В веб-интерфейсе Kaspersky CyberTrace можно выбрать вкладку Retroscan. Параметры ретроспективного сканирования можно настроить в разделе Retrospective scan settings.
Ретроспективное сканирование позволяет повторно проверять входящие события с объектами (IP-адрес, домен, URL или хэш), которые ранее не были признаны вредоносными. Причиной таких результатов проверки могло быть отсутствие в Kaspersky CyberTrace информации о связанных угрозах на момент получения этих объектов. Однако, поскольку потоки данных об угрозах постоянно обновляются, может быть полезно сохранять события, не содержащие обнаруженных индикаторов, а затем повторно проверять эти события вручную или по расписанию.
Во время ретроспективного сканирования все индикаторы (с типом, отличным от CONTEXT), полученные из событий с применением регулярных выражений, сопоставляются с индикаторами потоков данных об угрозах, используемых в Kaspersky CyberTrace.
Индикаторы сопоставляются по регулярным выражениям, включенным в параметрах ретроспективного сканирования на вкладке Fields saved for retroscan.
Для редактирования или добавления новых регулярных выражений перейдите на вкладку Settings, а затем на вкладку Matching. Сохраненные регулярные выражения будут доступны в параметрах ретроспективного сканирования на вкладке Fields saved for retroscan.
Результаты ретроспективного сканирования не отображаются на странице с обнаружениями.
В случае обнаружения киберугрозы события, отображенные в CyberTrace после добавления индикатора в поток данных об угрозах, будут отображаться в разделе Detections и не будут подвергаться ретроспективному сканированию.
Например, если индикатор был добавлен в поток данных об угрозах после получения его хеша, IP- или URL-адреса во время ретроспективного сканирования с помощью регулярного выражения и при отсутствии обнаружений, связанных с этим индикатором, то при следующем ретроспективном сканировании информация об этом индикаторе будет отображаться в разделе Detected indicators, а в поле Date and time будут отображаться дата и время обнаружения индикатора во время ретроспективного сканирования.
Для каждого события, связанного с этим индикатором, будет создана отдельная запись в отчете о ретроспективном сканировании.
Вкладка Retroscan позволяет запустить ретроспективное сканирование вручную и просмотреть результаты, полученные после завершения процесса сканирования.
На этой вкладке можно выполнять следующие действия:
Также на этой вкладке отображаются следующие данные:
Размер событий отображается с задержкой до одного часа. Фактический текущий размер сохраненных событий может быть больше отображаемого значения.
Таблица содержит следующие столбцы данных:
Результат содержит обнаруженные индикаторы.
Результат не содержит обнаруженных индикаторов.
Процесс ретроспективного сканирования был отменен.
При необходимости можно настроить отображение только тех результатов, которые содержат обнаруженные индикаторы.
Retroscan results
Запуск ретроспективного сканирования
Чтобы запустить ретроспективное сканирование, выполните следующие действия:
Нажмите на кнопку Start retroscan.
При необходимости процесс сканирования можно отменить.
Запуск ретроспективного сканирования может быть недоступен по нескольким причинам:
Настройка отображения результатов ретроспективного сканирования, содержащих события обнаруженных киберугроз
Чтобы отобразить только результаты, содержащие события обнаруженных киберугроз, выполните следующие действия:
Установите флажок Show only retroscan results with detection над таблицей Retroscan results.
Указание периода отображения результатов
Чтобы указать период времени для отображения результатов, можно выбрать один из вариантов Retroscan results period над таблицей Retroscan results. Можно выбрать один из следующих периодов:
Указание периода времени для результатов ретроспективного сканирования
Просмотр результатов отдельной задачи ретроспективного сканирования
Чтобы просмотреть подробную информацию об отдельной задаче ретроспективного сканирования:
На открывшейся странице приводится подробная информация о первых 50 событиях обнаруженных киберугроз. Чтобы просмотреть все события, скачайте полный отчет в формате CSV (см. ниже).
На странице отображается следующая информация:
Дата и время, отображаемые на странице результатов сканирования, могут отличаться от даты и времени, указанных в отчете в формате CSV. Это связано с настройками времени в формате UTC: в отчете в формате CSV всегда используется часовой пояс UTC+0, а время на странице результатов сканирования зависит от пользовательских настроек.
Чтобы просмотреть подробную информацию о каждом индикаторе, следует нажать на соответствующий индикатор. Эта информация содержится в следующих полях:
Загрузка отчета с результатами ретроспективного сканирования
Чтобы скачать отчет, выполните следующие действия:
Нажмите на ссылку Download report рядом с разделом Detected indicators.
Сгенерированный файл CSV содержит следующие данные:
Дата и время, отображаемые на странице результатов сканирования, могут отличаться от даты и времени, указанных в отчете в формате CSV. Это связано с настройками времени в формате UTC: в отчете в формате CSV всегда используется часовой пояс UTC+0, а время на странице результатов сканирования зависит от пользовательских настроек.