Работа с ложными срабатываниями

Kaspersky CyberTrace позволяет отмечать индикаторы и связанные с ними обнаруженные киберугрозы как ложные срабатывания, а также отображать и скрывать статистику ложных срабатываний на странице Dashboard.

Отметка индикаторов как ложных срабатываний

Отметить индикатор как ложное срабатывание можно следующими способами:

• На странице Indicators
• На странице определенного индикатора

Чтобы отметить индикатор как ложное срабатывание на странице Indicators, выполните следующие действия:

1. В веб-интерфейсе Kaspersky CyberTrace выберите вкладку Indicators.
2. В таблице индикаторов выберите индикаторы, которые необходимо отметить как ложные срабатывания, одним из следующих способов:
   • Установите флажки для индикаторов, расположенных в крайнем левом столбце таблицы, а затем нажмите на кнопку на панели , расположенной над таблицей.
   • Нажмите на значок в столбце FP таблицы.
3. Подтвердите действие, нажав на кнопку Mark в открывшемся диалоговом окне.

   Связанные с индикаторами обнаруженные киберугрозы также можно отметить как ложные срабатывания, установив соответствующий флажок. Эти флажки установлены по умолчанию.

   

   Отметка индикаторов как ложных срабатываний

Индикаторы, отмеченные как ложные срабатывания, отображаются со значком в столбце FP таблицы индикаторов.

Чтобы отметить индикатор как ложное срабатывание на странице этого индикатора, выполните следующие действия:

1. На странице Indicators нажмите на индикатор, который необходимо отметить как ложное срабатывание.
2. На открывшейся странице индикатора нажмите на кнопку Mark as false positive.
3. В открывшемся диалоговом окне установите флажки напротив связанных с индикаторами обнаруженных киберугроз, которые необходимо отметить как ложные срабатывания.
4. Нажмите на кнопку Save.

   Индикатор отмечен как ложное срабатывание.

Удаление индикаторов из списка ложных срабатываний

Удалить индикаторы из списка ложных срабатываний можно следующими способами:

• На странице Indicators
• На странице определенного индикатора

Чтобы удалить индикаторы из списка ложных срабатываний на странице Indicators, выполните следующие действия:

1. В веб-интерфейсе Kaspersky CyberTrace выберите вкладку Indicators.
2. В таблице индикаторов выберите индикаторы, которые необходимо удалить из списка ложных срабатываний, одним из следующих способов:
   • Установите флажки для индикаторов, расположенных в крайнем левом столбце таблицы, а затем нажмите на кнопку на панели , расположенной над таблицей.
   • Нажмите на значок в столбце FP таблицы.
3. Подтвердите действие, нажав на кнопку Remove в открывшемся диалоговом окне.

   Связанные с индикаторами обнаруженные киберугрозы также можно удалять из списка ложных срабатываний, установив соответствующий флажок. Эти флажки установлены по умолчанию.

   

   Удаление индикаторов из списка ложных срабатываний

Индикаторы, не отмеченные как ложные срабатывания, отображаются со значком в столбце FP таблицы индикаторов.

Чтобы удалить индикатор из списка ложных срабатываний на странице этого индикатора, выполните следующие действия:

1. На странице Indicators нажмите на индикатор, который необходимо удалить из списка ложных срабатываний.
2. На открывшейся странице индикатора нажмите на кнопку Remove from false positives.
3. При необходимости в открывшемся диалоговом окне установите флажки напротив связанных обнаруженных киберугроз, которые нужно удалить из списка ложных срабатываний.
4. Нажмите на кнопку Save.

   Индикатор больше не отмечен как ложное срабатывание.

Просмотр индикаторов и связанных с ними обнаруженных киберугроз, отмеченных как ложные срабатывания, на графе

Чтобы посмотреть на графе, отмечен ли индикатор или связанное с ним обнаружение как ложное срабатывание, выполните следующие действия:

1. На странице Graph выберите необходимый узел двойным щелчком.

   Справа откроется боковая панель, содержащая подробную информацию об узле.

2. Найдите строку «Is false positive:».

   Для индикатора, отмеченного как ложное срабатывание, будет установлено значение Yes.

   Если индикатор не отмечен как ложное срабатывание, для него будет установлено значение No.

   

   Информация о ложных срабатываниях на графе

Индикаторы ложных срабатываний и соответствующие обнаруженные киберугрозы представлены на графе иначе, чем обычные индикаторы и обнаруженные киберугрозы (см. рисунок ниже):

Представление ложных срабатываний на графе

Фильтрация ложных срабатываний на странице Indicators

Чтобы выбрать с помощью фильтра ложные срабатывания, которые будут отображаться на странице Indicators, выполните следующие действия:

1. Щелкните по столбцу FP в таблице.
2. В появившемся диалоговом окне установите нужные флажки:
   • Выбрать все
   • Ложное срабатывание
   • Не является ложным срабатыванием
3. Нажмите на кнопку Apply.

   Выбранные индикаторы теперь отображаются на странице.

Фильтрация ложных срабатываний на странице Detections

Чтобы выбрать обнаруженные киберугрозы, которые будут отображаться на странице Detections, с помощью фильтра, выполните следующие действия:

1. Щелкните по столбцу FP в таблице.
2. В появившемся диалоговом окне установите нужные флажки:
   • Выбрать все
   • Ложное срабатывание
   • Не является ложным срабатыванием
3. Нажмите на кнопку Apply.

   Выбранные обнаруженные киберугрозы теперь отображаются на странице.

Отображение статистики по ложным срабатываниям на странице Dashboard

Для отображения статистики по ложным срабатываниям на странице Dashboard включите переключатель Show false positives. Статистика по ложным срабатываниям будет отображаться в разделе Statistics overview, в разделе Supplier statistics и соответствующей кольцевой диаграмме, а также в разделе Indicator statistics и соответствующей кольцевой диаграмме.