Поиск по отдельному индикатору

Для поиска по отдельному индикатору необходимо перейти на вкладку Индикатор на странице Поиск. Для работы с этой страницей необходимо перейти в режим Управление данными.

Вкладка «Поиск → Индикатор» в CyberTrace.

Вкладка Индикатор

Поиск объектов

Можно выполнять поиск индикаторов следующих типов:

Чтобы выполнить поиск индикатора, выполните следующие действия:

  1. Введите индикатор в поле поиска.
  2. Нажмите на кнопку Найти.

Результат поиска отображается в разделе Результаты поиска.

Синтаксис поиска индикаторов

Поиск URL можно выполнить двумя способами:

При поиске хеша или IP-адреса необходимо указывать полный индикатор, как описано в разделе о синтаксисе поиска индикаторов.

Результат поиска

После выполнения поиска результаты отображаются в веб-интерфейсе Kaspersky CyberTrace в разделе Результаты поиска.

Поиск по отдельному индикатору в CyberTrace. Отчет о поиске.

Раздел Результаты поиска

Результат поиска включает в себя следующие данные:

Если индикатор не обнаружен, поскольку он принадлежит источнику данных об угрозах FalsePositive, в результатах поиска отображается сообщение о том, что подходящие индикаторы не найдены, а также ссылка на страницу поиска Kaspersky Threat Intelligence Portal.

Если после запуска поиска перейти на другую вкладку, результаты поиска добавляются в историю поисковых запросов.

Загрузка отчетов о поиске

Отчет с результатами операции поиска можно скачать. Отчет представляет собой файл .csv.

Чтобы скачать отчет, выполните следующие действия:

Нажмите на кнопку Скачать полный отчет и в случае запроса укажите каталог, в который требуется сохранить отчет.

Регулярные выражения для поиска индикаторов

Для поиска индикаторов в веб-интерфейсе Kaspersky CyberTrace используются регулярные выражения, определенные в конфигурационном файле Kaspersky CyberTrace Service. Регулярные выражения задаются специальным источником событий с именем http_single_lookup.

В начало