О трансформациях
11 апреля 2024
ID 222398
Помимо добавления узлов и связей в граф вручную, Kaspersky CyberTrace может обогащать граф автоматически путем добавления информации об объектах, имеющих отношение к узлу. Источником этой информации может быть как собственно Kaspersky CyberTrace, так и внешние источники, такие как Kaspersky Threat Intelligence Portal или VirusTotal. Выполнение процесса обогащения графа называется трансформацией.
Большинство источников обогащения графов не поддерживают обработку индикаторов URL, содержащих символ «*
» в доменной части. Выполнение трансформации на узле с таким индикатором URL приведет к ошибке или пустому результату.
По умолчанию Kaspersky CyberTrace предоставляет следующие трансформации:
- Получение индикаторов из тех же потоков данных об угрозах с первоначальным стандартным индикатором CyberTrace:
- связанные хеши;
- связанные URL;
- связанные IP-адреса;
- все связанные индикаторы (хеши, URL, IP-адреса).
- Получение 100 последних обнаружений киберугроз, связанных со стандартным индикатором CyberTrace.
- Получение информации от Kaspersky Threat Intelligence Portal.
Kaspersky CyberTrace необходим токен доступа для подключения к Kaspersky Threat Intelligence Portal.
- Для индикаторов типа URL (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Список файлов, которые обращались к данному URL.
- Список файлов, загруженных с данного URL.
- Список URL, ссылающихся на данный URL.
- Список URL, на которые ссылается данный URL.
- IP-адреса из разрешения DNS для данного URL.
- Список отчетов для данного URL.
- Для индикаторов типа MD5, SHA1 и SHA256 (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Список URL, к которым обращается данный файл.
- Список файлов, запускавших данный файл.
- Список файлов, запущенных данным файлом.
- Список файлов, которые загружали данный файл.
- Список файлов, загруженных данным файлом.
- Список URL, с которых был загружен данный файл.
- Список отчетов для данного файла.
- Для индикаторов типа IP (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Список файлов, которые были загружены с данного IP-адреса.
- Список URL, связанных с данным IP-адресом.
- Список отчетов для данного IP-адреса.
- Для индикаторов типа URL (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Получение информации от VirusTotal.
Kaspersky CyberTrace необходим токен доступа для подключения к VirusTotal.
- Для индикаторов типа URL (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Информация о данном URL.
- Список файлов, которые взаимодействуют с данным URL.
- Список доменов, с которых данный URL загружает какой-либо ресурс.
- Список IP-адресов, с которых данный URL загружает какой-либо ресурс.
- Список файлов, загруженных с данного URL.
- Последнее разрешение IP-адреса для данного URL.
- Сетевое местоположение для данного URL.
- Список файлов, содержащих указанный URL.
- Список URL, ссылающихся на данный URL.
- Список URL, перенаправляющих на данный URL.
- Список URL, на которые перенаправляет данный URL.
- Список IP-адресов, на которые разрешается данный домен.
При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.
Если узел является не «чистым» доменом, а URL, возвращается пустой результат.
- Список поддоменов для данного домена.
При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.
Если узел является не «чистым» доменом, а URL, возвращается пустой результат.
- Список URL для данного домена.
При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.
Если узел является не «чистым» доменом, а URL, возвращается пустой результат.
- Для индикаторов типа MD5, SHA1 и SHA256 (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Информация о данном хеше.
- Список файлов, входящих в тот же архив, что и файл с данным хешем.
- Список файлов, которые являются дочерними по отношению к файлу с данным хешем.
- Список файлов, которые являются родительскими по отношению к файлу с данным хешем.
- Список файлов (архивов), содержащих файл с данным хешем.
- Список доменов, к которым обращался файл с данным хешем.
- Список IP-адресов, к которым обращался файл с данным хешем.
- Список URL, к которым обращался файл с данным хешем.
- Список файлов, которые удалил файл с данным хешем.
- Список доменов, встроенных в файл с данным хешем.
- Список IP-адресов, встроенных в файл с данным хешем.
- Список URL, встроенных в файл с данным хешем.
- Список файлов, запускавших файл с данным хешем.
- Список доменов, с которых был загружен файл с данным хешем.
- Список IP-адресов, с которых был загружен файл с данным хешем.
- Список URL, с которых был загружен файл с данным хешем.
- Для индикаторов типа IP (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
- Информация о данном IP-адресе.
- Список файлов, которые взаимодействуют с данным IP-адресом.
- Список файлов, загруженных с данного IP-адреса.
- Список файлов, содержащих данный IP-адрес.
- Список доменов, которые разрешаются на данный IP-адрес.
- Список URL, ведущих на данный IP-адрес.
- Для индикаторов типа URL (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию: