Добро пожаловать в документацию Kaspersky CyberTrace.
Что такое Kaspersky CyberTrace
Kaspersky CyberTrace — это платформа анализа киберугроз (Threat Intelligence Platform), обеспечивающая агрегацию индикаторов компрометации из различных источников, в том числе из потоков данных об угрозах Лаборатории Касперского, и интеграцию с решениями класса SIEM (Security Information and Event Management) для автоматического поиска индикаторов компрометации (IoC) в журналах событий безопасности и формирования уведомлений об инцидентах в рамках существующих процессов центра информационной безопасности организации.
Kaspersky CyberTrace использует регулярно обновляемые потоки данных об угрозах для актуализации используемой базы индикаторов компрометации с целью обнаружения угроз в журналах событий безопасности и информирования специалистов безопасности о рисках, связанных с той или иной угрозой.
Kaspersky CyberTrace поддерживает интеграцию с источниками данных об угрозах (потоки данных об угрозах от Kaspersky и других поставщиков, OSINT или пользовательские источники), решениями SIEM и источниками журналов событий безопасности. В случае обнаружения IoC в журналах событий безопасности Kaspersky CyberTrace автоматически отправляет в SIEM сообщение об обнаруженном индикаторе, вместе с дополнительной контекстной информацией. Платформа Kaspersky CyberTrace предоставляет аналитикам набор инструментов для классификации информационных сообщений и приоритизации реагирования на них посредством категоризации и дедупликации.
Kaspersky CyberTrace внутри корпоративной сети
Функциональные возможности Kaspersky CyberTrace:
Основными компонентами Kaspersky CyberTrace являются Kaspersky CyberTrace Service, Feed Utility, Log Scanner и веб-интерфейс Kaspersky CyberTrace.
Основные компоненты Kaspersky CyberTrace
Подробнее о том, как работает Kaspersky CyberTrace , смотрите в видео ниже:
Содержание документации
Эта документация разделена на несколько глав:
В этой главе представлены руководства по установке Kaspersky CyberTrace, интеграции с SIEM-решениями и источниками событий, а также по настройке Kaspersky CyberTrace после завершения интеграции.
Отправной точкой для процесса установки и интеграции служит раздел Начало работы.
В этой главе представлена информация о веб-интерфейсе Kaspersky CyberTrace, а также о приложениях и информационных панелях, обеспечивающих доступ к Kaspersky CyberTrace из SIEM-решения.
В этой главе представлена информация об управлении Kaspersky CyberTrace, а также рассматриваются расширенные возможности Kaspersky. В этой главе также приводится описание компонентов Kaspersky CyberTrace и рабочих процессов для этих компонентов.
В этом разделе представлены решения типичных проблем, которые могут возникать при использовании Kaspersky CyberTrace.
В этом разделе приведены рекомендации по снижению потенциальных рисков безопасности при работе с Kaspersky CyberTrace.