Поиск индикаторов в таблице индикаторов

На странице Индикаторы можно выполнять поиск индикаторов в базе данных. Для работы с этой страницей необходимо перейти в режим Управление данными.

Чтобы выполнить поиск индикаторов, выполните следующие действия:

1. В поле поиска укажите строку, которую требуется найти. Синтаксис поискового запроса описан далее в этом разделе.

   Длина поискового запроса — от 1 до 1024 символов Unicode.

2. Нажмите на кнопку Найти, чтобы начать поиск.

На странице Индикаторы отобразится список индикаторов, совпавших с указанной строкой. Поисковый запрос можно сохранить, чтобы использовать его в будущем.

Синтаксис поисковых запросов

Строка поискового запроса для поиска по базе индикаторов должна следовать определенному синтаксису. Рассмотрим пример строки поискового запроса:

ioc_value: 192.0.2* OR (ioc_type: md5 AND ioc_updated_date:=01.01.2020)

В строке поискового запроса можно использовать атрибуты со следующими именами:

Имя атрибута	Описание
ioc_type	Тип индикатора.
ioc_value	Значение индикатора.
ioc_created_date	Дата и время, когда запрошенный индикатор был добавлен в базу данных.
ioc_updated_date	Дата и время последнего обновления индикатора.
ioc_comment	Комментарий к индикатору.
ioc_summary	Сводная информация об индикаторе от источника данных об угрозах InternalTI.
ioc_first_detected_date	Дата и время, когда оповещение об обнаружении индикаторов компрометации в было впервые получено.
ioc_last_detected_date	Дата и время последнего получения оповещения об обнаружении индикаторов компрометации.
username	Имя пользователя, добавившего индикатор в источник данных об угрозах InternalTI/FalsePositive.
ioc_supplier_can_match	Флаг, показывающий, что индикатор может использоваться в процессе сопоставления. Этот флаг применяется к индикаторам, которые должны были быть удалены во время обновления источника данных об угрозах или по истечении срока хранения, но не были удалены, поскольку они принадлежат источнику данных об угрозах InternalTI, или поскольку такие индикаторы были задействованы в процессе обнаружения киберугроз. Этот параметр может принимать значения true или false.
ioc_supplier_last_updated_date	Дата и время последнего обновления информации об индикаторе от источника данных об угрозах.
ioc_supplier_send_match_event	Флаг отправки оповещений об обнаружении индикаторов компрометации в SIEM-систему.
supplier_name	Имя источника данных об угрозах, из которого был получен индикатор. В Kaspersky CyberTrace поддерживаются следующие типы источников данных об угрозах: Загруженный файл потока данных об угрозах Для этого типа источника данных об угрозах в качестве значения атрибута supplier_name выступает имя файла потока данных об угрозах, указанного в kl_feed_util.conf. Запрос REST API Для этого типа источника данных об угрозах значение атрибута supplier_name — это имя источника данных об угрозах, добавленного через REST API. Пользовательский веб-интерфейс (источники данных об угрозах InternalTI и FalsePositive) Для этого типа источника данных об угрозах значение атрибута supplier_name зависит от списка, в добавляется индикатор (InternalTI или FalsePositive). Если вы новый индикатор добавляется на вкладке Индикаторы в веб-интерфейсе Kaspersky CyberTrace, используется значение InternalTI. Если вы индикатор добавляется в список ложных срабатываний в окне Ложные срабатывания на вкладке Потоки данных или если индикатор отмечается как ложное срабатывание, используется значение FalsePositive.
supplier_confidence	Уровень доверия к источнику данных об угрозах.
supplier_vendor_name	Имя поставщика источника данных об угрозах.
ioc_supplier_context	Контекстная информация, относящаяся к индикатору. Этот атрибут может содержать вложенные атрибуты. Правило для поиска всех вложенных атрибутов описано ниже.

Для поисковых запросов используется следующий синтаксис:

• Если в поисковом запросе для подстроки используются специальные символы ([пробел], +, -, =, &&, ||, >, <, !, (, ), {, }, [, ], ^, ", ~, *, ?, :, \, /), такие символы в теле запроса необходимо экранировать. Ниже приведены исключения для использования специальных символов в поисковых запросах.

  Для экранирования в Kaspersky CyberTrace используется символ обратной косой черты \.

• Использование пробела. Слово, следующее за неэкранированным символом пробела, не будет отнесено к подстроке поиска.

  Пример 1: supplier_vendor_name: Vendor\ Test – возвращаются все индикаторы, принадлежащие к источникам с именем поставщика «Vendor Test».

  Пример 2: supplier_vendor_name: Vendor Test – возвращаются все индикаторы, принадлежащие к источникам с именем поставщика «Vendor», и индикаторы, у которых в контексте есть слово «test».

• Определенные подстроки могут заключаться в кавычки, а логические блоки могут заключаться в круглые скобки. При указании начальных или конечных значений для интервалов, исключающих граничные значения, используются фигурные скобки ({}), а для интервалов, включающих граничные значения, используются квадратные скобки ([]). Фигурные и квадратные скобки можно комбинировать в пределах одного интервала, если требуется указать начальное значение одного типа и конечное значение другого типа. Кавычки и скобки всех типов в поисковом запросе должны образовывать пары.

  Не разрешается заключать подстроку поиска в кавычки, если подстрока не содержит специальных символов, перечисленных выше. В этом случае в результаты поиска будут включены только индикаторы, в которых указанная подстрока полностью совпадает с одним из значений любого поля. Поэтому если требуется найти индикаторы, в которых подстрока поиска является лишь частью значения поля, следует использовать подстановочные знаки (звездочка «*» или вопросительный знак «?» — см. ниже).

  Кавычки и скобки всех типов можно использовать без соблюдения парности в следующих случаях:

  • Если непарная скобка или кавычка используется с экранирующим символом.

    Пример: ioc_value:asd\]

  • Если непарная скобка заключена в кавычки.

    Пример: ioc_value:"1234]"

• Запрещается использовать символ табуляции.
• Двоеточие (:) можно использовать только после имени атрибута индикатора; в противном случае двоеточие необходимо экранировать.
• Не указывайте пустое значение в круглых скобках, за исключением случаев, когда это значение указывается с экранирующим символом или заключается в кавычки.

  Пример неправильного запроса: ( )

  Пример правильного запроса: (" ")

• В фигурных скобках ({}) и квадратных скобках ([]) следует использовать шаблон %begin_value% TO %end_value%, где %begin_value% и %end_value% — это значения, предназначенные для открытых и закрытых интервалов (кроме случаев, когда квадратные скобки заключены в кавычки).

  Пример неправильного запроса: [* 100]

  Пример правильного запроса: [* TO 100]

• Не указывайте пустое значение при поиске конкретного атрибута.

  Пример неправильного запроса: ioc_type:

  Пример правильного запроса: ioc_type:url

• Логические операторы (AND, OR, NOT) использовать без кавычек и целиком в верхнем регистре.
• Логические операторы AND, OR должны отбиваться пробелами слева и справа. При логическом операторе NOT не должно быть пробела слева, если оператор NOT указывается сразу после открывающей левой скобки или двоеточия.

  Пример неправильного запроса: supplier_confidence:(89OR91)

  Пример правильного запроса: supplier_confidence:NOT(89 OR 91)

• Не следует указывать пустое значение после логического оператора.

  Пример неправильного запроса: supplier_confidence:(89 OR )

  Пример правильного запроса: supplier_confidence:(89 OR 91)

• Для атрибута ioc_supplier_context при поиске определенного вложенного атрибута используется точка.

  Пример: ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

• В случае атрибута ioc_supplier_context, если строка поиска содержит пробел, перед пробелом следует использовать экранирующий символ «\» (обратная косая черта).

  Пример: ioc_supplier_context.details.SMS\ Number:1003

• В случае атрибута ioc_supplier_context для поиска всех вложенных атрибутов следует использовать шаблон ioc_supplier_context.\\*.

  Пример: ioc_supplier_context.\\*:HEUR

• В качестве подстановочных знаков в заменителях для любой другой последовательности символов следует использовать звездочку (*), а для одиночного символа — вопросительный знак (?).

  Пример 1: supplier_vendor_name: Vendor – поиск индикаторов, принадлежащих к источникам с именем поставщика «Vendor».

  Пример 2: supplier_vendor_name: Vendor* – поиск индикаторов, принадлежащих к источникам с именем поставщика, которое начинается с «Vendor».

  Использование звездочки (*) в начале запроса может привести к проверке всех значений атрибутов в базе данных индикатора. Обычно это приводит к долгому ожиданию ответа от базы данных.

Примеры

Следующий запрос отображает все индикаторы, содержащие подстроку at, ca, kr, ru, ir в любом из атрибутов индикатора:

"at, ca, kr, ru, ir"

Следующий запрос отображает все индикаторы, у которых значение атрибута supplier_confidence равно 89 или 91:

supplier_confidence:(89 OR 91)

Следующий запрос отображает все индикаторы, у которых значение атрибута ioc_value содержит подстроку 123321:

ioc_value:"123321"

Следующий запрос отображает все индикаторы, которые были добавлены в базу данных в период с 2012-01-01 по 2012-12-31 (включая границы):

ioc_created_date:[2012-01-01 TO 2012-12-31]

Следующий запрос отображает все индикаторы с уровнем доверия от 10 до 50 (без учета границ):

supplier_confidence:{10 TO 50}

Следующий запрос отображает все индикаторы, у которых значение поля контекста threat_score больше 75:

ioc_supplier_context.threat_score:[75 TO *]

Следующий запрос отображает все индикаторы, у которых атрибут контекста файлов/угроз содержит подстроку HEUR:Exploit.SWF.Generic:

ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

Следующий запрос отображает все индикаторы, у которых есть атрибуты контекста с любым уровнем вложенности, содержащие значение HEUR:

ioc_supplier_context.\\*:HEUR

См. также: Поиск индикаторов

В начало