Просмотр результатов ретроспективного сканирования
В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Retroscan. Параметры ретроспективного сканирования можно настроить в разделе Retrospective scan settings.
Ретроспективное сканирование позволяет повторно проверять входящие события с объектами (IP-адрес, домен, URL или хэш), которые ранее не были признаны вредоносными. Причиной таких результатов проверки могло быть отсутствие в Kaspersky CyberTrace информации о связанных угрозах на момент получения этих объектов. Однако, поскольку потоки данных об угрозах постоянно обновляются, может быть полезно сохранять события, не содержащие обнаруженных индикаторов, а затем повторно проверять эти события вручную или по расписанию.
Во время ретроспективного сканирования все индикаторы (с типом, отличным от CONTEXT), полученные из событий с применением регулярных выражений, сопоставляются с индикаторами потоков данных об угрозах, используемых в Kaspersky CyberTrace.
Индикаторы сопоставляются по регулярным выражениям, включенным в параметрах ретроспективного сканирования на вкладке Fields saved for retroscan.
Для редактирования или добавления новых регулярных выражений перейдите на вкладку Settings, а затем на вкладку Matching. Сохраненные регулярные выражения будут доступны в параметрах ретроспективного сканирования на вкладке Fields saved for retroscan.
Результаты ретроспективного сканирования не отображаются на странице с обнаружениями.
В случае обнаружения киберугрозы события, отображенные в CyberTrace после добавления индикатора в поток данных об угрозах, будут отображаться в разделе Detections и не будут подвергаться ретроспективному сканированию.
Например, если индикатор был добавлен в поток данных об угрозах после получения его хеша, IP- или URL-адреса во время ретроспективного сканирования с помощью регулярного выражения и при отсутствии обнаружений, связанных с этим индикатором, то при следующем ретроспективном сканировании информация об этом индикаторе будет отображаться в разделе Detected indicators, а в поле Date and time будут отображаться дата и время обнаружения индикатора во время ретроспективного сканирования.
Для каждого события, связанного с этим индикатором, будет создана отдельная запись в отчете о ретроспективном сканировании.
Вкладка Retroscan позволяет запустить ретроспективное сканирование вручную и просмотреть результаты, полученные после завершения процесса сканирования.
На этой вкладке можно выполнять следующие действия:
- Запуск ретроспективного сканирования вручную
- Настройка отображения результатов проверки
- Просмотр подробной информации об отдельном результате ретроспективного сканирования, содержащем обнаруженные индикаторы
Также на этой вкладке отображаются следующие данные:
- Дата и время следующей задачи ретроспективного сканирования
- Количество событий, сохраненных для ретроспективного сканирования
- Размер событий, сохраненных для ретроспективного сканирования
Размер событий отображается с задержкой до одного часа. Фактический текущий размер сохраненных событий может быть больше отображаемого значения.
- Таблица с результатами ретроспективного сканирования за указанный период
Таблица содержит следующие столбцы данных:
- Статус задачи ретроспективного сканирования:
- Detected
Результат содержит обнаруженные индикаторы.
- Not detected
Результат не содержит обнаруженных индикаторов.
- Canceled
Процесс ретроспективного сканирования был отменен.
- Detected
- Дата и время завершения каждой задачи ретроспективного сканирования
- Количество проверенных индикаторов
- Количество обнаруженных индикаторов
При необходимости можно настроить отображение только тех результатов, которые содержат обнаруженные индикаторы.
Retroscan results
- Статус задачи ретроспективного сканирования:
Запуск ретроспективного сканирования
Чтобы запустить ретроспективное сканирование, выполните следующие действия:
Нажмите на кнопку Start retroscan.
При необходимости процесс сканирования можно отменить.
Запуск ретроспективного сканирования может быть недоступен по нескольким причинам:
- Kaspersky CyberTrace в данный момент выполняет другую задачу ретроспективного сканирования.
- Ретроспективное сканирование отключено.
- Kaspersky CyberTrace располагает менее 1 МБ сохраненных событий для ретроспективного сканирования.
Настройка отображения результатов ретроспективного сканирования, содержащих события обнаруженных киберугроз
Чтобы отобразить только результаты, содержащие события обнаруженных киберугроз, выполните следующие действия:
Установите флажок Show only retroscan results with detection над таблицей Retroscan results.
Указание периода отображения результатов
Чтобы указать период времени для отображения результатов, можно выбрать один из вариантов Retroscan results period над таблицей Retroscan results. Можно выбрать один из следующих периодов:
- Day
- Week
- Month
- 3 months
- All time
- Custom range
Указание периода времени для результатов ретроспективного сканирования
Просмотр результатов отдельной задачи ретроспективного сканирования
Чтобы просмотреть подробную информацию об отдельной задаче ретроспективного сканирования:
- В таблице Retroscan results найдите результат (содержащий обнаруженные индикаторы), подробности о котором требуется просмотреть.
- Нажмите на ссылку в столбце Detected indicators.
На открывшейся странице приводится подробная информация о первых 50 событиях обнаруженных киберугроз. Чтобы просмотреть все события, скачайте полный отчет в формате CSV (см. ниже).
На странице отображается следующая информация:
- Дата и время ретроспективного сканирования
Дата и время, отображаемые на странице результатов сканирования, могут отличаться от даты и времени, указанных в отчете в формате CSV. Это связано с настройками времени в формате UTC: в отчете в формате CSV всегда используется часовой пояс UTC+0, а время на странице результатов сканирования зависит от пользовательских настроек.
- Количество обработанных событий
- Количество обнаруженных индикаторов
- Количество обработанных индикаторов
- Количество событий обнаруженных киберугроз по категориям
- Информация о каждом событии обнаружения киберугроз в разделе Detected indicators
Чтобы просмотреть подробную информацию о каждом индикаторе, следует нажать на соответствующий индикатор. Эта информация содержится в следующих полях:
- Category – категория обнаруженного объекта.
- Timestamp – дата и время обнаружения индикатора.
- tenant – имя тенанта, связанное с исходным событием.
- source – источник события, отправивший исходное событие.
- ioc – поле, по которому обнаружен индикатор.
- IP – поле, полученное с помощью регулярного выражения.
Загрузка отчета с результатами ретроспективного сканирования
Чтобы скачать отчет, выполните следующие действия:
Нажмите на ссылку Download report рядом с разделом Detected indicators.
Сгенерированный файл CSV содержит следующие данные:
- Дата и время получения события обнаруженной киберугрозы
Дата и время, отображаемые на странице результатов сканирования, могут отличаться от даты и времени, указанных в отчете в формате CSV. Это связано с настройками времени в формате UTC: в отчете в формате CSV всегда используется часовой пояс UTC+0, а время на странице результатов сканирования зависит от пользовательских настроек.
- Имя тенанта, связанное с исходным событием
- Имя источника события
- Категория обнаруженного объекта
- Обнаруженный индикатор, вызвавший событие
- Контекстная информация о событии обнаруженной киберугрозы
- Событие обнаруженной киберугрозы