Работа с узлами и связями
Добавление узлов в граф
Добавлять узлы в граф можно следующими способами:
- Добавление узлов типа «Indicator» или «Detection» при создании графа на страницах «Indicator» или «Detection». Более подробные сведения приведены в разделе Работа с графами.
- Добавление узлов типа «стандартный индикатор Kaspersky CyberTrace» и «внешний индикатор (наблюдаемый объект)» в существующий граф вручную с помощью кнопки Add node ().
- Добавление узлов типа «стандартный индикатор Kaspersky CyberTrace» и «внешний индикатор (наблюдаемый объект)» в существующий граф из файла с помощью кнопки Add node ().
- Добавление узлов в существующий граф с помощью трансформаций. Для получения дополнительной информации см. разделы О трансформациях и Выполнение трансформаций.
Чтобы добавить узел в существующий граф вручную, выполните следующие действия:
- Откройте граф.
- Нажмите на кнопку Add node () на боковой панели.
- В открывшемся диалоговом окне укажите значение индикатора, который требуется добавить. Например, MD5-хеш файла или URL.
Если в базе данных Kaspersky CyberTrace имеется информация об указанном значении, Kaspersky CyberTrace предлагает выбрать, требуется ли добавить это значение из базы данных в качестве стандартного индикатора Kaspersky CyberTrace или добавить внешний индикатор (наблюдаемый объект).
Если в базе данных Kaspersky CyberTrace отсутствует информация об указанном значении, можно добавить только внешний индикатор (наблюдаемый объект).
Также можно указать несколько значений одно за другим.
- Нажмите на кнопку Create node(s).
Добавленные узлы появятся в графе.
Если узел уже существует в графе:
- Индикатор Kaspersky CyberTrace обновляется из базы данных.
- Внешний индикатор (наблюдаемый объект) остается на графе, а новые узлы не добавляются.
Чтобы добавить узел к существующему графу из файла, выполните следующие действия:
- Откройте граф.
- Нажмите на кнопку Add node () на боковой панели.
Откроется диалоговое окно Add indicators to the graph.
- Выберите вкладку From files.
- Выполните одно из следующих действий:
- Перетащите требуемый файл (файлы) в область диалогового окна.
- Нажмите кнопку Browse, чтобы выбрать требуемый файл (файлы) из папки.
Добавить можно только текстовые файлы в кодировке UTF-8 без BOM (размер каждого файла до 128 КБ).
Файл можно удалить перед добавлением.
- Нажмите на кнопку Create node(s).
Добавленные узлы появятся в графе.
Если узел уже существует в графе:
- Индикатор Kaspersky CyberTrace обновляется из базы данных.
- Внешний индикатор (наблюдаемый объект) остается на графе, а новые узлы не добавляются.
Перед созданием узлов в области диалогового окна отображается количество корректных строк (индикаторов), которые будут добавлены в граф. Это число отображается для каждого добавленного файла.
Если хотя бы один из файлов некорректен, удалите его. В противном случае другие выбранные файлы (даже если они корректны) не будут добавлены.
Просмотр информации об узлах
Подробную информацию можно просмотреть о следующих типах узлов:
- Стандартный индикатор Kaspersky CyberTrace:
- Тип и значение индикатора.
- Ссылка на страницу индикатора в веб-интерфейсе Kaspersky CyberTrace.
- Дата и время, когда индикатор был добавлен в граф.
- Дата и время первого и последнего обнаружения киберугроз.
- Источники индикатора.
- Контекст индикатора.
- Внешний индикатор (наблюдаемый объект):
- Тип и значение индикатора.
- Ссылка на внешний источник индикатора, если есть.
- Дата и время, когда индикатор был добавлен в граф.
- Атрибуты индикатора, если есть.
- Обнаружение киберугрозы:
- Дата и время обнаружения киберугрозы.
- Дата и время, когда обнаружение киберугрозы было добавлено в граф.
- Категория обнаружения киберугрозы.
- Имя тенанта, для которого было получено обнаружение киберугрозы, если существуют тенанты кроме «General».
- Имя источника события.
- Входящее событие.
- Части входящего события (в формате «ключ-значение»), которые были получены из регулярных выражений, примененных к входящему событию, и имена этих регулярных выражений.
- События, включающие данное обнаружение киберугрозы.
- Части события обнаружений киберугроз (в формате «ключ-значение»), соответствующие контексту обнаруженного индикатора.
- Стандартный индикатор Kaspersky CyberTrace, вызвавший обнаружение киберугрозы.
- Отчет
- Дата и время, когда отчет был добавлен в граф.
- Имя отчета.
- Поставщик отчета.
- Тип отчета, если есть.
- Ссылка на отчет, если есть.
Чтобы просмотреть подробную информацию об узле,
дважды щелкните интересующий узел.
Справа откроется боковая панель, содержащая подробную информацию об узле.
Для просмотра информации об узлах в группе используется панель «Group» (см. раздел Группы узлов).
Создание связей путем соединения узлов
Существуют следующие способы создания связи:
Чтобы соединить узлы вручную, выполните следующие действия:
- Откройте граф.
- Включите режим связывания, для этого нажмите на кнопку Linking mode () на боковой панели.
- Щелкните по узлу, который требуется соединить с другим узлом.
На графе создается соединительная линия, ведущая от начального узла к следующему выбранному узлу.
- Щелкните по следующему узлу, чтобы создать связь.
Когда соединение узлов будет закончено, отключите режим связывания.
Удаление узлов
Чтобы удалить узел, выполните следующие действия:
- Выберите узел, который требуется удалить.
- Нажмите на кнопку Delete () на боковой панели или нажмите клавишу DEL на клавиатуре.
При удалении узлов следует учитывать следующие соображения:
- При удалении узла группы удаляются все узлы в этой группе. Вместо удаления узла группы можно разгруппировать его или удалить отдельные узлы в группе с помощью панели группы. Подробнее о работе с группами узлов сообщается в разделе Группы узлов.
- В случае удаления узла, соединенного с узлом «Action» или «Detections» ориентированной связью, Kaspersky CyberTrace удаляет как исходный узел, так и узел «Action» или «Detections». Если существуют другие узлы, связанные с узлом «Action» или «Detections» неориентированными связями, Kaspersky CyberTrace не удаляет эти узлы.
Удаление связей
При удалении узла Kaspersky CyberTrace автоматически удаляет связи, соединяющие этот узел с другими узлами графа. Связи также можно удалять вручную, не удаляя при этом сами узлы.
Чтобы удалить связь, выполните следующие действия:
- Щелкните по связи правой кнопкой мыши.
- Выберите пункт Remove link.
В начало