О трансформациях

Помимо добавления узлов и связей в граф вручную, Kaspersky CyberTrace может обогащать граф автоматически путем добавления информации об объектах, имеющих отношение к узлу. Источником этой информации может быть как собственно Kaspersky CyberTrace, так и внешние источники, такие как Kaspersky Threat Intelligence Portal или VirusTotal. Выполнение процесса обогащения графа называется трансформацией.

Большинство источников обогащения графов не поддерживают обработку индикаторов URL, содержащих символ «*» в доменной части. Выполнение трансформации на узле с таким индикатором URL приведет к ошибке или пустому результату.

По умолчанию Kaspersky CyberTrace предоставляет следующие трансформации:

• Связанные индикаторы CyberTrace

  Получение индикаторов из тех же потоков данных с первоначальным стандартным индикатором Kaspersky CyberTrace:

  • Индикаторы IP
  • Индикаторы хешей
  • Индикаторы веб-адресов
  • Все индикаторы

    Все связанные индикаторы (хеши, URL, IP-адреса).

• Связанные обнаружения киберугроз CyberTrace

  Получение 100 последних обнаружений киберугроз, связанных со стандартным индикатором Kaspersky CyberTrace.

• Получение информации от Kaspersky Threat Intelligence Portal.

  Kaspersky CyberTrace необходим токен доступа для подключения к Kaspersky Threat Intelligence Portal.

  • Для индикаторов типа URL (стандартные индикаторы Kaspersky CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Файлы, обращавшиеся к веб-адресу
    • Файлы, скачанные с веб-адреса
    • Веб-адрес, ссылающиеся на веб-адрес
    • Веб-адреса, на которые ссылается веб-адрес
    • Разрешения DNS с веб-адреса

      IP-адреса из разрешения DNS для данного URL.

    • Отчеты для веб-адреса
  • Для индикаторов типа MD5, SHA1 и SHA256 (стандартные индикаторы Kaspersky CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Файлы, запускающие файл
    • Файлы, запускаемые файлом
    • Файлы, скачивающие файл
    • Файлы, скачиваемые файлом
    • Веб-адреса, к которым обращается файл
    • Веб-адреса, по которым расположен файл
    • Отчеты для файла
  • Для индикаторов типа IP (стандартные индикаторы Kaspersky CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Файлы, скачанные с IP-адреса
    • Веб-адреса, связанные с IP-адресом
    • Отчеты для IP-адреса
• Получение информации от VirusTotal.

  Kaspersky CyberTrace необходим токен доступа для подключения к VirusTotal.

  • Для индикаторов типа URL (стандартные индикаторы Kaspersky CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Получить информацию VirusTotal

      Информация о данном URL.

    • Файлы, обменивающиеся данными

      Список файлов, которые взаимодействуют с данным URL.

    • Скачанные файлы

      Список файлов, загруженных с данного URL.

    • Содержащие файлы

      Список файлов, содержащих указанный URL.

    • Домены, к которым были обращения

      Список доменов, с которых данный URL загружает какой-либо ресурс.

    • Веб-адрес, ссылающиеся на веб-адрес

      Список URL, ссылающихся на данный URL.

    • Перенаправляющие веб-адреса

      Список URL, на которые перенаправляет данный URL.

    • Перенаправляемые веб-адреса

      Список URL, перенаправляющих на данный URL.

    • Поддомены

      Список поддоменов для данного домена.

      При таких трансформациях перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом.

      Если узел является не «чистым» доменом, а URL, возвращается пустой результат.

    • Веб-адреса домена

      Список URL для данного домена.

      Перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом. Если узел является не «чистым» доменом, а URL, возвращается пустой результат.

    • IP-адреса, к которым были обращения

      Список IP-адресов, с которых данный URL загружает какой-либо ресурс.

    • Последнее разрешение IP-адреса

      Последнее разрешение IP-адреса для данного URL.

    • Сетевое местоположение

      Сетевое местоположение для данного URL.

    • Разрешения домена

      Список IP-адресов, на которые разрешается данный домен.

      Перед отправкой запроса в API VirusTotal Kaspersky CyberTrace определяет, действительно ли целевой узел определенно является доменом. Если узел является не «чистым» доменом, а URL, возвращается пустой результат.

  • Для индикаторов типа MD5, SHA1 и SHA256 (стандартные индикаторы Kaspersky CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Получить информацию VirusTotal

      Информация о данном хеше.

    • Файлы из одного архива

      Список файлов, входящих в тот же архив, что и файл с данным хешем.

    • Carbon Black: дочерние

      Список файлов, которые являются дочерними по отношению к файлу с данным хешем.

    • Carbon Black: родительские

      Список файлов, которые являются родительскими по отношению к файлу с данным хешем.

    • Сжатые: родительские

      Список файлов (архивов), содержащих файл с данным хешем.

    • Отброшенные файлы

      Список файлов, которые удалил файл с данным хешем.

    • Файлы, исполнявшие файл

      Список файлов, запускавших файл с данным хешем.

    • Домены, к которым были обращения

      Список доменов, к которым обращался файл с данным хешем.

    • Веб-адреса с обращениями

      Список URL, к которым обращался файл с данным хешем.

    • Встроенные IP-адреса

      Список IP-адресов, встроенных в файл с данным хешем.

    • Встроенные веб-адреса

      Список URL, встроенных в файл с данным хешем.

    • Доменные имена In the wild

      Список доменов, с которых был загружен файл с данным хешем.

    • Веб-адреса In the wild

      Список URL, с которых был загружен файл с данным хешем.

    • IP-адреса, к которым были обращения

      Список IP-адресов, к которым обращался файл с данным хешем.

    • IP-адреса In the wild

      Список IP-адресов, с которых был загружен файл с данным хешем.

  • Для индикаторов типа IP (стандартные индикаторы Kaspersky CyberTrace, а также внешние индикаторы (наблюдаемые объекты)) Kaspersky CyberTrace может получить следующую информацию:
    • Получить информацию VirusTotal

      Информация о данном IP-адресе.

    • Файлы, обменивающиеся данными

      Список файлов, которые взаимодействуют с данным IP-адресом.

    • Скачанные файлы

      Список файлов, загруженных с данного IP-адреса.

    • Содержащие файлы

      Список файлов, содержащих данный IP-адрес.

    • Разрешение IP-адресов

      Список доменов, которые разрешаются на данный IP-адрес.

    • Веб-адреса для IP-адреса

      Список URL, ведущих на данный IP-адрес.

В начало