Фильтрация, сортировка и поиск обнаружений

Вы можете отфильтровать обнаружения для отображения в таблице обнаружений по одному или нескольким столбцам таблицы или выполнить поиск обнаружений по некоторым столбцам таблицы по указанным вами показателям.

Вы можете создавать, сохранять и удалять фильтры, а также запускать фильтрацию и поиск обнаружений по условиям, заданным в сохраненных фильтрах.

Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Фильтры сохраняются для каждого из пользователей на том сервере, на котором они созданы.

Вы также можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.

По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.

Фильтрация обнаружений по наличию статуса VIP

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю  – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.

Чтобы отфильтровать обнаружения по наличию статуса VIP:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Нажатием на заголовок столбца VIP раскройте список параметров фильтрации.
3. Настройте фильтрацию обнаружений:
   • Если вы хотите, чтобы в таблице обнаружений отобразились только обнаружения со статусом VIP, выберите VIP.
   • Если вы хотите, чтобы в таблице обнаружений отобразились все обнаружения, выберите Все.

   Если ни одно из значений не выбрано, в таблице отображаются все обнаружения.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по времени

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Создано – время, в которое произошло обнаружение, а также Обновлено – время, в которое обнаружение было обновлено.

Чтобы отфильтровать или найти обнаружения по времени:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Создано раскройте список периодов отображения обнаружений.
3. В списке Время выберите один из следующих периодов отображения обнаружений:
   • Все, если вы хотите, чтобы приложение отображало в таблице все обнаружения.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице обнаружения, произошедшие за последний час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице обнаружения, произошедшие за последний день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице обнаружения, произошедшие за указанный вами период.
4. Если вы выбрали период отображения событий Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения обнаружений.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация обнаружений по степени важности

Вы можете отфильтровать обнаружения по показателю Важность – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

Чтобы отфильтровать обнаружения по степени важности:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По значку раскройте список параметров фильтрации.
3. Выберите одну или несколько из следующих степеней важности обнаружений:
   • Низкая – обнаружение низкой степени важности.
   • Средняя – обнаружение средней степени важности.
   • Высокая – обнаружение высокой степени важности.

   Если ни одно из значений не выбрано, в таблице отображаются обнаружения всех степеней важности.

4. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по категориям обнаруженных объектов

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Обнаружено – одна или несколько категорий объекта, обнаруженного в событии. Например, если вы хотите, чтобы приложение отображало в таблице обнаружения файлов, зараженных определенным вирусом, вы можете задать фильтр по названию этого вируса.

Чтобы отфильтровать или найти обнаружения по категориям обнаруженных объектов:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Обнаружено откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации обнаружений:
   • Содержит.
   • Не содержит.
4. В поле ввода введите название категории (например, Trojan) или несколько символов из названия категории.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по полученной информации

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.

Чтобы отфильтровать или найти обнаружения по полученной информации:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Сведения откройте окно настройки фильтрации.
3. В левом раскрывающемся списке выберите один из следующих критериев поиска:
   • Сведения. Поиск будет осуществляться по всем сведениям об обнаруженном объекте.
   • ID.
   • Файл.
   • Тип файла.
   • MD5.
   • SHA256.
   • URL.
   • Домен.
   • Агент пользователя.
   • Тема.
   • HTTP-статус.
   • Источник объекта.
   • Тип объекта.
   • Автоотправка в Sandbox.
   • Правило TAA (IOA).
4. В правом раскрывающемся списке выберите один из следующих операторов фильтрации обнаружений:
   • Содержит.
   • Не содержит.
   • Равняется.
   • Не равняется.
5. В поле ввода укажите один или несколько символов информации об обнаружении.
6. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
7. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по адресу источника

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Адрес источника – адрес источника обнаружения. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.

Чтобы отфильтровать или найти обнаружения по адресу источника:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Адрес источника откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации обнаружений:
   • Содержит.
   • Не содержит.
   • Соответствует шаблону.
   • Не соответствует шаблону.
4. В поле ввода укажите один или несколько символов адреса источника обнаружения.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по адресу назначения

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.

Чтобы отфильтровать или найти обнаружения по адресу назначения:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Адрес назначения откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации обнаружений:
   • Содержит.
   • Не содержит.
   • Соответствует шаблону.
   • Не соответствует шаблону.
4. В поле ввода укажите один или несколько символов адреса назначения обнаруженного объекта.
5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по имени сервера

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Серверы – имена серверов, на которых выполнено обнаружение.

Если вы используете режим распределенного решения и мультитенантности, серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе приложения. Фильтрация доступна только на PCN.

Чтобы отфильтровать или найти обнаружения по имени сервера:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Серверы раскройте список серверов, на которых выполнены обнаружения.
3. Установите флажки рядом с одним или несколькими именами серверов.
4. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по названию технологии

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Технологии – названия модулей или компонентов программы, выполнивших обнаружение.

Чтобы отфильтровать обнаружения по названию технологии:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. По ссылке Технологии откройте окно настройки фильтрации.
3. В раскрывающемся списке выберите один из следующих операторов фильтрации обнаружений:
   • Содержит, если вы хотите, чтобы приложение отображало обнаружения, выполненные модулем или компонентом приложения, который вы укажете.
   • Не содержит, если вы хотите, чтобы приложение скрывало обнаружения, выполненные модулем или компонентом приложения, который вы укажете.
   • Равняется, если вы хотите, чтобы приложение отображало обнаружения, выполненные модулем или компонентом приложения, который вы укажете.
   • Не равняется, если вы хотите, чтобы приложение скрывало обнаружения, выполненные модулем или компонентом приложения, который вы укажете.
4. В раскрывающемся списке справа от выбранного вами оператора фильтрации обнаружений выберите название технологии, по которой вы хотите отфильтровать обнаружения:
   • (YARA) YARA.
   • (SB) Sandbox.
   • (URL) URL Reputation.
   • (IDS) Intrusion Detection System.
   • (AM) Anti-Malware Engine.
   • (TAA) Targeted Attack Analyzer.
   • (IOC) IOC.

   Например, если вы хотите, чтобы приложение отобразило в списке обнаружения, выполненные компонентом Sandbox, выберите оператор фильтрации Содержит и название компонента (SB) Sandbox.

5. Если вы хотите добавить условие фильтрации по другому критерию, нажмите на кнопку и выполните действия по указанию условия фильтрации.
6. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Фильтрация и поиск обнаружений по состоянию их обработки пользователем

Вы можете отфильтровать обнаружения, а также осуществить их поиск в таблице обнаружений по показателю Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.

Чтобы отфильтровать или найти обнаружения по состоянию их обработки пользователем Kaspersky Anti Targeted Attack Platform:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Если вы хотите включить в фильтр обработанные обнаружения, включите переключатель Обработано в правом верхнем углу окна.
3. По ссылке Состояние раскройте список вариантов обнаружений в зависимости от состояния их обработки пользователем Kaspersky Anti Targeted Attack Platform.
4. Выберите одно из следующих значений:
   • Новое, если вы хотите, чтобы приложение отображало новые обнаружения, которые ни один из пользователей еще не начал обрабатывать.
   • В обработке, если вы хотите, чтобы приложение отображало обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
   • Повторная проверка, если вы хотите, чтобы приложение отображало обнаружения, произошедшие в результате повторной проверки.
5. В поле Имя пользователя введите имя пользователя, если вы хотите найти обнаружения, назначенные определенному пользователю Старший сотрудник службы безопасности или Сотрудник службы безопасности.
6. Нажмите на кнопку Применить.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Сортировка обнаружений в таблице

Вы можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.

Чтобы отсортировать обнаружения в таблице обнаружений:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Если вы хотите отсортировать обнаружения по дате, справа от названия столбца Создано (если в таблице отображается дата создания обнаружений) или Обновлено (если в таблице отображается дата обновления обнаружений) нажмите на один из значков:
   •  – новые обнаружения отобразятся вверху таблицы.
   •  – старые обнаружения отобразятся вверху таблицы.
3. Если вы хотите отсортировать обнаружения по степени важности, справа от значка нажмите на один из значков:
   •  – обнаружения высокой степени важности отобразятся вверху таблицы.
   •  – обнаружения низкой степени важности отобразятся вверху таблицы.
4. Если вы хотите отсортировать обнаружения по адресу источника обнаруженного объекта, справа от названия столбца Адрес источника нажмите на один из значков:
   •  – сортировка выполнится по алфавиту A–Z.
   •  – сортировка выполнится по алфавиту Z–A.
5. Если вы хотите отсортировать обнаружения по состоянию их обработки пользователем, справа от названия столбца Состояние нажмите на один из значков:
   •  – обнаружения будут отсортированы по порядку их обработки Новое - Повторная проверка - В обработке - Закрыто.
   •  – обнаружения будут отсортированы по порядку их обработки Закрыто - В обработке - Повторная проверка - Новое.

Быстрое создание фильтра обнаружений

Чтобы быстро создать фильтр обнаружений:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Выполните следующие действия по быстрому добавлению условий фильтрации в создаваемый фильтр:
   1. Наведите курсор мыши на ссылку с тем значением столбца таблицы, которое вы хотите добавить в качестве условия фильтрации.
   2. Нажмите на левую клавишу мыши.

      Откроется список действий над значением.

   3. В открывшемся списке выберите одно из следующих действий:
      • Добавить в фильтр, если вы хотите включить это значение в условие фильтрации.
      • Исключить из фильтра, если вы хотите исключить это значение из условия фильтрации.

3. Если вы хотите добавить несколько условий фильтрации в создаваемый фильтр, выполните действия по быстрому добавлению каждого из условий фильтрации в создаваемый фильтр.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.

Сброс фильтра обнаружений

Чтобы сбросить фильтр обнаружений по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

   Откроется таблица обнаружений.

2. Нажмите на кнопку справа от того заголовка столбца таблицы обнаружений, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице обнаружений отобразятся только обнаружения, соответствующие заданным вами условиям.