Поиск по отдельному индикатору
Для поиска по отдельному индикатору необходимо перейти на вкладку Indicator после перехода на вкладку Search.
Вкладка Indicator
Поиск объектов
Можно выполнять поиск индикаторов следующих типов:
- Hash
- IP Address
- Domain
- URL
Чтобы выполнить поиск индикатора, выполните следующие действия:
- Введите индикатор в поле поиска.
- Нажмите на кнопку Search.
Результат поиска отображается в разделе Detections.
Синтаксис поиска индикаторов
Поиск URL можно выполнить двумя способами:
- Путем указания полного URL
- Путем указания только доменного имени
При поиске хеша или IP-адреса необходимо указывать полный индикатор, как описано в разделе о синтаксисе поиска индикаторов.
Результат поиска
После выполнения поиска результаты отображаются в веб-интерфейсе CyberTrace в разделе Detections.
Раздел Detections
Результат поиска включает в себя следующие данные:
- Запрашиваемый индикатор
- Категория запрашиваемого индикатора
Эта информация отображается в столбце Category.
- Поля записей потока данных об угрозах, сопоставленных с индикатором
Если в потоках данных об угрозах отсутствует информация о запрошенном индикаторе, отображается сообщение об этом.
Эта информация отображается в столбце Context.
- Ссылка или ссылки на подробную информацию о запрашиваемом индикаторе
Ссылки отображаются в виде полей в столбце Context.
Если индикатор не обнаружен, потому что он принадлежит источнику данных об угрозах FalsePositive, результат поиска будет состоять из следующих данных:
- Запрашиваемый индикатор
- Сообщение об отсутствии обнаруженных киберугроз
- Ссылка или ссылки на подробную информацию о запрашиваемом индикаторе
Если информация по запрашиваемому индикатору не найдена, выводится сообщение об этом. В этом сообщении отображается ссылка на страницу поиска Kaspersky Threat Intelligence Portal.
Обратите внимание, что если после запуска поиска перейти на другую вкладку, результаты поиска добавляются в историю поисковых запросов.
Загрузка отчетов о поиске
Отчет с результатами операции поиска можно скачать. Отчет представляет собой файл .csv.
Чтобы скачать отчет, выполните следующие действия:
Нажмите на ссылку Download report и укажите каталог, в который требуется сохранить отчет.
Регулярные выражения для поиска индикаторов
Для поиска индикаторов в веб-интерфейсе CyberTrace используются регулярные выражения, определенные в конфигурационном файле Kaspersky CyberTrace Service. Регулярные выражения задаются специальным источником событий с именем http_single_lookup.