Работа с индикаторами
27 февраля 2024
ID 194524
Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.
В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Indicators. Этот раздел позволяет выполнять следующие действия:
- Просмотр списка индикаторов из базы данных индикаторов (далее также именуется базой данных)
- Выполнять поиск по индикатору
- Добавлять новые индикаторы в базу данных
Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута
supplier_name
. - Удалять индикаторы из базы данных
- Добавлять существующие индикаторы к источнику данных об угрозах FalsePositive (отмечать как ложное срабатывание)
- Просматривать подробную информацию об индикаторах
- Фильтровать показатели по источникам данных об угрозах. При применении этого фильтра и выборе нескольких источников данных об угрозах Kaspersky CyberTrace показывает только те индикаторы, каждый из которых был предоставлен всеми выбранными источниками данных об угрозах.
- Фильтровать индикаторы по тегам
Источники данных об угрозах FalsePositive и InternalTI
Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:
- Источник данных об угрозах FalsePositive предназначен для существующих индикаторов, которые пользователи отмечают как ложные срабатывания в веб-интерфейсе CyberTrace.
- Источник данных об угрозах InternalTI предназначен для новых индикаторов, которые пользователи добавляют в базу данных в веб-интерфейсе CyberTrace или через REST API.
Индикаторы поставщиков InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.