О трансформациях

Помимо добавления узлов и связей в граф вручную, Kaspersky CyberTrace может обогащать граф автоматически путем добавления информации об объектах, имеющих отношение к узлу. Источником этой информации может быть как собственно Kaspersky CyberTrace, так и внешние источники, такие как Kaspersky Threat Intelligence Portal или VirusTotal. Выполнение процесса обогащения графа называется трансформацией.

Большинство источников обогащения графов не поддерживают обработку индикаторов URL, содержащих символ «*» в доменной части. Выполнение трансформации на узле с таким индикатором URL приведет к ошибке или пустому результату.

По умолчанию Kaspersky CyberTrace предоставляет следующие трансформации:

• Получение индикаторов из тех же потоков данных об угрозах с первоначальным стандартным индикатором CyberTrace:
  • связанные хеши;
  • связанные URL;
  • связанные IP-адреса;
  • все связанные индикаторы (хеши, URL, IP-адреса).
• Получение 100 последних обнаружений киберугроз, связанных со стандартным индикатором CyberTrace.
• Получение информации от Kaspersky Threat Intelligence Portal.

  Kaspersky CyberTrace необходим токен доступа для подключения к Kaspersky Threat Intelligence Portal.

  • Для индикаторов типа URL (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Список файлов, которые обращались к данному URL.
    • Список файлов, загруженных с данного URL.
    • Список URL, ссылающихся на данный URL.
    • Список URL, на которые ссылается данный URL.
    • IP-адреса из разрешения DNS для данного URL.
    • Список отчетов для данного URL.
  • Для индикаторов типа MD5, SHA1 и SHA256 (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Список URL, к которым обращается данный файл.
    • Список файлов, запускавших данный файл.
    • Список файлов, запущенных данным файлом.
    • Список файлов, которые загружали данный файл.
    • Список файлов, загруженных данным файлом.
    • Список URL, с которых был загружен данный файл.
    • Список отчетов для данного файла.
  • Для индикаторов типа IP (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Список файлов, которые были загружены с данного IP-адреса.
    • Список URL, связанных с данным IP-адресом.
    • Список отчетов для данного IP-адреса.
• Получение информации от VirusTotal.

  Kaspersky CyberTrace необходим токен доступа для подключения к VirusTotal.

  • Для индикаторов типа URL (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Информация о данном URL.
    • Список файлов, которые взаимодействуют с данным URL.
    • Список доменов, с которых данный URL загружает какой-либо ресурс.
    • Список IP-адресов, с которых данный URL загружает какой-либо ресурс.
    • Список файлов, загруженных с данного URL.
    • Последнее разрешение IP-адреса для данного URL.
    • Сетевое местоположение для данного URL.
    • Список файлов, содержащих указанный URL.
    • Список URL, ссылающихся на данный URL.
    • Список URL, перенаправляющих на данный URL.
    • Список URL, на которые перенаправляет данный URL.
    • Список IP-адресов, на которые разрешается данный домен.

      При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.

      Если узел является не «чистым» доменом, а URL, возвращается пустой результат.

    • Список поддоменов для данного домена.

      При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.

      Если узел является не «чистым» доменом, а URL, возвращается пустой результат.

    • Список URL для данного домена.

      При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.

      Если узел является не «чистым» доменом, а URL, возвращается пустой результат.

  • Для индикаторов типа MD5, SHA1 и SHA256 (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Информация о данном хеше.
    • Список файлов, входящих в тот же архив, что и файл с данным хешем.
    • Список файлов, которые являются дочерними по отношению к файлу с данным хешем.
    • Список файлов, которые являются родительскими по отношению к файлу с данным хешем.
    • Список файлов (архивов), содержащих файл с данным хешем.
    • Список доменов, к которым обращался файл с данным хешем.
    • Список IP-адресов, к которым обращался файл с данным хешем.
    • Список URL, к которым обращался файл с данным хешем.
    • Список файлов, которые удалил файл с данным хешем.
    • Список доменов, встроенных в файл с данным хешем.
    • Список IP-адресов, встроенных в файл с данным хешем.
    • Список URL, встроенных в файл с данным хешем.
    • Список файлов, запускавших файл с данным хешем.
    • Список доменов, с которых был загружен файл с данным хешем.
    • Список IP-адресов, с которых был загружен файл с данным хешем.
    • Список URL, с которых был загружен файл с данным хешем.
  • Для индикаторов типа IP (стандартные индикаторы CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Информация о данном IP-адресе.
    • Список файлов, которые взаимодействуют с данным IP-адресом.
    • Список файлов, загруженных с данного IP-адреса.
    • Список файлов, содержащих данный IP-адрес.
    • Список доменов, которые разрешаются на данный IP-адрес.
    • Список URL, ведущих на данный IP-адрес.