Просмотр обнаруженных киберугроз

На странице Обнаружения веб-интерфейса Kaspersky CyberTrace отображается информация о входящих событиях, которые привели к возникновению обнаруженных киберугроз в Kaspersky CyberTrace, в том числе источники событий и оповещения об обнаружении индикаторов компрометации. На этой странице можно выполнять поиск событий и фильтрацию событий по критериям. Для работы с этой страницей необходимо перейти в режим Управление данными.

Страница Обнаружения содержит следующие элементы:

• Панель поиска
• Таблица с информацией об обнаруженных киберугрозах
• Кнопка перехода к настройкам таблицы:
  • Переключатель Искать также в оповещениях об обнаружении индикаторов компрометации
  • Переключатель Автоматически обновлять таблицу

Поиск по обнаруженным киберугрозам

С помощью строки поиска можно выполнять полнотекстовый поиск по обнаруженным киберугрозам. Текстовая строка в поисковом запросе токенизируется таким образом, чтобы результаты поиска содержали как точные, так и нечеткие совпадения. Подстановочные знаки не поддерживаются.

Результаты поиска отображаются в таблице ниже.

Если включен переключатель Искать также в оповещениях об обнаружении индикаторов компрометации, Kaspersky CyberTrace будет искать текстовую строку во входящих событиях и оповещениях об обнаружении индикаторов компрометации. В противном случае поиск выполняется только по входящим событиям. По умолчанию переключатель Искать также в оповещениях об обнаружении индикаторов компрометации включен.

Таблица с информацией об обнаруженных киберугрозах содержит следующие столбцы:

• Дата обнаружения киберугрозы

  Системные дата и время обнаружения киберугрозы.

• Источник

  Имя источника событий.

  Этот столбец может содержать имя источника, которого уже нет в Kaspersky CyberTrace. Такая ситуация может возникнуть для обнаружения ретроспективного сканирования в том случае, если источник был удален или переименован после сохранения входящего события.

• Категория

  Категория обнаруженного объекта.

  Записанное имя категории не меняется, даже если изменится имя источника данных об угрозах.

• Тип

  Тип индикатора, на который сработало обнаружение киберугрозы.

• Значение

  Значение индикатора, на который сработало обнаружение киберугрозы.

• Теги

  Список тегов, присвоенных индикатору, на который сработало обнаружение киберугрозы.

• Общий вес тегов

  Суммарный вес тегов в столбце Теги.

• Уровень доверия к потоку индикаторов

  Уровень доверия к потоку данных или источнику данных об угрозах.

• Ретроскан

  Флажки или прочерки, указывающие на наличие или отсутствие обнаружение киберугроз в результатах ретроспективного сканирования.

• Ложн

  Значок (серый флаг), указывающий на то, что обнаружение киберугрозы, вместе с соответствующим индикатором, было отмечено как ложное срабатывание.

В каждой строке таблицы содержится информация об отдельной обнаруженной киберугрозе.

Обнаруженные киберугрозы в таблице сортируются по дате и времени в порядке убывания.

Если переключатель Автоматически обновлять таблицу включен, Kaspersky CyberTrace добавляет в таблицу новую информацию об обнаруженных киберугрозах каждые 10 секунд.

Просмотр сведений об обнаружении киберугрозы

Нажатие на обнаружение киберугрозы позволяет просмотреть следующую подробную информацию:

• Исходное событие

  В этом разделе содержатся подстроки, извлеченные из входящего события с помощью регулярных выражений, а также исходное событие целиком.

• Оповещение об обнаружении индикаторов компрометации

  В этом разделе содержатся контекстные поля совпавшего индикатора в формате %FieldName%=%Value% и оповещение об обнаружении индикаторов компрометации целиком.

  где:

  • %FieldName% — это имя регулярного выражения, которое использовалось для парсинга входящего события, или имя поля записи потока данных об угрозах, которое было успешно сопоставлено с обнаруженным индикатором.
  • %Value% — это значение регулярного выражения, которое использовалось для парсинга входящего события, или значение записи потока данных об угрозах, успешно сопоставленное с обнаруженным индикатором.

Фильтрация обнаруженных киберугроз

Обнаруженные киберугрозы в таблице можно фильтровать по следующим критериям:

• Дата обнаружения киберугрозы

  Укажите период времени или конкретную дату.

• Категория

  Выберите одну или несколько категорий обнаруженных объектов.

• Уровень доверия к потоку индикаторов

  Укажите интервал уровней доверия к потокам данных или источникам данных об угрозах.

• Ретроскан

  Выберите для отображения в таблице все обнаружения, обнаружения ретроспективного сканирования или обнаружения без ретроспективного сканирования. Если фильтр не применен, отображаются все обнаружения киберугроз.

• Ложн

  Выберите, какие обнаружения киберугроз требуется отображать в таблице: отмеченные как ложные срабатывания или не отмеченные как ложные срабатывания. Если фильтр не применен, отображаются все обнаружения киберугроз.

Чтобы отфильтровать таблицу по критериям, выполните следующие действия:

1. Нажмите на значок (воронка) в столбце, который требуется использовать в качестве критерия фильтрации.
2. Укажите условие фильтрации.
3. Если в окне задания условия фильтрации есть кнопка Применить, нажмите ее.

Содержимое таблицы обновится и в нее будут включены только значения, соответствующие заданным условиям.

Можно указать несколько критериев фильтрации.

По умолчанию условия фильтрации не применяются.

Чтобы удалить фильтр, выполните следующие действия:

1. Нажмите на значок (воронка) в столбце, который требуется прекратить использовать в качестве критерия фильтрации.
2. Нажмите кнопку Сбросить.

Содержимое таблицы обновится и больше не будет отфильтровано по удаленному критерию фильтрации.

В этом разделе О категориях обнаружений киберугроз Об обнаружениях ретроспективного сканирования

В начало