Работа с ложными срабатываниями

В этом разделе описывается порядок работы с со списком ложных срабатываний False Positives на вкладке Feeds. Убедитесь, что в раскрывающемся списке всех имеющихся тенантов в левом верхнем углу окна выбран тенант «General».

Работа со списком ложных срабатываний

Чтобы открыть список ложных срабатываний, нажмите на кнопку Manage False Positives в разделе Filtering rules for feeds.

Откроется окно False Positives:

Раздел False positives в CyberTrace.

Список ложных срабатываний

Отредактировать список ложных срабатываний индикаторов можно следующим образом:

Выберите вкладку URL, Hash или IP address, чтобы открыть группу, с которой требуется работать.
На вкладке URL можно указать URL, содержащий подстановочный знак * (например, example.com/testpage/*, который будет сопоставляться с такими URL, как example.com/testpage/test1 и example.com/testpage/test/long_url).

Символ * в URL не используется в качестве подстановочного знака. «*» просто означает символ «звездочка».

Kaspersky CyberTrace применяет правила нормализации ко всем URL, которые добавляются на вкладку URL и еще не содержатся в базе данных индикаторов. Таким образом, представление этих URL может изменяться. Например, при добавлении URL, содержащего порт, значение порта удаляется. Подробные сведения о нормализации URL в Kaspersky CyberTrace приведены в разделе «Правила нормализации URL».
Каждый индикатор в текстовом поле должен быть указан в отдельной строке.

Список ложных срабатываний проверяется только после сопоставления входящего события со всеми потоками данных об угрозах. Основное назначение списка ложных срабатываний заключается в возможности Kaspersky CyberTrace игнорировать срабатывания для доверенных индикаторов. Если какой-либо поток данных об угрозах выдает обнаружение киберугрозы, но соответствующий индикатор присутствует в списке ложных срабатываний, Kaspersky CyberTrace не генерирует событие обнаруженной киберугрозы. В этом случае на вкладке Dashboard в таблице Supplier statistics увеличивается на единицу значение в столбце False positives, соответствующее источнику данных об угрозах, по которому было выполнено обнаружение киберугрозы. Значения в столбце False positives показывают количество ложных срабатываний, произведенных каждым источником данных об угрозах. Дополнительные сведения об информационной панели приведены в разделе Kaspersky CyberTrace Dashboard.

Правила нормализации URL

Все URL, добавляемые в список ложных срабатываний на вкладке URL, нормализуются в соответствии с правилами, описанными в разделе Правила нормализации URL.

В начало