В Kaspersky CyberTrace можно задавать правила фильтрации оповещений об обнаружении индикаторов компрометации. Имя атрибута индикатора задается из базы данных индикаторов, а условия фильтрации и значения фильтрации задаются в раскрывающемся списке Название поля, в раскрывающемся списке Условие и в поле ввода Значение соответственно. Обратите внимание, что если у обнаруженного индикатора нет атрибута, указанного в правиле фильтрации, считается, что этот индикатор удовлетворяет условиям фильтрации.
Kaspersky CyberTrace будет отправлять оповещения об обнаружении индикаторов компрометации только в том случае, если для флага отправки оповещений в SIEM-систему (атрибут ioc_supplier_send_match_event из базы данных индикаторов) установлено значение true, а все поля записи потока данных, соответствующие индикатору, удовлетворяют критериям фильтрации.
Если отключить сохранение оповещений об обнаружении индикаторов компрометации при применении критериев фильтрации для отправки оповещений в SIEM, то оповещения, содержащие индикаторы, не соответствующие указанным критериям, будут отбрасываться.
В таблице ниже перечислены условия фильтрации, которые можно применить к оповещениям об обнаружении индикаторов компрометации:
Возможные условия фильтрации
Условие фильтрации |
Описание |
Равно определенному значению |
Атрибут индикатора равен указанному значению. Чтобы применить это условие, выберите значение равно ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите одно значение в поле ввода Значение. |
Равно хотя бы одному из нескольких значений |
Атрибут индикатора должен содержать одно или несколько указанных значений. Чтобы применить это условие, выберите значение среди перечисленных (разделенные новой строкой) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите несколько значений в поле ввода Значение. Не указывайте пустые значения. Каждое следующее значение должно начинаться с новой строки. |
Принадлежит к диапазону числовых значений |
Атрибут индикатора должен содержать значение в указанном диапазоне. Чтобы применить это условие, выберите значение в диапазоне (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите диапазон значений в полях ввода Значение. Обратите внимание, что граничные значения включаются в диапазон. Значения должны быть целыми числами. |
Принадлежит к диапазону числовых значений, которые больше или равны указанному значению |
Атрибут индикатора должен содержать значение, которое больше или равно указанному значению. Чтобы применить это условие, выберите значение больше (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите одно значение в поле ввода Значение. Значение должно быть целым числом. |
Принадлежит к диапазону числовых значений, которые меньше или равны указанному значению |
Атрибут индикатора должен содержать значение, которое меньше или равно указанному значению. Чтобы применить это условие, выберите значение меньше (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите одно значение в поле ввода Значение. Значение должно быть целым числом. |
Принадлежит к диапазону дат |
Атрибут индикатора должен содержать дату в указанном диапазоне. Чтобы применить это условие, выберите дата в диапазоне (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите диапазон дат в полях ввода Значение. Чтобы выбрать диапазон дат, используйте средство выбора дат в календаре. Кроме того, при указании границ диапазона можно выбрать произвольное количество дней или одно из следующих предустановленных значений:
|
Принадлежит к диапазону дат, которые больше или равны указанному значению |
Атрибут индикатора должен содержать дату, равную указанному значению или превышающую его. Чтобы применить это условие, выберите дата больше (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите дату в поле ввода Значение. Чтобы выбрать дату, используйте средство выбора дат в календаре. Кроме того, для границы можно выбрать одно из следующих предустановленных значений:
|
Принадлежит к диапазону дат, которые меньше или равны указанному значению |
Атрибут индикатора должен содержать дату, которая меньше или равна указанному значению. Чтобы применить это условие, выберите дата меньше (включительно) ИЛИ поле отсутствует в раскрывающемся списке Условие, затем укажите дату в поле ввода Значение. Чтобы выбрать дату, используйте средство выбора дат в календаре. Кроме того, для границы можно выбрать одно из следующих предустановленных значений:
|
Равно непустому значению |
Атрибут индикатора должен содержать любое непустое значение. Чтобы применить это условие, выберите значение непустое в раскрывающемся списке Условие. |