Работа с индикаторами

Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.

В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Indicators. Этот раздел позволяет выполнять следующие действия:

• Просмотр списка индикаторов из базы данных индикаторов (далее также именуется базой данных)
• Выполнять поиск по индикатору
• Добавлять новые индикаторы в базу данных

  Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута supplier_name.

• Удалять индикаторы из базы данных
• Добавлять существующие индикаторы к источнику данных об угрозах FalsePositive (отмечать как ложное срабатывание)
• Просматривать подробную информацию об индикаторах
• Фильтровать показатели по источникам данных об угрозах. При применении этого фильтра и выборе нескольких источников данных об угрозах Kaspersky CyberTrace показывает только те индикаторы, каждый из которых был предоставлен всеми выбранными источниками данных об угрозах.
• Фильтровать индикаторы по тегам

Источники данных об угрозах FalsePositive и InternalTI

Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:

• Источник данных об угрозах FalsePositive предназначен для существующих индикаторов, которые пользователи отмечают как ложные срабатывания в веб-интерфейсе CyberTrace.
• Источник данных об угрозах InternalTI предназначен для новых индикаторов, которые пользователи добавляют в базу данных в веб-интерфейсе CyberTrace или через REST API.

Индикаторы поставщиков InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.