Каждый граф состоит из узлов (индикаторов, обнаруженных киберугроз и т. д.) и связей, соединяющих узлы. Как узлы, так и связи могут добавляться на граф вручную или в результате трансформации.
Узлы
Узел представляет собой отдельную точку на графе, которая может быть связана с другими точками. Существуют различные типы узлов, такие как индикаторы, обнаруженные киберугрозы или группы. Узлы разных типов отображаются на графе разными символами. Описание различных типов узлов приведено в таблице ниже.
Типы узлов
Значок |
Type |
Описание |
URL |
Стандартные индикаторы Kaspersky CyberTrace.
|
|
Hash |
||
IP |
||
External URL |
Внешний индикатор (наблюдаемый объект), полученный из любого источника кроме базы данных Kaspersky CyberTrace. Граф может содержать внешний индикатор и стандартный индикатор Kaspersky CyberTrace, которые имеют одинаковое значение. |
|
External Hash |
||
External IP |
||
Action/Detections |
Промежуточный узел между другими узлами. Этот промежуточный узел возникает в результате трансформации. |
|
Обнаруженные киберугрозы |
Событие обнаруженной киберугрозы. |
|
Отчет |
Отчет, содержащий информацию о соответствующем индикаторе. |
|
Группа |
Несколько узлов, сгруппированных вместе. |
Связи
Узлы соединяются друг с другом связями. Связи могут быть ориентированными или неориентированными.
Ориентированная связь может вести только к узлам типов «Action» и «Detections». Такая связь возникает, когда Kaspersky CyberTrace выполняет трансформацию, и новая связь ведет от исходного узла к узлу, добавленному после трансформации.
Например, если пользователь запускает трансформацию, чтобы найти обнаруженные киберугрозы, связанные с индикатором, может возникнуть ориентированная связь, ведущая от данного индикатора к узлу типа «Detections». В свою очередь, неориентированные связи соединяют новый узел «Detections» с узлами типа «Detection».
В большинстве случаев неориентированная связь соединяет два узла, у которых есть нечто общее.
Например, опасный файл может иметь разные хеши (MD5, SHA1 и SHA256), каждый из них при этом является отдельным индикатором угрозы. Все эти узлы могут быть соединены неориентированными связями.
Неориентированные связи можно создавать вручную, тогда как ориентированные связи могут быть только результатом трансформации.
В начало