Указание правил фильтрации для потока данных об угрозах

В этом разделе объясняется, что такое правила фильтрации, и описывается порядок их настройки. Убедитесь, что в раскрывающемся списке всех имеющихся тенантов в левом верхнем углу окна выбран тенант «General».

О правилах фильтрации

Правила фильтрации представляют собой критерии для потока данных об угрозах, которые позволяют исключать из потока данных об угрозах определенные записи.

Kaspersky CyberTrace использует правила фильтрации для фильтрации загружаемых файлов потоков данных во время обновления. Указанные правила фильтрации применяются к потокам данных после обновления, а не к существующим потокам.

В выходной файл включаются только те записи, которые соответствуют всем указанным критериям. Если для поля указан критерий фильтрации и при этом поле отсутствует в записи, такая запись не будет включена в выходной файл.

Указание правил фильтрации для потока данных об угрозах

Правила фильтрации в CyberTrace.

Раздел «Filtering rules»

Чтобы указать правило фильтрации для потока данных об угрозах, выполните следующие действия:

  1. Перейдите на страницу Settings.
  2. Откройте вкладку Feeds.
  3. В разделе Filtering rules for feeds выберите вкладку, содержащую поток данных об угрозах, который требуется настроить.

    Для источника данных об угрозах InternalTI указать правила фильтрации невозможно.

  4. Найдите поток данных об угрозах, который требуется настроить, и разверните соответствующий раздел.
  5. В разделе настроек отдельного потока данных об угрозах найдите раздел Filtering rules.
  6. Нажмите на кнопку Add new rule.
  7. В раскрывающемся списке Field name выберите имя одного из полей, доступных для потока данных об угрозах.

    С каждым полем в потоке данных об угрозах может быть связано только одно правило фильтрации. Для одного поля нельзя указать два правила фильтрации.

  8. В раскрывающемся списке Condition выберите условие фильтрации.

    Список возможных условий фильтрации приведен в разделе «Возможные условия фильтрации» ниже.

  9. В поле ввода Value укажите критерий фильтрации для поля.

    Для разделения значений в этом поле ввода не следует использовать точку с запятой («;»). Вместо этого выберите value is one of (separated by a new line) в раскрывающемся списке Condition и используйте символ переноса строк («\n») или нажимайте клавишу Enter для разделения значений. В противном случае правило фильтрации не будет применяться правильно.

    Дополнительная информация о порядке задания определенных критериев фильтрации приведена в подразделах «Определение критериев фильтрации для числовых значений», «Определение критериев фильтрации для строк» и «Определение критериев фильтрации для дат» в разделе Правила фильтрации.

  10. Прокрутите вкладку Feeds до конца и нажмите кнопку Save.

Возможные условия фильтрации

В таблице ниже перечислены условия фильтрации, которые можно применить к потокам данных об угрозах:

Возможные условия фильтрации

Условие фильтрации

Описание

Сопоставление с точным значением

Поле в потоке данных об угрозах в точности соответствует указанному значению.

Чтобы применить это условие, выберите value is equal to в раскрывающемся списке Condition, затем укажите единственное значение в поле ввода Value.

Сопоставление хотя бы с одним из нескольких возможных значений

Поле в потоке данных об угрозах должно содержать одно или несколько указанных значений.

Чтобы применить это условие, выберите value is one of (separated by a new line) в раскрывающемся списке Condition, затем укажите несколько значений в поле ввода Value.

Не указывайте пустые значения. Каждое следующее значение должно начинаться с новой строки.

Принадлежит к диапазону числовых значений

Поле в потоке данных об угрозах должно содержать значение из указанного диапазона.

Чтобы применить это условие, выберите value is in range (inclusive) в раскрывающемся списке Condition, затем укажите диапазон значений в полях ввода Value. Обратите внимание, что граничные значения включаются в диапазон.

Значения должны быть целыми числами.

Принадлежит к диапазону числовых значений, которые равны или больше указанного значения

Поле в потоке данных об угрозах должно содержать значение, равное указанному значению или превышающее его.

Чтобы применить это условие, выберите value is more than (inclusive) в раскрывающемся списке Condition, а затем укажите единственное значение в поле ввода Value.

Значение должно быть целым числом.

Принадлежит к диапазону числовых значений, которые равны или меньше указанного значения

Поле в потоке данных об угрозах должно содержать значение, равное или меньшее заданного значения.

Чтобы применить это условие, выберите value is less than (inclusive) в раскрывающемся списке Condition, а затем укажите одно значение в поле ввода Value.

Значение должно быть целым числом.

Принадлежит к диапазону дат

Поле в потоке данных об угрозах должно содержать дату в указанном диапазоне.

Чтобы применить это условие, выберите date is in range (inclusive) в раскрывающемся списке Condition, затем укажите диапазон дат в полях ввода Value.

 

Принадлежит к диапазону дат, которые равны или больше указанного значения

Поле в потоке данных об угрозах должно содержать дату, равную указанному значению или превышающую его.

Чтобы применить это условие, выберите date is more than (inclusive) в раскрывающемся списке Condition, затем укажите дату в поле ввода Value.

 

Принадлежит к диапазону дат, которые равны или меньше указанного значения

Поле в потоке данных об угрозах должно содержать дату, равную указанному значению или меньшую его.

Чтобы применить это условие, выберите date is less than (inclusive) в раскрывающемся списке Condition, затем укажите дату в поле ввода Value.

 

Сопоставление с непустым значением

Поле в потоке данных об угрозах должно содержать любое непустое значение.

Чтобы применить это условие, выберите value is non-empty в раскрывающемся списке Condition.

В начало