Работа с узлами и связями

Добавление узлов в граф

Добавлять узлы в граф можно следующими способами:

• Добавление узлов типа «Indicator» или «Detection» при создании графа на страницах «Indicator» или «Detection». Более подробные сведения приведены в разделе Работа с графами.
• Добавление узлов типа «стандартный индикатор CyberTrace» и «внешний индикатор (наблюдаемый объект)» в существующий граф вручную с помощью кнопки Add node ().
• Добавление узлов типа «стандартный индикатор CyberTrace» и «внешний индикатор (наблюдаемый объект)» в существующий граф из файла с помощью кнопки Add node ().
• Добавление узлов в существующий граф с помощью трансформаций. Для получения дополнительной информации см. разделы О трансформациях и Выполнение трансформаций.

Чтобы добавить узел в существующий граф вручную, выполните следующие действия:

1. Откройте граф.
2. Нажмите на кнопку Add node () на боковой панели.
3. В открывшемся диалоговом окне укажите значение индикатора, который требуется добавить. Например, MD5-хеш файла или URL.

   Если в базе данных Kaspersky CyberTrace имеется информация об указанном значении, Kaspersky CyberTrace предлагает выбрать, требуется ли добавить это значение из базы данных в качестве стандартного индикатора CyberTrace или добавить внешний индикатор (наблюдаемый объект).

   Если в базе данных Kaspersky CyberTrace отсутствует информация об указанном значении, можно добавить только внешний индикатор (наблюдаемый объект).

   Также можно указать несколько значений одно за другим.

4. Нажмите на кнопку Create node(s).

   Добавленные узлы появятся в графе.

   Если узел уже существует в графе:

   • Индикатор CyberTrace обновляется из базы данных.
   • Внешний индикатор (наблюдаемый объект) остается на графе, а новые узлы не добавляются.

Чтобы добавить узел к существующему графу из файла, выполните следующие действия:

1. Откройте граф.
2. Нажмите на кнопку Add node () на боковой панели.

   Откроется диалоговое окно Add indicators to the graph.

3. Выберите вкладку From files.
4. Выполните одно из следующих действий:
   • Перетащите требуемый файл (файлы) в область диалогового окна.
   • Нажмите кнопку Browse, чтобы выбрать требуемый файл (файлы) из папки.

   Добавить можно только текстовые файлы в кодировке UTF-8 без BOM (размер каждого файла до 128 КБ).

   Файл можно удалить перед добавлением.

5. Нажмите на кнопку Create node(s).

   Добавленные узлы появятся в графе.

   Если узел уже существует в графе:

   • Индикатор CyberTrace обновляется из базы данных.
   • Внешний индикатор (наблюдаемый объект) остается на графе, а новые узлы не добавляются.

   Перед созданием узлов в области диалогового окна отображается количество корректных строк (индикаторов), которые будут добавлены в граф. Это число отображается для каждого добавленного файла.

   Если хотя бы один из файлов некорректен, удалите его. В противном случае другие выбранные файлы (даже если они корректны) не будут добавлены.

Просмотр информации об узлах

Подробную информацию можно просмотреть о следующих типах узлов:

• Стандартный индикатор CyberTrace:
  • Тип и значение индикатора.
  • Ссылка на страницу индикатора в веб-интерфейсе Kaspersky CyberTrace.
  • Дата и время, когда индикатор был добавлен в граф.
  • Дата и время первого и последнего обнаружения киберугроз.
  • Источники индикатора.
  • Контекст индикатора.
• Внешний индикатор (наблюдаемый объект):
  • Тип и значение индикатора.
  • Ссылка на внешний источник индикатора, если есть.
  • Дата и время, когда индикатор был добавлен в граф.
  • Атрибуты индикатора, если есть.
• Обнаружение киберугрозы:
  • Дата и время обнаружения киберугрозы.
  • Дата и время, когда обнаружение киберугрозы было добавлено в граф.
  • Категория обнаружения киберугрозы.
  • Имя тенанта, для которого было получено обнаружение киберугрозы, если существуют тенанты кроме «General».
  • Имя источника события.
  • Входящее событие.
  • Части входящего события (в формате «ключ-значение»), которые были получены из регулярных выражений, примененных к входящему событию, и имена этих регулярных выражений.
  • События, включающие данное обнаружение киберугрозы.
  • Части события обнаружений киберугроз (в формате «ключ-значение»), соответствующие контексту обнаруженного индикатора.
  • Стандартный индикатор CyberTrace, вызвавший обнаружение киберугрозы.
• Отчет
  • Дата и время, когда отчет был добавлен в граф.
  • Имя отчета.
  • Поставщик отчета.
  • Тип отчета, если есть.
  • Ссылка на отчет, если есть.

Чтобы просмотреть подробную информацию об узле,

дважды щелкните интересующий узел.

Справа откроется боковая панель, содержащая подробную информацию об узле.

Для просмотра информации об узлах в группе используется панель «Group» (см. раздел Группы узлов).

Создание связей путем соединения узлов

Существуют следующие способы создания связи:

• Соединение узлов вручную в режиме связывания.
• Автоматическое создание связей с помощью трансформаций. Для получения дополнительной информации см. разделы О трансформациях и Выполнение трансформаций.

Чтобы соединить узлы вручную, выполните следующие действия:

1. Откройте граф.
2. Включите режим связывания, для этого нажмите на кнопку Linking mode () на боковой панели.
3. Щелкните по узлу, который требуется соединить с другим узлом.

   На графе создается соединительная линия, ведущая от начального узла к следующему выбранному узлу.

4. Щелкните по следующему узлу, чтобы создать связь.

Когда соединение узлов будет закончено, отключите режим связывания.

Удаление узлов

Чтобы удалить узел, выполните следующие действия:

1. Выберите узел, который требуется удалить.
2. Нажмите на кнопку Delete () на боковой панели или нажмите клавишу DEL на клавиатуре.

При удалении узлов следует учитывать следующие соображения:

• При удалении узла группы удаляются все узлы в этой группе. Вместо удаления узла группы можно разгруппировать его или удалить отдельные узлы в группе с помощью панели группы. Подробнее о работе с группами узлов сообщается в разделе Группы узлов.
• В случае удаления узла, соединенного с узлом «Action» или «Detections» ориентированной связью, Kaspersky CyberTrace удаляет как исходный узел, так и узел «Action» или «Detections». Если существуют другие узлы, связанные с узлом «Action» или «Detections» неориентированными связями, Kaspersky CyberTrace не удаляет эти узлы.

Удаление связей

При удалении узла Kaspersky CyberTrace автоматически удаляет связи, соединяющие этот узел с другими узлами графа. Связи также можно удалять вручную, не удаляя при этом сами узлы.

Чтобы удалить связь, выполните следующие действия:

1. Щелкните по связи правой кнопкой мыши.
2. Выберите пункт Remove link.