Просмотр обнаруженных киберугроз

На вкладке Detections веб-интерфейса Kaspersky CyberTrace отображается информация о входящих событиях, которые привели к возникновению обнаруженных киберугроз в Kaspersky CyberTrace, в том числе источники событий и события обнаруженных киберугроз. Эту вкладку можно использовать для поиска событий и фильтрации событий по критериям. Вкладка Detections содержит следующие элементы:

Панель поиска
Переключатель Search also in detection events
Переключатель Auto-update table
Таблица с информацией об обнаруженных киберугрозах

Поиск по обнаруженным киберугрозам

С помощью строки поиска можно выполнять полнотекстовый поиск по обнаруженным киберугрозам. Текстовая строка в поисковом запросе токенизируется таким образом, чтобы результаты поиска содержали как точные, так и нечеткие совпадения. Подстановочные знаки не поддерживаются.

Результаты поиска отображаются в таблице ниже.

Если включен переключатель Search also in detection events, Kaspersky CyberTrace будет искать текстовую строку во входящих событиях и событиях обнаруженных киберугроз. В противном случае поиск выполняется только по входящим событиям. По умолчанию переключатель Search also in detection events включен.

Таблица с информацией об обнаруженных киберугрозах содержит следующие столбцы:

Detection date
В этом столбце содержится системная дата и время обнаружения киберугрозы (в формате гггг-мм-дд ЧЧ: ММ: СС).
Tenant
В этом столбце содержится имя тенанта. Отображается только в режиме мультитенатности при наличии нескольких тенантов.
Source
В этом столбце содержится имя источника события.
Category
В этом столбце содержится категория обнаруженного объекта.

Записанное имя категории не меняется, даже если изменится имя источника данных об угрозах.
Tag
В этом столбце содержится список тегов, присвоенных индикатору, на который сработало обнаружение киберугрозы.
Total tag weight
В этом столбце содержится суммарный весовой коэффициент тегов в столбце Теги.
Details
В этом столбце содержится индикатор из базы данных, сопоставленный с входящим событием.

В каждой строке таблицы содержится информация об отдельной обнаруженной киберугрозе. Нажатие на обнаружение киберугрозы позволяет просмотреть следующую подробную информацию:

Source event
В этом разделе содержатся подстроки, извлеченные из входящего события с помощью регулярных выражений, а также исходное событие целиком.
Событие обнаруженной киберугрозы
В этом разделе содержатся контекстные поля сопоставленного индикатора в формате %FieldName%=%Value% и событие обнаруженной киберугрозы целиком.

где:
- %FieldName% — это имя регулярного выражения, которое использовалось для парсинга входящего события, или имя поля записи потока данных об угрозах, которое было успешно сопоставлено с обнаруженным индикатором.
- %Value% — это значение регулярного выражения, которое использовалось для парсинга входящего события, или значение записи потока данных об угрозах, успешно сопоставленное с обнаруженным индикатором.

Обнаруженные киберугрозы в таблице сортируются по дате и времени в порядке убывания.

Если переключатель Auto-update table включен, Kaspersky CyberTrace добавляет в таблицу новую информацию об обнаруженных киберугрозах каждые 10 секунд.

Фильтрация обнаруженных киберугроз

Обнаруженные киберугрозы в таблице можно фильтровать по следующим критериям:

Detection date
Можно указать период времени или конкретную дату.
Tenant
Если добавлено несколько тенантов, можно указать одно или несколько имен тенантов.
Источник
Если добавлено несколько источников событий, можно указать один или несколько источников событий.
Категория
Если добавлено несколько категорий, можно указать одну или несколько категорий обнаруженного объекта.

Чтобы отфильтровать обнаруженные киберугрозы в таблице по определенным критериям, выполните следующие действия:

Нажмите на столбец, который требуется использовать в качестве критерия фильтрации.
Укажите условие фильтрации и нажмите на кнопку Apply.

Содержимое таблицы обновится и в нее будут включены только обнаруженные киберугрозы, соответствующие заданным условиям.

Можно указать несколько критериев фильтрации.

По умолчанию условия фильтрации не применяются.

Ниже приведен список доступных категорий обнаружения. Эти категории применимы к каналам Kaspersky и OSINT, поддерживаемым Kaspersky CyberTrace.

Категория обнаружения киберугрозы	Описание
KL_APT_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
KL_APT_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
KL_APT_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш вредоносного файла, используемого в APT-кампании.
KL_APT_IP	Kaspersky CyberTrace обнаруживает IP-адрес, используемый в APT-кампании.
KL_APT_URL	Kaspersky CyberTrace обнаруживает URL, используемый в APT-кампании.
KL_BotnetCnC_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш ботнета.
KL_BotnetCnC_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш ботнета.
KL_BotnetCnC_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш ботнета.
KL_BotnetCnC_URL	Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) ботнета.
KL_ICS_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш ICS.
KL_ICS_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш ICS.
KL_ICS_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш ICS.
KL_InternalTI_URL	URL списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_IP	IP-адрес списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_Hash_MD5	Хеш списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_Hash_SHA1	Хеш списка InternalTI Kaspersky CyberTrace.
KL_InternalTI_Hash_SHA256	Хеш списка InternalTI Kaspersky CyberTrace.
KL_IoT_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш IoT.
KL_IoT_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш IoT.
KL_IoT_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш IoT.
KL_IoT_URL	Kaspersky CyberTrace обнаруживает URL, заражающий устройства с поддержкой интернета вещей (IoT).
KL_IP_Reputation	Kaspersky CyberTrace обнаруживает вредоносный IP-адрес.
KL_IP_Reputation_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
KL_IP_Reputation_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
KL_IP_Reputation_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном IP-адресе.
KL_Malicious_URL	Kaspersky CyberTrace обнаруживает вредоносный URL.
KL_Malicious_URL_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
KL_Malicious_URL_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
KL_Malicious_URL_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш файла, размещенного на вредоносном URL.
KL_Malicious_Hash_MD5	Kaspersky CyberTrace обнаруживает вредоносный хеш.
KL_Malicious_Hash_SHA1	Kaspersky CyberTrace обнаруживает вредоносный хеш.
KL_Malicious_Hash_SHA256	Kaspersky CyberTrace обнаруживает вредоносный хеш.
KL_Mobile_Malicious_Hash_MD5	Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
KL_Mobile_Malicious_Hash_SHA1	Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
KL_Mobile_Malicious_Hash_SHA256	Kaspersky CyberTrace обнаруживает вредоносный мобильный хеш.
KL_Mobile_BotnetCnC_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
KL_Mobile_BotnetCnC_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
KL_Mobile_BotnetCnC_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш командного сервера (C&C) мобильного ботнета.
KL_Mobile_BotnetCnC_URL	Kaspersky CyberTrace обнаруживает URL командного сервера (C&C) мобильного ботнета.
KL_Phishing_URL	Kaspersky CyberTrace обнаруживает фишинговый URL.
KL_Ransomware_URL	Kaspersky CyberTrace обнаруживает URL, на котором размещена программа-вымогатель.
KL_Ransomware_URL_Hash_MD5	Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
KL_Ransomware_URL_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
KL_Ransomware_URL_Hash_SHA256	Kaspersky CyberTrace обнаруживает хеш программы-вымогателя.
AbuseCh_Feodo_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Feodo_Block_IP.
AbuseCh_Ransomware_Block_URL	Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Block_URL.
AbuseCh_Ransomware_Block_Domain	Kaspersky CyberTrace обнаруживает домен из потока данных об угрозах Abuse.Ch_Ransomware_Block_Domain.
AbuseCh_Ransomware_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах Abuse.Ch_Ransomware_Block_IP.
AbuseCh_Ransomware_Common_URL	Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах Abuse.Ch_Ransomware_Common_URL.
AbuseCh_SSL_Certificate_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах AbuseCh_SSL_Certificate_Block_IP.
AbuseCh_SSL_Certificate_Hash_SHA1	Kaspersky CyberTrace обнаруживает хеш из потока данных об угрозах AbuseCh_SSL_Certificate_Hash_SHA1.
BlocklistDe_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах BlocklistDe_Block_IP.
CyberCrime_Tracker_Block_Url	Kaspersky CyberTrace обнаруживает URL из потока данных об угрозах CyberCrime_Tracker_Block_Url.
EmergingThreats_Block_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Block_IP.
EmergingThreats_Compromised_IP	Kaspersky CyberTrace обнаруживает IP-адрес из потока данных об угрозах EmergingThreats_Compromised_IP.

В начало