Результат поиска

После выполнения поиска в веб-интерфейсе CyberTrace отображается таблица с запрошенными индикаторами. Эту таблицу можно отсортировать по столбцам. По каждому из этих индикаторов можно просматривать следующие данные:

• Тип запрашиваемого индикатора

  Индикатор может иметь несколько типов (например, IP и URL).

• Тег, указывающий, принадлежит ли запрошенный индикатор к источнику данных об угрозах FalsePositive

  В таблице не отображаются индикаторы, которые содержатся только в списке ложных срабатываний (и не были добавлены в CyberTrace из потока данных об угрозах, с помощью REST API или через веб-интерфейс Kaspersky CyberTrace). Для управления индикаторами, которые содержатся только в списке ложных срабатываний, выберите вкладку Settings, затем вкладку Feeds.

• Значение запрашиваемого показателя
• Дата и время, когда был добавлен запрашиваемый индикатор
• Дата и время последнего обновления индикатора
• Источники данных об угрозах, содержащие запрашиваемый индикатор

Под таблицей указано количество индикаторов, возвращенных после выполнения поиска. Без выполнения поиска отображается суммарное количество уникальных индикаторов для всех включенных источников данных об угрозах. Таблица не содержит повторяющихся значений индикаторов, а соответствующие источники данных об угрозах указываются в столбце Suppliers. Таким образом, дубликаты значений индикаторов исключаются из подсчета суммарного количества.

Добавление новых индикаторов в базу данных

Чтобы добавить новый индикатор в базу данных, выполните следующие действия:

1. Нажмите на ссылку Add.

   Откроется окно Add new indicator.

2. Выберите тип индикатора.
3. Укажите значение индикатора.

   Поскольку Kaspersky CyberTrace применяет правила нормализации URL ко всем URL, добавляемым на вкладке «URL», которые еще не содержатся в базе данных индикаторов, представление этих URL может измениться. Например, при добавлении URL, содержащего порт, значение порта удаляется.

4. Добавьте атрибуты индикатора путем указания их имен и значений.

   Имя может содержать до 255 символов, должно содержать только строчные латинские буквы и не может начинаться с дефиса («-») или знака подчеркивания («_»). Символ пробела (« ») и символ табуляции запрещены к использованию. Кроме того, атрибут не может иметь имя summary.

5. При необходимости введите в текстовое поле сводную информацию об индикаторе.
6. Нажмите на кнопку Save.

После этого индикатор добавляется в базу данных, причем для атрибута supplier_name задается значение InternalTI.

Добавление существующих индикаторов в список ложных срабатываний

Чтобы добавить существующий индикатор в список ложных срабатываний, выполните следующие действия:

1. Выберите один или несколько индикаторов, которые требуется отметить как ложное срабатывание.
2. Если некоторые из выбранных индикаторов относятся к нескольким типам, выполните одно из следующих действий:
   • Нажмите на кнопку Mark as false positive <Type>, где <Type> – тип индикатора, который требуется отметить как ложное срабатывание.
   • Если требуется отметить все типы индикаторов как ложные срабатывания, нажмите на кнопку Mark all as false positives.
3. Если ни один из выбранных индикаторов не имеет нескольких типов, нажмите на кнопку Mark as false positive.
4. Нажмите Mark, чтобы подтвердить, что выбранные индикаторы требуется отметить как ложные срабатывания.

Удаление индикаторов

Чтобы удалить индикатор, выполните следующие действия:

1. Выберите один или несколько индикаторов, которые требуется удалить.
2. Нажмите на кнопку Удалить.

   Откроется окно Delete indicator.

3. Чтобы подтвердить удаление выбранных индикаторов, нажмите на кнопку Yes.