?» — см. ниже).

    Кавычки и скобки всех типов можно использовать без соблюдения парности в следующих случаях:

    • Если непарная скобка или кавычка используется с экранирующим символом.

      Пример: ioc_value:asd\]

    • Если непарная скобка заключена в кавычки.

      Пример: ioc_value:"1234]"

  • Запрещается использовать символ табуляции.
  • Двоеточие (:) можно использовать только после имени атрибута индикатора; в противном случае двоеточие необходимо экранировать.
  • Не указывайте пустое значение в круглых скобках, за исключением случаев, когда это значение указывается с экранирующим символом или заключается в кавычки.

    Пример неправильного запроса: ( )

    Пример правильного запроса: (" ")

  • В фигурных скобках ({}) и квадратных скобках ([]) следует использовать шаблон %begin_value% TO %end_value%, где %begin_value% и %end_value% — это значения, предназначенные для открытых и закрытых интервалов (кроме случаев, когда квадратные скобки заключены в кавычки).

    Пример неправильного запроса: [* 100]

    Пример правильного запроса: [* TO 100]

  • Не указывайте пустое значение при поиске конкретного атрибута.

    Пример неправильного запроса: ioc_type:

    Пример правильного запроса: ioc_type:url

  • Логические операторы (AND, OR, NOT) использовать без кавычек и целиком в верхнем регистре.
  • Логические операторы AND, OR должны отбиваться пробелами слева и справа. При логическом операторе NOT не должно быть пробела слева, если оператор NOT указывается сразу после открывающей левой скобки или двоеточия.

    Пример неправильного запроса: supplier_confidence:(89OR91)

    Пример правильного запроса: supplier_confidence:NOT(89 OR 91)

  • Не следует указывать пустое значение после логического оператора.

    Пример неправильного запроса: supplier_confidence:(89 OR )

    Пример правильного запроса: supplier_confidence:(89 OR 91)

  • Для атрибута ioc_supplier_context при поиске определенного вложенного атрибута используется точка.

    Пример: ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

  • В случае атрибута ioc_supplier_context, если строка поиска содержит пробел, перед пробелом следует использовать экранирующий символ «\» (обратная косая черта).

    Пример: ioc_supplier_context.details.SMS\ Number:1003

  • В случае атрибута ioc_supplier_context для поиска всех вложенных атрибутов следует использовать шаблон ioc_supplier_context.\\*.

    Пример: ioc_supplier_context.\\*:HEUR

  • В качестве подстановочных знаков в заменителях для любой другой последовательности символов следует использовать звездочку (*), а для одиночного символа — вопросительный знак (?).

    Пример 1: supplier_vendor_name: Vendor – поиск индикаторов, принадлежащих к источникам с именем поставщика «Vendor».

    Пример 2: supplier_vendor_name: Vendor* – поиск индикаторов, принадлежащих к источникам с именем поставщика, которое начинается с «Vendor».

    Использование звездочки (*) в начале запроса может привести к проверке всех значений атрибутов в базе данных индикатора. Обычно это приводит к долгому ожиданию ответа от базы данных.

Примеры

Следующий запрос отображает все индикаторы, содержащие подстроку at, ca, kr, ru, ir в любом из атрибутов индикатора:

"at, ca, kr, ru, ir"

Следующий запрос отображает все индикаторы, у которых значение атрибута supplier_confidence равно 89 или 91:

supplier_confidence:(89 OR 91)

Следующий запрос отображает все индикаторы, у которых значение атрибута ioc_value содержит подстроку 123321:

ioc_value:"123321"

Следующий запрос отображает все индикаторы, которые были добавлены в базу данных в период с 2012-01-01 по 2012-12-31 (включая границы):

ioc_created_date:[2012-01-01 TO 2012-12-31]

Следующий запрос отображает все индикаторы с уровнем доверия от 10 до 50 (без учета границ):

supplier_confidence:{10 TO 50}

Следующий запрос отображает все индикаторы, у которых значение поля контекста threat_score больше 75:

ioc_supplier_context.threat_score:[75 TO *]

Следующий запрос отображает все индикаторы, у которых атрибут контекста файлов/угроз содержит подстроку HEUR:Exploit.SWF.Generic:

ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

Следующий запрос отображает все индикаторы, у которых есть атрибуты контекста с любым уровнем вложенности, содержащие значение HEUR:

ioc_supplier_context.\\*:HEUR

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!