Работа с узлами и связями

Для управления узлами и связями графа выполните следующие действия:

На странице Графы расследования нажмите на плитку графа, чтобы открыть его.

Для работы с этой страницей необходимо перейти в режим Управление данными.

Добавление узлов в граф

Узлы можно добавлять в граф следующими способами:

• Добавление узлов типа «Индикатор» или «Обнаруженные киберугрозы» при создании графа на страницах Индикаторы или Обнаружения соответственно.
• Добавление узлов типа «Стандартный индикатор Kaspersky CyberTrace» и «Внешний индикатор (наблюдаемый объект)» в существующий граф вручную или из файлов.
• Добавление узлов в существующий граф с помощью трансформаций.

Чтобы добавить узел в существующий граф вручную, выполните следующие действия:

1. Нажмите на кнопку (Добавить индикаторы) на боковой панели.
2. В открывшемся диалоговом окне Добавление индикаторов на граф укажите значение индикатора, который требуется добавить. Например, MD5-хеш файла или URL.

   Если в базе данных Kaspersky CyberTrace имеется информация об указанном значении, Kaspersky CyberTrace предлагает выбрать, требуется ли добавить это значение из базы данных в качестве стандартного индикатора Kaspersky CyberTrace или добавить внешний индикатор (наблюдаемый объект).

   Если в базе данных Kaspersky CyberTrace отсутствует информация об указанном значении, можно добавить только внешний индикатор (наблюдаемый объект).

   Также можно указать несколько значений одно за другим.

3. Нажмите на кнопку Создать узлы.

Добавленные узлы появятся в графе.

Если узел уже существует в графе:

• Индикатор Kaspersky CyberTrace обновляется из базы данных.
• Внешний индикатор (наблюдаемый объект) остается на графе, а новые узлы не добавляются.

Чтобы добавить узел к существующему графу из файла, выполните следующие действия:

1. Нажмите на кнопку (Добавить индикаторы) на боковой панели.
2. В открывшемся диалоговом окне Добавление индикаторов на граф перейдите на вкладку Из файлов.
3. Выполните одно из следующих действий:
   • Перетащите требуемый файл (файлы) в область диалогового окна.
   • Нажмите на кнопку Добавить файлы и выберите требуемый файл или файлы из папки.

   Добавить можно только текстовые файлы в кодировке UTF-8 без BOM (размер каждого файла до 128 КБ).

   Файл можно удалить перед добавлением.

4. Нажмите на кнопку Создать узлы.

Добавленные узлы появятся в графе.

Если узел уже существует в графе:

• Индикатор Kaspersky CyberTrace обновляется из базы данных.
• Внешний индикатор (наблюдаемый объект) остается на графе, а новые узлы не добавляются.

Просмотр информации об узлах

Подробную информацию можно просмотреть о следующих типах узлов:

• Стандартный индикатор Kaspersky CyberTrace:
  • Тип и значение индикатора.
  • Ссылка на страницу индикатора в веб-интерфейсе Kaspersky CyberTrace.
  • Дата и время, когда индикатор был добавлен в граф.
  • Дата и время первого и последнего обнаружения киберугроз.
  • Источники индикатора.
  • Контекст индикатора.
  • Был ли индикатор отмечен как ложное срабатывание.
• Внешний индикатор (наблюдаемый объект):
  • Тип и значение индикатора.
  • Ссылка на внешний источник индикатора, если есть.
  • Дата и время, когда индикатор был добавлен в граф.
  • Атрибуты индикатора, если есть.
• Обнаружение киберугрозы:
  • Дата и время обнаружения киберугрозы.
  • Дата и время, когда обнаружение киберугрозы было добавлено в граф.
  • Категория обнаружения киберугрозы.
  • Имя тенанта, для которого было получено обнаружение киберугрозы, если существуют тенанты кроме «General».
  • Имя источника событий.
  • Входящее событие.
  • Части входящего события (в формате «ключ-значение»), которые были получены из регулярных выражений, примененных к входящему событию, и имена этих регулярных выражений.
  • События, включающие данное обнаружение киберугрозы.
  • Части оповещения об обнаружении индикаторов компрометации обнаружений киберугроз (в формате «ключ-значение»), соответствующие контексту обнаруженного индикатора.
  • Стандартный индикатор Kaspersky CyberTrace, вызвавший обнаружение киберугрозы.
• Отчет
  • Дата и время, когда отчет был добавлен в граф.
  • Имя отчета.
  • Поставщик отчета.
  • Тип отчета, если есть.
  • Ссылка на отчет, если есть.

Чтобы просмотреть подробную информацию об узле:

1. Щелкните правой кнопкой мыши интересующий узел.
2. В контекстном меню выберите команду Показать сведения.

Справа откроется боковая панель, содержащая подробную информацию об узле.

Также можно просмотреть информацию об узлах в группе.

Создание связей путем соединения узлов

Связь между узлами можно создать следующими способами:

• Соединение узлов вручную в режиме связывания.
• Автоматическое создание связей с помощью трансформаций.

Чтобы соединить узлы вручную, выполните следующие действия:

1. Включите режим связывания, для этого нажмите на кнопку (Режим связывания) на боковой панели.
2. Щелкните по узлу, который требуется соединить с другим узлом.

   На графе создается соединительная линия, ведущая от начального узла к следующему выбранному узлу.

3. Щелкните по следующему узлу, чтобы создать связь.

Когда соединение узлов будет закончено, отключите режим связывания.

Удаление узлов

Чтобы удалить узел, выполните следующие действия:

1. Выберите узел, который требуется удалить.
2. Нажмите на кнопку (Удалить узлы) на боковой панели или нажмите клавишу DEL на клавиатуре.

   Вместо этого можно щелкнуть правой кнопкой мыши по требуемому узлу и выбрать в контекстном меню команду Удалить узел.

3. В открывшемся окне подтверждения нажмите кнопку Удалить для подтверждения удаления узла.

При удалении узлов следует учитывать следующие соображения:

• При удалении узла группы удаляются все узлы в этой группе. Вместо удаления узла группы можно разгруппировать его или удалить отдельные узлы в группе.
• В случае удаления узла, соединенного с узлом «Действие» или «Обнаруженные киберугрозы» ориентированной связью, Kaspersky CyberTrace удаляет как исходный узел, так и узел «Действие» или «Обнаруженные киберугрозы». Если существуют другие узлы, связанные с узлом «Действие» или «Обнаруженные киберугрозы» неориентированными связями, Kaspersky CyberTrace не удаляет эти узлы.

Удаление связей

При удалении узла Kaspersky CyberTrace автоматически удаляет связи, соединяющие этот узел с другими узлами графа. Связи также можно удалять вручную, не удаляя при этом сами узлы.

Чтобы удалить связь, выполните следующие действия:

1. Щелкните по связи правой кнопкой мыши.
2. В контекстном меню нажмите Удалить связь.

В начало