Kaspersky CyberTrace позволяет сохранять события, которые могут содержать необнаруженные индикаторы, выполнять их ретроспективное сканирование по индикаторам из обновленных потоков данных об угрозах и просматривать результаты ретроспективного сканирования. В этом разделе описывается порядок настройки Kaspersky CyberTrace для использования ретроспективного сканирования.
На вкладке Retrospective scanning можно выполнять следующие действия:
Во время ретроспективного сканирования сохраненные события удалять невозможно. Прежде чем отключить ретроспективное сканирование и удалить сохраненные события, необходимо дождаться завершения текущей задачи ретроспективного сканирования.
Вкладка Retrospective scanning
Вкладка General settings
Вкладка Feeds used in retroscan
Если исключить тенант из ретроспективного сканирования, регулярные выражения, содержащиеся в этом тенанте, станут недоступны для выбора.
Необходимо выбрать хотя бы одно регулярное выражение.
Вкладка Fields saved for retroscan
Рекомендации по настройке ретроспективного сканирования
Ретроспективное сканирование – это ресурсоемкая функция, выполнение которой при проверке огромных объемов данных может потребовать много времени. Для более эффективного использования ретроспективного сканирования без поиска индикаторов для всех входящих событий рекомендуется выделить события, для которых будет выполняться ретроспективное сканирование, в отдельный источник событий.
Чтобы добавить источник для ретроспективного сканирования, выполните следующие действия:
^\<d+\>.*$
).Откроется окно со свойствами только что добавленного источника.
RE_IP_NEW_SIEM
).Регулярные выражения для различных источников событий см. в разделе Регулярные выражения для популярных источников событий.
>Служебные оповещения, связанные с ретроспективным сканированием
Kaspersky CyberTrace генерирует следующие служебные оповещения, чтобы информировать вас о процессе ретроспективной проверки:
KL_ALERT_RetroScanCompleted
KL_ALERT_RetroScanError
KL_ALERT_RetroScanStorageExceeded
Подробную информацию об этих оповещениях см. в разделе «Оповещения о событиях, отправляемые Kaspersky CyberTrace».
В начало