Настройка ретроспективного сканирования

Kaspersky CyberTrace позволяет сохранять события, которые могут содержать необнаруженные индикаторы, выполнять их ретроспективное сканирование по индикаторам из обновленных потоков данных об угрозах и просматривать результаты ретроспективного сканирования. В этом разделе описывается порядок настройки Kaspersky CyberTrace для использования ретроспективного сканирования на странице Параметры → Ретроскан. Для работы с этой страницей необходимо перейти в режим Управление системой. Этот режим доступен только пользователям с ролью «Администратор».

На странице Ретроскан можно выполнять следующие действия:

Включение и выключение ретроспективного сканирования.
Просмотр текущего объема сохраненных событий.
Удаление сохраненных событий.
Во время ретроспективного сканирования сохраненные события удалять невозможно. Прежде чем отключить ретроспективное сканирование и удалить сохраненные события, необходимо дождаться завершения текущей задачи ретроспективного сканирования.

Страница Ретроскан
На вкладке Общие параметры задайте следующие настройки:
- Задайте частоту выполнения задачи ретроспективного сканирования по расписанию или отключите сканирование по расписанию. Если выбран вариант Раз в месяц, ретроспективное сканирование запускается каждые 30 дней.
- Включите или выключите ограничение на размер событий, сохраняемых для ретроспективного сканирования.
- Установите максимальный объем событий (в гигабайтах), сохраняемых для ретроспективного сканирования.
- Укажите, как долго (в днях) должны храниться события, используемые для ретроспективного сканирования.
- Укажите, как долго (в днях) должны храниться результаты ретроспективного сканирования.
Вкладка Общие параметры
На вкладке Потоки данных включите или отключите потоки данных об угрозах, которые требуется использовать при ретроспективном сканировании.

Вкладка Потоки данных
На вкладке Регулярные выражения задайте следующие параметры:
- Включите или выключите сохранение событий, связанных с конкретным тенантом, для использования в ретроспективном сканировании.
  Если исключить тенант из ретроспективного сканирования, регулярные выражения, содержащиеся в этом тенанте, станут недоступны для выбора.
- Выберите регулярные выражения, содержащиеся в тенанте, для использования в ретроспективном сканировании.
  Необходимо выбрать хотя бы одно регулярное выражение.
Вкладка Регулярные выражения

Рекомендации по настройке ретроспективного сканирования

Ретроспективное сканирование – это ресурсоемкий процесс, который может потребовать много времени, если применять его к огромным объемам данных. Для более эффективного использования ретроспективного сканирования без поиска индикаторов для всех входящих событий рекомендуется выделить события, для которых будет выполняться ретроспективное сканирование, в отдельный источник событий.

Чтобы добавить источник событий для ретроспективного сканирования, выполните следующие действия:

Добавьте источник событий.
При настройке источника событий обратите внимание на следующее:
- Добавьте регулярное выражение для выделения события (например, для формата события syslog это может быть ^\<d+\>.*$).
- Задайте имя правила, характерное для данного источника и типа индикатора (например, RE_IP_NEW_SIEM).
  Регулярные выражения для различных источников событий см. в разделе Регулярные выражения для популярных источников событий.
Перейдите на страницу Параметры → Ретроскан, затем выберите вкладку Регулярные выражения.
Включите только те источники и их регулярные выражения, которые необходимы для ретроспективного сканирования.
Сохраните изменения.

Служебные оповещения, связанные с ретроспективным сканированием

Kaspersky CyberTrace генерирует следующие служебные оповещения, чтобы информировать вас о процессе ретроспективной проверки:

KL_ALERT_RetroScanCompleted
KL_ALERT_RetroScanError
KL_ALERT_RetroScanStorageExceeded

Подробную информацию об этих оповещениях см. в разделе Служебные оповещения, отправляемые Kaspersky CyberTrace.

О ретроспективном сканировании вы также можете узнать из видео:

В начало