Узлы и связи

Каждый граф состоит из узлов (индикаторов, обнаруженных киберугроз и т. д.) и связей, соединяющих узлы. Как узлы, так и связи могут добавляться на граф вручную или в результате трансформации.

Узлы

Узел представляет собой отдельную точку на графе, которая может быть связана с другими точками. Существуют различные типы узлов, такие как индикаторы, обнаруженные киберугрозы или группы. Узлы разных типов отображаются на графе разными символами. Описание различных типов узлов приведено в таблице ниже.

Типы узлов

Значок

Type

Описание

Значок узла URL в CyberTrace.

URL

Стандартные индикаторы Kaspersky CyberTrace.

 

Значок узла Hash в CyberTrace.

Hash

Значок узла IP в CyberTrace.

IP Address

Значок узла External URL в CyberTrace.

External URL

Внешний индикатор (наблюдаемый объект), полученный из любого источника кроме базы данных Kaspersky CyberTrace.

Граф может содержать внешний индикатор и стандартный индикатор Kaspersky CyberTrace, которые имеют одинаковое значение.

Значок узла «Внешний хеш» в CyberTrace.

Внешний хеш

Значок узла «Внешний IP-адрес» в CyberTrace.

Внешний IP-адрес

Значок узла «Действие/обнаружения киберугроз» в CyberTrace.

Действие/обнаружения киберугроз

Промежуточный узел между другими узлами. Этот промежуточный узел возникает в результате трансформации.

Значок узла «Обнаруженные киберугрозы» в CyberTrace.

Обнаруженные киберугрозы

Событие обнаруженной киберугрозы.

Значок узла Report в CyberTrace.

Отчет

Отчет, содержащий информацию о соответствующем индикаторе.

Значок узла Group в CyberTrace.

Группа

Несколько узлов, сгруппированных вместе.

Связи

Узлы соединяются друг с другом связями. Связи могут быть ориентированными или неориентированными.

Ориентированная связь может вести только к узлам типов «Действие» и «Обнаруженные киберугрозы». Такая связь возникает, когда Kaspersky CyberTrace выполняет трансформацию, и новая связь ведет от исходного узла к узлу, добавленному после трансформации.

Например, если пользователь запускает трансформацию, чтобы найти обнаруженные киберугрозы, связанные с индикатором, может возникнуть ориентированная связь, ведущая от данного индикатора к узлу типа «Обнаруженные киберугрозы». В свою очередь, неориентированные связи соединяют новый узел «Обнаруженные киберугрозы» с узлами типа «Обнаруженные киберугрозы.

В большинстве случаев неориентированная связь соединяет два узла, у которых есть нечто общее.

Например, опасный файл может иметь разные хеши (MD5, SHA1 и SHA256), каждый из них при этом является отдельным индикатором угрозы. Все эти узлы могут быть соединены неориентированными связями.

Неориентированные связи можно создавать вручную, тогда как ориентированные связи могут быть только результатом трансформации.

В начало