Обнаружения, полученные в результате ретроспективного сканирования, имеют определенные отличия от обнаружений, полученных в результате сопоставления. В этом разделе описаны особенности обнаружений ретроспективного сканирования.
При ретроспективном сканировании входящее событие, сохраняемое для анализа в Kaspersky CyberTrace, отражает только значения, полученные с использованием регулярных выражений, указанных на вкладке Регулярные выражения настроек ретроспективного сканирования. Поэтому поле Исходное событие целиком на странице Обнаружения будет содержать местозаполнитель вместо входящего события.
Поле Reception date для обнаружений ретроспективного сканирования содержит дату получения исходного события, а не дату обнаружения, которая указана в столбце Дата обнаружения киберугрозы.
Если имена регулярных выражений были изменены в настройках в период с момента сохранения входящего события до момента формирования обнаружения ретроспективного сканирования, то контекст оповещения об обнаружении индикаторов компрометации, в котором используются измененные регулярные выражения, не будет включать соответствующие значения, так как в сохраненном событии они представлены под другими именами. См. пример ниже.
Входящее событие:
CEF:0|Kaspersky|CyberTrace Verification Kit|1.2|0|Verification_test|2| request=http://fakess123bn.nu suser=EvalTestUserName src=192.168.0.0 dvc=127.0.0.0 dst=192.0.2.0 act=VerificationTest eventId=110 |
Настроенные регулярные выражения на момент получения события:
RE_URL: (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)
SRC_IP: (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)
UserName: suser\=(.*?)(?:$|\s)
|
Настроенные регулярные выражения на момент формирования обнаружения ретроспективного сканирования:
REGEX_URL: (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)
SRC_IP: (?:\:\/\/)((?:\S+(?::\S*)?+@)?(?:(?:(?:[a-z\x{00a1}-\x{ffff}0-9]+-*)*[a-z\x{00a1}-\x{ffff}0-9]*)(?:\.(?:[a-z\x{00a1}-\x{ffff}0-9]+-)*+[a-z\x{00a1}-\x{ffff}0-9]++)*(?:\.(?:[a-z\x{00a1}-\x{ffff}\-0-9]+)))(?:\.*:\d{2,5})?+(?:\.*\/[^\s\"\<\>]*+)?+)
USER_NAME: suser\=(.*?)(?:$|\s)
|
Формат обнаружения:
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=%Category% src=%SRC_IP% request=%REGEX_URL% suser=%USER_NAME% msg=CyberTrace detected %Category% cs5Label=MatchedIndicator |
Сформированное обнаружение ретроспективного сканирования:
CEF:0|Kaspersky|Kaspersky CyberTrace for ArcSight|2.0|2|CyberTrace Detection Event|8| reason=KL_BotnetCnC_URL src=192.168.0.0 request=- suser=- msg=CyberTrace detected KL_BotnetCnC_URL cs5Label=MatchedIndicator cs5=fakess123bn.nu |