Настройка ретроспективного сканирования

Kaspersky CyberTrace позволяет сохранять события, которые могут содержать необнаруженные индикаторы, выполнять их ретроспективное сканирование по индикаторам из обновленных потоков данных об угрозах и просматривать результаты ретроспективного сканирования. В этом разделе описывается порядок настройки Kaspersky CyberTrace для использования ретроспективного сканирования.

На вкладке Retrospective scanning можно выполнять следующие действия:

• Включение и выключение ретроспективного сканирования.
• Просмотр текущего объема сохраненных событий.
• Удаление сохраненных событий.

  Во время ретроспективного сканирования сохраненные события удалять невозможно. Прежде чем отключить ретроспективное сканирование и удалить сохраненные события, необходимо дождаться завершения текущей задачи ретроспективного сканирования.

  

  Вкладка Retrospective scanning

• На вкладке General settings задайте следующие настройки:
  • Задайте частоту выполнения задачи ретроспективного сканирования по расписанию или отключите сканирование по расписанию. Если выбран вариант Every month, ретроспективное сканирование запускается каждые 30 дней.
  • Включите или выключите ограничение на размер событий, сохраняемых для ретроспективного сканирования.
  • Установите максимальный объем событий (в гигабайтах), сохраняемых для ретроспективного сканирования.
  • Укажите, как долго (в днях) должны храниться события, используемые для ретроспективного сканирования.
  • Укажите, как долго (в днях) должны храниться результаты ретроспективного сканирования.

  

  Вкладка General settings

• На вкладке Feeds used in retroscan включите или отключите потоки данных об угрозах, которые необходимо использовать при ретроспективном сканировании.

  

  Вкладка Feeds used in retroscan

• На вкладке Fields saved for retroscan задайте следующие настройки:
  • Включите или выключите сохранение событий, связанных с конкретным тенантом, для использования в ретроспективном сканировании.

    Если исключить тенант из ретроспективного сканирования, регулярные выражения, содержащиеся в этом тенанте, станут недоступны для выбора.

  • Выберите регулярные выражения, содержащиеся в тенанте, для использования в ретроспективном сканировании.

    Необходимо выбрать хотя бы одно регулярное выражение.

  

  Вкладка Fields saved for retroscan

Рекомендации по настройке ретроспективного сканирования

Ретроспективное сканирование – это ресурсоемкая функция, выполнение которой при проверке огромных объемов данных может потребовать много времени. Для более эффективного использования ретроспективного сканирования без поиска индикаторов для всех входящих событий рекомендуется выделить события, для которых будет выполняться ретроспективное сканирование, в отдельный источник событий.

Чтобы добавить источник для ретроспективного сканирования, выполните следующие действия:

1. На вкладке Settings > Matching нажмите Add new event source.
2. Добавьте регулярное выражение для выделения события (например, для формата события syslog это может быть ^\<d+\>.*$).
3. Нажмите на кнопку Next.

   Откроется окно со свойствами только что добавленного источника.

4. На вкладке Regular expressions добавьте типы индикаторов, которые могут поступить из этого источника.
5. Задайте имя правила, характерное для данного источника и типа индикатора (например, RE_IP_NEW_SIEM).

   Регулярные выражения для различных источников событий см. в разделе Регулярные выражения для популярных источников событий.

6. Нажмите на кнопку OK, чтобы убедиться, что новый источник успешно добавлен.
7. Перейдите на вкладку Settings > Retroscan и выберите вкладку Fields saved for retroscan.
8. Включите только те источники и их регулярные выражения, которые необходимы для ретроспективного сканирования.
9. Сохраните изменения.

>Служебные оповещения, связанные с ретроспективным сканированием

Kaspersky CyberTrace генерирует следующие служебные оповещения, чтобы информировать вас о процессе ретроспективной проверки:

• KL_ALERT_RetroScanCompleted
• KL_ALERT_RetroScanError
• KL_ALERT_RetroScanStorageExceeded

Подробную информацию об этих оповещениях см. в разделе «Оповещения о событиях, отправляемые Kaspersky CyberTrace».

В начало