Работа с индикаторами

Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.

В веб-интерфейсе Kaspersky CyberTrace можно перейти на страницу Индикаторы. Для работы с этой страницей необходимо перейти в режим Управление данными.

На этой странице можно выполнять следующие действия:

• Просматривать список индикаторов из базы данных индикаторов (далее также именуется базой данных).
• Выполнять поиск по индикатору.
• Добавлять новые индикаторы в базу данных.

  Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута supplier_name.

• Удалять индикаторы из базы данных.
• Добавлять существующие индикаторы к источнику данных об угрозах FalsePositive (отмечать как ложное срабатывание).
• Просматривать подробную информацию об индикаторах.
• Фильтровать показатели по источникам данных об угрозах.

  При применении этого фильтра и выборе нескольких источников данных об угрозах Kaspersky CyberTrace показывает только те индикаторы, каждый из которых был предоставлен всеми выбранными источниками данных об угрозах.

• Фильтровать индикаторы по тегам.
• Фильтровать индикаторы по типу.

  Чтобы использовать этот фильтр, нажмите на заголовок столбца Тип и в открывшейся форме фильтра выберите типы индикаторов, которые должны отображаться в списке.

Источники данных об угрозах FalsePositive и InternalTI

Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:

• Источник данных об угрозах FalsePositive предназначен для существующих индикаторов, которые пользователи отмечают как ложные срабатывания в веб-интерфейсе Kaspersky CyberTrace.
• Источник данных об угрозах InternalTI предназначен для новых индикаторов, которые пользователи добавляют в базу данных в веб-интерфейсе Kaspersky CyberTrace или через REST API.

Индикаторы источников данных об угрозах InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.

В этом разделе Просмотр индикаторов Добавление индикаторов в список пользовательских сведений о киберугрозах Работа со списком пользовательских сведений о киберугрозах Удаление индикаторов Поиск индикаторов в таблице индикаторов Управление поисковыми запросами Просмотр подробной информации об индикаторах Экспорт индикаторов в CSV Правила нормализации URL

В начало