Для хранения индикаторов компрометации (IOC) из потоков данных об угрозах Threat Intelligence в Kaspersky CyberTrace используется база данных Elasticsearch. Эта база данных входит в состав комплекта поставки Kaspersky CyberTrace.
В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Indicators. Этот раздел позволяет выполнять следующие действия:
Когда новый индикатор успешно добавляется в базу данных, его можно использовать в процессе сопоставления. Такие индикаторы записываются в базу данных с использованием значения InternalTI атрибута supplier_name
.
Источники данных об угрозах FalsePositive и InternalTI
Источники данных об угрозах FalsePositive и InternalTI представляют собой встроенные источники данных об угрозах Kaspersky CyberTrace, в которые можно добавлять индикаторы:
Индикаторы поставщиков InternalTI будут срабатывать, даже если это индикатор из списка ложных срабатываний.