Просмотр обнаруженных киберугроз

На странице Обнаружения веб-интерфейса Kaspersky CyberTrace отображается информация о входящих событиях, которые привели к возникновению обнаруженных киберугроз в Kaspersky CyberTrace, в том числе источники событий и оповещения об обнаружении индикаторов компрометации. На этой странице можно выполнять поиск событий и фильтрацию событий по критериям. Для работы с этой страницей необходимо перейти в режим Управление данными.

Страница Обнаружения содержит следующие элементы:

• Панель поиска
• Таблица с информацией об обнаруженных киберугрозах
• Кнопка перехода к настройкам таблицы:
  • Переключатель Искать также в оповещениях об обнаружении индикаторов компрометации
  • Переключатель Автоматически обновлять таблицу
  • Столбцы таблицы

Поиск по обнаруженным киберугрозам

С помощью строки поиска можно выполнять полнотекстовый поиск по обнаруженным киберугрозам. Текстовая строка в поисковом запросе токенизируется таким образом, чтобы результаты поиска содержали как точные, так и нечеткие совпадения. Подстановочные знаки не поддерживаются.

Результаты поиска отображаются в таблице ниже.

Если включен переключатель Искать также в оповещениях об обнаружении индикаторов компрометации, Kaspersky CyberTrace будет искать текстовую строку во входящих событиях и оповещениях об обнаружении индикаторов компрометации. В противном случае поиск выполняется только по входящим событиям. По умолчанию переключатель Искать также в оповещениях об обнаружении индикаторов компрометации выключен.

Таблица с информацией об обнаруженных киберугрозах содержит следующие столбцы:

• Дата обнаружения киберугрозы

  Системные дата и время обнаружения киберугрозы.

• Источник

  Имя источника событий.

  Этот столбец может содержать имя источника, которого уже нет в Kaspersky CyberTrace. Такая ситуация может возникнуть для обнаружения ретроспективного сканирования в том случае, если источник был удален или переименован после сохранения входящего события.

• Категория

  Категория обнаруженного объекта.

  Записанное имя категории не меняется, даже если изменится имя источника данных об угрозах.

• Тип

  Тип индикатора, на который сработало обнаружение киберугрозы.

• Значение

  Значение индикатора, на который сработало обнаружение киберугрозы.

• Теги

  Список тегов, присвоенных индикатору, на который сработало обнаружение киберугрозы.

• Общий вес тегов

  Суммарный вес тегов в столбце Теги.

• Уровень доверия к потоку индикаторов

  Уровень доверия к потоку данных или источнику данных об угрозах.

• Дополнительная информация
  • Источник

    Чтобы включить индикацию обнаружений киберугроз, полученных по TCP, через общедоступные API или обоими способами, выберите Все, TCP или API.

    Значком отмечаются обнаружения киберугроз, полученные через общедоступные API.

  • Ретроскан

    Чтобы включить индикацию наличия или отсутствия обнаружений, полученных в результате ретроспективного сканирования, либо всех обнаружений, выберите Все, Ретроскан или Не ретроскан.

    Значок указывает на наличие обнаружений киберугроз, полученных в результате ретроспективного сканирования.

  • Ложные срабатывания

    Выберите Все, Ложные срабатывания или Не ложные срабатывания.

    Значок (серый флаг), указывающий на то, что обнаружение киберугрозы, вместе с соответствующим индикатором, было отмечено как ложное срабатывание.

• Пользовательские столбцы

  Эти столбцы создаются в соответствии с регулярным выражениям источников событий тенанта и содержат индикаторы из источников событий, полученные с помощью регулярных выражений типа Context.

В каждой строке таблицы содержится информация об отдельной обнаруженной киберугрозе.

Обнаруженные киберугрозы в таблице сортируются по дате и времени в порядке убывания.

Если переключатель Автоматически обновлять таблицу включен, Kaspersky CyberTrace добавляет в таблицу новую информацию об обнаруженных киберугрозах каждые 10 секунд.

Настройка таблицы обнаружений киберугроз

Таблицу обнаружений киберугроз можно настраивать, скрывая или отображая отдельные столбцы.

Для настройки таблицы обнаружения киберугроз выполните следующие действия:

1. Нажмите на значок (Параметры).
2. В разделе Столбцы таблицы установите флажки для столбцов, которые должны отображаться в таблице обнаружений киберугроз, либо снимите флажки, чтобы скрыть соответствующие столбцы таблицы.
3. Нажмите на кнопку Сохранить.

Таблица обнаружения киберугроз настроена.

По умолчанию название пользовательского столбца, отображаемого в таблице, совпадает с названием соответствующего регулярного выражения. Если требуется изменить название пользовательского столбца, нажмите на значок (Изменить) и введите новое имя столбца.

Если источник событий или регулярное выражение были удалены или переименованы, а для соответствующего пользовательского столбца настроено отображение в таблице, такой пользовательский столбец отображается со значком , означающим, что регулярное выражение удалено.

Просмотр сведений об обнаружении киберугрозы

Нажатие на обнаружение киберугрозы позволяет просмотреть следующую подробную информацию:

• Исходное событие

  В этом разделе содержатся подстроки, извлеченные из входящего события с помощью регулярных выражений, а также исходное событие целиком.

• Оповещение об обнаружении индикаторов компрометации

  В этом разделе содержатся контекстные поля совпавшего индикатора в формате %FieldName%=%Value% и оповещение об обнаружении индикаторов компрометации целиком.

  где:

  • %FieldName% — это имя регулярного выражения, которое использовалось для парсинга входящего события, или имя поля записи потока данных об угрозах, которое было успешно сопоставлено с обнаруженным индикатором.
  • %Value% — это значение регулярного выражения, которое использовалось для парсинга входящего события, или значение записи потока данных об угрозах, успешно сопоставленное с обнаруженным индикатором.

Фильтрация обнаруженных киберугроз

Обнаруженные киберугрозы в таблице можно фильтровать по следующим критериям:

• Дата обнаружения киберугрозы

  Укажите период времени или конкретную дату.

• Категория

  Выберите одну или несколько категорий обнаруженных объектов.

• Уровень доверия к потоку индикаторов

  Укажите интервал уровней доверия к потокам данных или источникам данных об угрозах.

• Дополнительная информация
  • Источник

    Выберите общедоступные API или TCP в качестве источника обнаружений киберугроз для отображения в таблице. Если фильтр не применен, отображаются все обнаружения киберугроз.

  • Ретроскан

    Выберите для отображения в таблице все обнаружения, обнаружения ретроспективного сканирования или обнаружения без ретроспективного сканирования. Если фильтр не применен, отображаются все обнаружения киберугроз.

  • Ложные срабатывания

    Выберите, какие обнаружения киберугроз требуется отображать в таблице: отмеченные как ложные срабатывания или не отмеченные как ложные срабатывания. Если фильтр не применен, отображаются все обнаружения киберугроз.

Чтобы отфильтровать таблицу по критериям, выполните следующие действия:

1. Нажмите на значок (воронка) в столбце, который требуется использовать в качестве критерия фильтрации.
2. Укажите условие фильтрации.
3. Если в окне задания условия фильтрации есть кнопка Применить, нажмите ее.

Содержимое таблицы обновится и в нее будут включены только значения, соответствующие заданным условиям.

Можно указать несколько критериев фильтрации.

По умолчанию условия фильтрации не применяются.

Чтобы удалить фильтр, выполните следующие действия:

1. Нажмите на значок (воронка) в столбце, который требуется прекратить использовать в качестве критерия фильтрации.
2. Нажмите на кнопку Сбросить.

Содержимое таблицы обновится и больше не будет отфильтровано по удаленному критерию фильтрации.

В этом разделе О категориях обнаружений киберугроз Об обнаружениях ретроспективного сканирования

В начало