Настройка правил фильтрации для оповещений об обнаружении индикаторов компрометации

На вкладке Фильтрация страницы Настройка → Оповещения об обнаружении индикаторов компрометации можно задать правила фильтрации оповещений об обнаружении индикаторов компрометации, отправляемых из Kaspersky CyberTrace в SIEM-систему

Вкладка Фильтрация страницы Настройка → Оповещения об обнаружении индикаторов компрометации

Kaspersky CyberTrace будет отправлять оповещения об обнаружении индикаторов компрометации только в том случае, если для флага отправки оповещений в SIEM-систему (атрибут события ioc_supplier_send_match из базы данных индикаторов) установлено значение true, а все поля записи потока данных, соответствующие индикатору, удовлетворяют критериям фильтрации. Обратите внимание, что если у обнаруженного индикатора нет атрибута, указанного в правиле фильтрации, считается, что этот индикатор удовлетворяет условиям фильтрации. Однако все оповещения об обнаружении индикаторов компрометации включаются в статистику и отображаются на страницах Информационная панель и Обнаружения.

Чтобы настроить фильтры для оповещений об обнаружении индикаторов компрометации, выполните следующие действия:

1. В раскрывающемся списке Имя поля выберите значение, соответствующее имени атрибута индикатора из базы данных индикаторов, к которой применяются правила фильтрации. В раскрывающемся списке Условие выберите условие фильтрации.
2. В поле ввода Значение укажите значение фильтрации.

   Значения в этом поле запрещается разделять точкой с запятой («;»). Вместо этого выберите значение среди перечисленных (с разделением переносами строки) ИЛИ поле отсутствует в раскрывающемся списке Условие и используйте символ переноса строк («\n») или нажимайте клавишу Enter. В противном случае фильтр не будет применяться правильным образом.

3. Если требуется добавить новый фильтр оповещений, нажмите на кнопку Добавить фильтр.

При необходимости любые правила фильтрации можно изменить или удалить.

В начало